网络安全 频道

为什么说针对反网络钓鱼的培训还远远不够?

  依靠员工的意识不仅不足以防止复杂的社会工程攻击,一些培训方法还会产生其他问题。

  现在是时候让我们认真审视一下,为什么我们如此依赖终端用户来捕捉可能危及整个公司的网络钓鱼骗局。随着黑客继续推进他们的社会工程技术,网络钓鱼攻击变得越来越难发现,而且有39%的时间被遗漏。虽然你可能认为你的反钓鱼培训计划是最新的,但只要电子邮件是业务运营所必需的,你的组织将继续面临风险。

  由于我们每天都与电子邮件打交道,尽管有持续的、复杂的反钓鱼培训,但我们还是有一定程度的盲目信任。在许多情况下,黑客会想方设法引起目标的情感反应--例如,通过发送 "来自 "人力资源部或首席执行官的紧急信息。这些更有可能导致不当的下载或电子邮件回复,从而损害整个组织。

  通过电子邮件共享文件是另一项必要的业务功能,使组织面临重大的违规风险。根据Proofpoint的 "2021年钓鱼网站状况报告",基于附件的攻击正变得越来越普遍,员工往往无法区分恶意邮件和他们需要合作的文件,尤其是在远程工作如此普遍的情况下。目前,基于附件的攻击的平均失败率为20%,远远高于基于URL的攻击的12%。

  为什么反钓鱼网站培训没有成功?

  如果你认为这仅仅是一个与新冠疫情有关的问题,那就再想想吧,因为它比新冠疫情还要早。2019年,68%的组织专注于提高对基于链接的攻击的认识,而只有10%的组织将精力放在基于附件的攻击上。而在失败率最高的网络钓鱼测试中,有65%是基于附件的,大多数邮件看起来像是来自一个可识别的内部账户,如主管或人力资源部门的人。

  值得注意的是,由于人力资源部门每天都要与外部来源的简历和其他文件打交道,因此该部门成为附件式攻击的受害者的风险更大。例如,在2020年,黑客能够通过在简历和病假表内潜入恶意软件来避免沙盒。

  此外,威胁要对打开不可靠来源的电子邮件的员工进行严厉打击的培训会造成额外的问题。让员工觉得如果他们没有通过测试或错过了一封危险的电子邮件,他们就会被解雇,这会造成网络钓鱼培训的创伤。

  最后,程序也可能被认为是侮辱性的。例如,论坛报出版公司在发送反网络钓鱼培训电子邮件,承诺提供大量奖金后,受到了一些反感,当时正值全球新冠疫情爆发,记者们正在被裁员和减薪。像这样的事件会导致安全团队和公司其他部门之间的严重脱节。它也无助于建立一种友情,或激励人们学习更多的安全知识。

  是时候停止指责终端用户了

  除了用户被越来越复杂的--和社会工程学的--网络钓鱼活动以及其他网络漏洞所欺骗之外,还有大量的威胁是用户意识培训--和大多数安全解决方案--无能为力的。依靠签名数据库而无法检测到零日漏洞或未披露的威胁的解决方案可能会留下重大漏洞。零日恶意软件不断被开发出来,并躲避一些最好的检测机制。然而,许多组织的安全防御措施主要集中在威胁检测和反钓鱼培训上。

  这些解决方案可能会给终端用户一种错误的安全感,认为他们无论如何都会受到保护,而许多威胁可能会从缝隙中溜走。如果安全解决方案不能检测到这些威胁,那么你为什么会期望员工能够检测到它们呢?部署基于检测的解决方案和依靠用户意识培训将无法提供企业所需的保护。

  即使受过更好教育的用户可以阻止更多的攻击并创造更安全的网络生态系统,但过度依赖网络钓鱼培训也是不够的--特别是考虑到最近的发展对现有的意识培训造成了压力。一旦组织转向大规模的远程工作,网络钓鱼培训就会被移到优先事项清单的后面。而安全预算的削减有可能使资金从更先进和有效的措施中流失。

  简单地说,把所有的鸡蛋放在网络安全意识的篮子里是无效的。企业应该把更多的资源转移到以数据和技术为基础的预防解决方案上,这些方案更有可能跟上快速变化的威胁形势,而且不会把责任推给用心良苦的员工。

0
相关文章