依靠員工的意識(shí)不僅不足以防止復(fù)雜的社會(huì)工程攻擊，一些培訓(xùn)方法還會(huì)產(chǎn)生其他問(wèn)題。

現(xiàn)在是時(shí)候讓我們認(rèn)真審視一下，為什么我們?nèi)绱艘蕾嚱K端用戶來(lái)捕捉可能危及整個(gè)公司的網(wǎng)絡(luò)釣魚騙局。隨著黑客繼續(xù)推進(jìn)他們的社會(huì)工程技術(shù)，網(wǎng)絡(luò)釣魚攻擊變得越來(lái)越難發(fā)現(xiàn)，而且有39%的時(shí)間被遺漏。雖然你可能認(rèn)為你的反釣魚培訓(xùn)計(jì)劃是最新的，但只要電子郵件是業(yè)務(wù)運(yùn)營(yíng)所必需的，你的組織將繼續(xù)面臨風(fēng)險(xiǎn)。

[[402749]]

由于我們每天都與電子郵件打交道，盡管有持續(xù)的、復(fù)雜的反釣魚培訓(xùn)，但我們還是有一定程度的盲目信任。在許多情況下，黑客會(huì)想方設(shè)法引起目標(biāo)的情感反應(yīng)--例如，通過(guò)發(fā)送 "來(lái)自 "人力資源部或首席執(zhí)行官的緊急信息。這些更有可能導(dǎo)致不當(dāng)?shù)南螺d或電子郵件回復(fù)，從而損害整個(gè)組織。

通過(guò)電子郵件共享文件是另一項(xiàng)必要的業(yè)務(wù)功能，使組織面臨重大的違規(guī)風(fēng)險(xiǎn)。根據(jù)Proofpoint的 "2021年釣魚網(wǎng)站狀況報(bào)告"，基于附件的攻擊正變得越來(lái)越普遍，員工往往無(wú)法區(qū)分惡意郵件和他們需要合作的文件，尤其是在遠(yuǎn)程工作如此普遍的情況下。目前，基于附件的攻擊的平均失敗率為20%，遠(yuǎn)遠(yuǎn)高于基于URL的攻擊的12%。

為什么反釣魚網(wǎng)站培訓(xùn)沒(méi)有成功?

如果你認(rèn)為這僅僅是一個(gè)與新冠疫情有關(guān)的問(wèn)題，那就再想想吧，因?yàn)樗刃鹿谝咔檫€要早。2019年，68%的組織專注于提高對(duì)基于鏈接的攻擊的認(rèn)識(shí)，而只有10%的組織將精力放在基于附件的攻擊上。而在失敗率最高的網(wǎng)絡(luò)釣魚測(cè)試中，有65%是基于附件的，大多數(shù)郵件看起來(lái)像是來(lái)自一個(gè)可識(shí)別的內(nèi)部賬戶，如主管或人力資源部門的人。

值得注意的是，由于人力資源部門每天都要與外部來(lái)源的簡(jiǎn)歷和其他文件打交道，因此該部門成為附件式攻擊的受害者的風(fēng)險(xiǎn)更大。例如，在2020年，黑客能夠通過(guò)在簡(jiǎn)歷和病假表內(nèi)潛入惡意軟件來(lái)避免沙盒。

此外，威脅要對(duì)打開不可靠來(lái)源的電子郵件的員工進(jìn)行嚴(yán)厲打擊的培訓(xùn)會(huì)造成額外的問(wèn)題。讓員工覺(jué)得如果他們沒(méi)有通過(guò)測(cè)試或錯(cuò)過(guò)了一封危險(xiǎn)的電子郵件，他們就會(huì)被解雇，這會(huì)造成網(wǎng)絡(luò)釣魚培訓(xùn)的創(chuàng)傷。

最后，程序也可能被認(rèn)為是侮辱性的。例如，論壇報(bào)出版公司在發(fā)送反網(wǎng)絡(luò)釣魚培訓(xùn)電子郵件，承諾提供大量獎(jiǎng)金后，受到了一些反感，當(dāng)時(shí)正值全球新冠疫情爆發(fā)，記者們正在被裁員和減薪。像這樣的事件會(huì)導(dǎo)致安全團(tuán)隊(duì)和公司其他部門之間的嚴(yán)重脫節(jié)。它也無(wú)助于建立一種友情，或激勵(lì)人們學(xué)習(xí)更多的安全知識(shí)。

是時(shí)候停止指責(zé)終端用戶了

除了用戶被越來(lái)越復(fù)雜的--和社會(huì)工程學(xué)的--網(wǎng)絡(luò)釣魚活動(dòng)以及其他網(wǎng)絡(luò)漏洞所欺騙之外，還有大量的威脅是用戶意識(shí)培訓(xùn)--和大多數(shù)安全解決方案--無(wú)能為力的。依靠簽名數(shù)據(jù)庫(kù)而無(wú)法檢測(cè)到零日漏洞或未披露的威脅的解決方案可能會(huì)留下重大漏洞。零日惡意軟件不斷被開發(fā)出來(lái)，并躲避一些最好的檢測(cè)機(jī)制。然而，許多組織的安全防御措施主要集中在威脅檢測(cè)和反釣魚培訓(xùn)上。

這些解決方案可能會(huì)給終端用戶一種錯(cuò)誤的安全感，認(rèn)為他們無(wú)論如何都會(huì)受到保護(hù)，而許多威脅可能會(huì)從縫隙中溜走。如果安全解決方案不能檢測(cè)到這些威脅，那么你為什么會(huì)期望員工能夠檢測(cè)到它們呢?部署基于檢測(cè)的解決方案和依靠用戶意識(shí)培訓(xùn)將無(wú)法提供企業(yè)所需的保護(hù)。

即使受過(guò)更好教育的用戶可以阻止更多的攻擊并創(chuàng)造更安全的網(wǎng)絡(luò)生態(tài)系統(tǒng)，但過(guò)度依賴網(wǎng)絡(luò)釣魚培訓(xùn)也是不夠的--特別是考慮到最近的發(fā)展對(duì)現(xiàn)有的意識(shí)培訓(xùn)造成了壓力。一旦組織轉(zhuǎn)向大規(guī)模的遠(yuǎn)程工作，網(wǎng)絡(luò)釣魚培訓(xùn)就會(huì)被移到優(yōu)先事項(xiàng)清單的后面。而安全預(yù)算的削減有可能使資金從更先進(jìn)和有效的措施中流失。

簡(jiǎn)單地說(shuō)，把所有的雞蛋放在網(wǎng)絡(luò)安全意識(shí)的籃子里是無(wú)效的。企業(yè)應(yīng)該把更多的資源轉(zhuǎn)移到以數(shù)據(jù)和技術(shù)為基礎(chǔ)的預(yù)防解決方案上，這些方案更有可能跟上快速變化的威脅形勢(shì)，而且不會(huì)把責(zé)任推給用心良苦的員工。