风险投资公司Insight Partners证实，该公司遭遇了一起由未指明类型的社会工程学攻击引发的网络安全事件。

　　这一事件在网络安全界引起了一些关注，尤其是考虑到Insight Partners的投资组合中包括Abnormal Security、Checkmarx、Cylance、Island、JFrog、Mimecast、Recorded Future、SentinelOne、Tenable和Wiz等安全行业的大牌企业。

　　Insight Partners在一份公开声明中表示，公司已通知所有利益相关者和合作伙伴，以及执法部门。公司正与网络安全专家、顶尖的取证和电子数据发现专家以及外部法律顾问紧密合作。

　　公司表示，他们在1月16日发现了这一事件，并立即采取措施进行遏制、补救和展开调查。Insight Partners表示，没有证据表明威胁行为者在1月16日之后仍然存在，并且此次事件没有进一步干扰公司的运营。“Insight Partners的这次数据泄露事件表明，即使管理着数十亿资产的成熟金融公司，在面对利用人类心理而非技术漏洞的社会工程学攻击时，仍然十分脆弱。”SlashNext Email Security的现场首席技术官J. Stephen Kowski说道。“现代网络安全需要超越传统的安全意识培训，包括实时钓鱼检测和自动化响应能力，这些能力可以在员工看到之前发现并阻止复杂的社会工程学攻击。”

　　Kowski表示，Insight Partners在数小时内发现并应对了此次事件，这体现了良好的事件响应实践，但如果能够通过先进威胁检测进行预防，效果会更好。Kowski说，鉴于社会工程学攻击现在是网络犯罪损失的主要原因，公司应将定期安全培训与能够实时识别和阻止此类攻击的AI工具相结合。

　　Hoxhunt的联合创始人兼首席执行官Mika Aalto补充说，在人工智能（AI）时代，社会工程学攻击发生了巨大变化，因此培训必须跟上步伐，并与安全堆栈相结合。

　　“利用人类威胁情报来预测最新的攻击，可以在对抗高级钓鱼和社会工程学攻击方面获得优势。”Aalto说道。“这可以加快事件响应速度，防止恶意点击。这意味着要超越传统的安全意识培训工具，采用旨在可衡量地降低人为风险的行为改变平台。”

　　Dispersive的副总裁Lawrence Pingree表示，如今社会工程学攻击非常普遍，并且几乎通过所有通信模式越来越频繁地使用：即时消息、短信、语音通话、深度伪造语音和传统的面对面交流。

　　“重要的是，通过多种方法进行审查，特别是审查任何受信任的操作（例如检查资金转账和电汇），以检验流程对社会工程学攻击的抵御能力。”Pingree说道。

　　Skyhawk Security的首席执行官Chen Burshan表示，为了对抗社会工程学攻击，持续的员工培训和严格的钓鱼模拟对于减少人为错误至关重要。然而，Burshan表示，没有万无一失的培训计划。

　　“组织还必须实施先进的安全控制，能够检测和分析异常行为，即使这些行为似乎来自受信任的身份。”Burshan说道。“一个强大的安全策略不仅应该识别潜在恶意活动，还应该实时验证这些活动，确保任何未经验证的操作都能触发安全团队的立即响应。”