為什麼說針對反網路釣魚的培訓還遠遠不夠?

依靠員工的意識不僅不足以防止複雜的社會工程攻擊，一些培訓方法還會產生其他問題。

現在是時候讓我們認真審視一下，為什麼我們如此依賴終端使用者來捕捉可能危及整個公司的網路釣魚騙局。隨著駭客繼續推進他們的社會工程技術，網路釣魚攻擊變得越來越難發現，而且有39%的時間被遺漏。雖然你可能認為你的反釣魚培訓計劃是最新的，但只要電子郵件是業務運營所必需的，你的組織將繼續面臨風險。

由於我們每天都與電子郵件打交道，儘管有持續的、複雜的反釣魚培訓，但我們還是有一定程度的盲目信任。在許多情況下，駭客會想方設法引起目標的情感反應--例如，透過傳送 "來自 "人力資源部或執行長的緊急資訊。這些更有可能導致不當的下載或電子郵件回覆，從而損害整個組織。

透過電子郵件共享檔案是另一項必要的業務功能，使組織面臨重大的違規風險。根據Proofpoint的 "2021年釣魚網站狀況報告"，基於附件的攻擊正變得越來越普遍，員工往往無法區分惡意郵件和他們需要合作的檔案，尤其是在遠端工作如此普遍的情況下。目前，基於附件的攻擊的平均失敗率為20%，遠遠高於基於URL的攻擊的12%。

為什麼反釣魚網站培訓沒有成功?

如果你認為這僅僅是一個與新冠疫情有關的問題，那就再想想吧，因為它比新冠疫情還要早。2019年，68%的組織專注於提高對基於連結的攻擊的認識，而只有10%的組織將精力放在基於附件的攻擊上。而在失敗率最高的網路釣魚測試中，有65%是基於附件的，大多數郵件看起來像是來自一個可識別的內部賬戶，如主管或人力資源部門的人。

值得注意的是，由於人力資源部門每天都要與外部來源的簡歷和其他檔案打交道，因此該部門成為附件式攻擊的受害者的風險更大。例如，在2020年，駭客能夠透過在簡歷和病假表內潛入惡意軟體來避免沙盒。

此外，威脅要對開啟不可靠來源的電子郵件的員工進行嚴厲打擊的培訓會造成額外的問題。讓員工覺得如果他們沒有透過測試或錯過了一封危險的電子郵件，他們就會被解僱，這會造成網路釣魚培訓的創傷。

最後，程式也可能被認為是侮辱性的。例如，論壇報出版公司在傳送反網路釣魚培訓電子郵件，承諾提供大量獎金後，受到了一些反感，當時正值全球新冠疫情爆發，記者們正在被裁員和減薪。像這樣的事件會導致安全團隊和公司其他部門之間的嚴重脫節。它也無助於建立一種友情，或激勵人們學習更多的安全知識。

是時候停止指責終端使用者了

除了使用者被越來越複雜的--和社會工程學的--網路釣魚活動以及其他網路漏洞所欺騙之外，還有大量的威脅是使用者意識培訓--和大多數安全解決方案--無能為力的。依靠簽名資料庫而無法檢測到零日漏洞或未披露的威脅的解決方案可能會留下重大漏洞。零日惡意軟體不斷被開發出來，並躲避一些最好的檢測機制。然而，許多組織的安全防禦措施主要集中在威脅檢測和反釣魚培訓上。

這些解決方案可能會給終端使用者一種錯誤的安全感，認為他們無論如何都會受到保護，而許多威脅可能會從縫隙中溜走。如果安全解決方案不能檢測到這些威脅，那麼你為什麼會期望員工能夠檢測到它們呢?部署基於檢測的解決方案和依靠使用者意識培訓將無法提供企業所需的保護。

即使受過更好教育的使用者可以阻止更多的攻擊並創造更安全的網路生態系統，但過度依賴網路釣魚培訓也是不夠的--特別是考慮到最近的發展對現有的意識培訓造成了壓力。一旦組織轉向大規模的遠端工作，網路釣魚培訓就會被移到優先事項清單的後面。而安全預算的削減有可能使資金從更先進和有效的措施中流失。

簡單地說，把所有的雞蛋放在網路安全意識的籃子裡是無效的。企業應該把更多的資源轉移到以資料和技術為基礎的預防解決方案上，這些方案更有可能跟上快速變化的威脅形勢，而且不會把責任推給用心良苦的員工。