依靠員工的意識不僅不足以防止復雜的社會工程攻擊，一些培訓方法還會產生其他問題。

現在是時候讓我們認真審視一下，為什么我們如此依賴終端用戶來捕捉可能危及整個公司的網絡釣魚騙局。隨著黑客繼續推進他們的社會工程技術，網絡釣魚攻擊變得越來越難發現，而且有39%的時間被遺漏。雖然你可能認為你的反釣魚培訓計劃是最新的，但只要電子郵件是業務運營所必需的，你的組織將繼續面臨風險。

[[402749]]

由于我們每天都與電子郵件打交道，盡管有持續的、復雜的反釣魚培訓，但我們還是有一定程度的盲目信任。在許多情況下，黑客會想方設法引起目標的情感反應--例如，通過發送 "來自 "人力資源部或首席執行官的緊急信息。這些更有可能導致不當的下載或電子郵件回復，從而損害整個組織。

通過電子郵件共享文件是另一項必要的業務功能，使組織面臨重大的違規風險。根據Proofpoint的 "2021年釣魚網站狀況報告"，基于附件的攻擊正變得越來越普遍，員工往往無法區分惡意郵件和他們需要合作的文件，尤其是在遠程工作如此普遍的情況下。目前，基于附件的攻擊的平均失敗率為20%，遠遠高于基于URL的攻擊的12%。

為什么反釣魚網站培訓沒有成功?

如果你認為這僅僅是一個與新冠疫情有關的問題，那就再想想吧，因為它比新冠疫情還要早。2019年，68%的組織專注于提高對基于鏈接的攻擊的認識，而只有10%的組織將精力放在基于附件的攻擊上。而在失敗率最高的網絡釣魚測試中，有65%是基于附件的，大多數郵件看起來像是來自一個可識別的內部賬戶，如主管或人力資源部門的人。

值得注意的是，由于人力資源部門每天都要與外部來源的簡歷和其他文件打交道，因此該部門成為附件式攻擊的受害者的風險更大。例如，在2020年，黑客能夠通過在簡歷和病假表內潛入惡意軟件來避免沙盒。

此外，威脅要對打開不可靠來源的電子郵件的員工進行嚴厲打擊的培訓會造成額外的問題。讓員工覺得如果他們沒有通過測試或錯過了一封危險的電子郵件，他們就會被解雇，這會造成網絡釣魚培訓的創傷。

最后，程序也可能被認為是侮辱性的。例如，論壇報出版公司在發送反網絡釣魚培訓電子郵件，承諾提供大量獎金后，受到了一些反感，當時正值全球新冠疫情爆發，記者們正在被裁員和減薪。像這樣的事件會導致安全團隊和公司其他部門之間的嚴重脫節。它也無助于建立一種友情，或激勵人們學習更多的安全知識。

是時候停止指責終端用戶了

除了用戶被越來越復雜的--和社會工程學的--網絡釣魚活動以及其他網絡漏洞所欺騙之外，還有大量的威脅是用戶意識培訓--和大多數安全解決方案--無能為力的。依靠簽名數據庫而無法檢測到零日漏洞或未披露的威脅的解決方案可能會留下重大漏洞。零日惡意軟件不斷被開發出來，并躲避一些最好的檢測機制。然而，許多組織的安全防御措施主要集中在威脅檢測和反釣魚培訓上。

這些解決方案可能會給終端用戶一種錯誤的安全感，認為他們無論如何都會受到保護，而許多威脅可能會從縫隙中溜走。如果安全解決方案不能檢測到這些威脅，那么你為什么會期望員工能夠檢測到它們呢?部署基于檢測的解決方案和依靠用戶意識培訓將無法提供企業所需的保護。

即使受過更好教育的用戶可以阻止更多的攻擊并創造更安全的網絡生態系統，但過度依賴網絡釣魚培訓也是不夠的--特別是考慮到最近的發展對現有的意識培訓造成了壓力。一旦組織轉向大規模的遠程工作，網絡釣魚培訓就會被移到優先事項清單的后面。而安全預算的削減有可能使資金從更先進和有效的措施中流失。

簡單地說，把所有的雞蛋放在網絡安全意識的籃子里是無效的。企業應該把更多的資源轉移到以數據和技術為基礎的預防解決方案上，這些方案更有可能跟上快速變化的威脅形勢，而且不會把責任推給用心良苦的員工。