為什么不能只靠防網絡釣魚培訓
是時候仔細審視我們為什么如此依賴最終用戶來發現危害整個公司的網絡釣魚欺詐了。隨著黑客持續精進其社會工程技巧,網絡釣魚攻擊也變得更難以檢測了:39%的情況下都會漏報。只要電子郵件還是業務運營必不可少的部分,無論你覺得自家防網絡釣魚培訓計劃如何先進,公司也依然面臨社會工程攻擊風險。
因為我們每天都要跟電子郵件打交道,就算不斷接受高端防網絡釣魚培訓,也免不了對電子郵件有一定程度的盲目信任。很多情況下,黑客會精心引發其目標的情緒反應,例如,發送“來自”人力資源或首席執行官的緊急郵件。這種郵件更容易造成不當下載或回復,危害整個企業。
通過電子郵件共享文件是另一個必備業務功能,卻會致使企業面臨重大數據泄露風險。Proofpoint《2021年網絡釣魚狀況報告》顯示,基于附件的攻擊變得更為普遍,員工往往無法區分惡意電子郵件和附需協作文件的正常郵件,尤其是在遠程辦公如此普遍的當下。目前,基于附件的攻擊的平均識別失敗率是20%,遠高于基于URL的攻擊。
為什么防網絡釣魚培訓并不成功
別以為網絡釣魚單純是疫情催生遠程辦公才出現的問題,因為這個問題早在新冠肺炎疫情之前就存在了。2019年,68%的企業致力于提高對基于鏈接的攻擊的認識,只有10%的企業著力提升對基于附件的攻擊的認識。失敗率最高的網絡釣魚測試中65%是基于附件的,其中大多數電子郵件看起來貌似來自直管領導或人事部門人員等具有辨識度的內部賬戶。
值得注意的是,因為日常需要處理來自外部的簡歷和其他文件,人力資源部門更容易淪為附件攻擊的受害者。例如,2020年,黑客成功通過在簡歷和病假單里混入惡意軟件而繞過了沙箱檢測。
此外,讓員工感受到如果打開不可信電子郵件就會遭到嚴懲的培訓還會引發其他問題。如果讓員工覺得只要測試不合格或漏掉一封危險電子郵件就會被辭退,可能會造成網絡釣魚培訓精神創傷。
最后,培訓計劃也可能被認為是侮辱。舉個例子,全球疫情期間記者遭遇裁員和減薪的情況下,論壇出版公司向員工發送承諾巨額獎金的防網絡釣魚培訓電子郵件就遭到了強烈抵制。這類事件可導致安全團隊和公司其他人員之間的嚴重割裂,也對營造和諧互助氛圍和激勵員工了解安全知識毫無益處。
是時候停止責怪最終用戶了
除了用戶被越來越復雜的社會工程網絡釣魚攻擊和其他網絡漏洞利用誘騙之外,還有很多威脅是用戶意識培訓和大多數安全解決方案無能為力的。依賴特征碼數據庫的解決方案,以及無法檢測零日漏洞利用或未披露威脅的解決方案,都可能留下巨大的安全空白。零日漏洞利用惡意軟件不斷被開發出來,能夠繞過某些最頂級的檢測機制。然而,還是有很多企業的安全防御措施很大程度上專注威脅檢測和防網絡釣魚培訓。
這些解決方案可能會賦予最終用戶虛假的安全感,覺得無論發生什么情況自己都能受到保護,而實際上有太多威脅可以透過防御縫隙潛入。如果安全解決方案無法檢測這些威脅,那為什么還期待員工能夠發現它們呢?部署基于檢測的解決方案并仰賴用戶意識培訓無法提供企業所需的防護。
即使受過良好教育的用戶可以阻止更多的攻擊和創建更安全的網絡生態,過度依賴網絡釣魚培訓也是不足夠的,尤其是考慮到近期的事態發展給現有意識培訓造成壓力的情況下。一旦企業轉向大規模遠程辦公,網絡釣魚培訓的優先級就會下降。安全預算削減可能會令更先進有效的防御措施失去資金支持。
簡而言之,把所有的雞蛋都放在網絡安全意識培訓這一個籃子里是不明智的。企業應該將更多的資源轉移到以數據和技術為基礎的預防解決方案上,這類解決方案更有可能跟上快速變化的威脅形勢,而且不會把責任推給善意的員工。
