?譯者 | 劉濤

審校 | 孫淑娟

盡管我們經常會慶祝技術的發展和創新的進步，但網絡攻擊的日益復雜性使得情況不容樂觀。

網絡安全措施需要比網絡攻擊提前一步，才有希望與其對抗，但是隨著黑客和網絡安全工具的發展幾乎步調一致，如果沒有對人們的網絡安全意識進行培訓，科技將不可能迅速發展到足以保護企業的程度。

黑客采取的攻擊手段也更加個性化，因此網絡安全培訓必須跟上。網絡釣魚可以針對個人，而不僅僅是“spray和pray”攻擊，它利用受害者生活中的個人隱私來觸發回應。

技術對這種威脅無能為力；唯一的保護措施就是訓練網絡安全從業人員識別騙局。

風險逐漸增大

網絡釣魚攻擊的危險性一直在增加。遠程辦公和企業混合辦公（Hybrid Work）的激增擴大了網絡攻擊范圍，這是因為很多人都在辦公室防火墻之外工作，并且缺乏安全團隊不斷發出地威脅警告。

據普華永道（PWC）稱，43%的首席信息官（CIO）最擔心的就是企業混合辦公對數據隱私和網絡安全造成的影響。

如今，網絡入侵不僅變得更加頻繁，而且隨著數字化浪潮的興起，它們也變得更加地昂貴和危險。黑客們今天所能夠收集到的信息遠比幾年前要重要得多。

美國聯邦調查局（FBI）5月份公布的數據顯示，自2016年以來，商業電子郵件入侵（BEC）攻擊已造成超過430億美元的損失，其中包括網絡釣魚和其他社會工程手段。

烏克蘭戰爭以及西方國家對中國不斷升級的網絡侵略行為，使得某些政治代理人越來越多地使用網絡戰，而不僅僅是出于貪婪驅使的黑客。

這些政治代理人在國家高層的直接或者默許授權下，試圖改變全球力量的平衡，相比于那些只想賺錢的網絡竊賊，這類人往往擁有更多的自由去操縱使用更好的黑客工具。

網絡戰加劇了供應鏈攻擊，使小企業、公用事業和大型企業都成為攻擊的首要目標。黑客們知道，數字化意味著所有的公司緊密相連，因此他們把目光投向了供應鏈中最薄弱的環節。

太陽風公司（Solarwinds）的惡意入侵事件給我們敲醒了警鐘：成功地入侵一家小型企業，可以為以后入侵大型企業打開后門。

針對人的網絡攻擊需要對員工專門培訓

盡管我們希望科技可以拯救人類，但迅速發展的黑客技術和破壞力表明，只有把解決問題的思路聚焦于人本身才是最有效的。數字加速帶來了更加先進的網絡安全工具，同時也帶來了更新更復雜的網絡攻擊。

今天，黑客和首席信息官/首席信息安全官（CIOs/CISOs ）陷入了一場勢均力敵的斗爭。

黑客很清楚這種勢均力敵的局面，所以他們故意把目標鎖定在員工身上。

人為錯誤仍然是每個團隊的弱點；ThoughtLab網站的一份報告指出，在未來兩年內，安全高管們預計來自社會工程（包括網絡釣魚）的攻擊將會增加。

不同于其他網絡攻擊，網絡釣魚攻擊的目標不是防火墻，也不是服務器，而是依賴于人類的恐懼和希望來發揮破壞作用。惡意攻擊者通常會親自動手研究，以發現個體目標的具體觸發因素。

俄烏戰爭、生活成本不斷飆升、對大流行病的焦慮以及長期冠狀病毒疾病的影響，這些事件為網絡入侵者提供了許多新的手段，而現有的網絡安全工具無法阻止這些攻擊策略。

培訓需要把重點放在教育員工認識和抵制這些入侵手段。

慶幸的是，這種培訓非常有效。霍克斯亨特（Hoxhunt）的研究表明，隨著員工完成模擬課程，他們識別釣魚郵件的能力得到了提高，識別威脅的報告率也隨之上升，僅僅六次培訓，威脅報告率就從0提高到了65%。

與此同時，平均失敗率從14%降至4%。

員工培訓不能僅局限于技術層面

盡管基于模擬的培訓非常普遍和有效，但是它還遠遠不夠。

如果對防范網絡釣魚的培訓僅僅基于技術，那么單憑預先設置好的模擬仿真不足以訓練員工適應真實世界的網絡入侵情況。

至關重要的是，要確保員工了解所涉及的入侵手段，而不是簡單地懲罰他們的高失敗率。真正的網絡釣魚往往比模擬仿真更有說服力。因此，如果模擬仿真不完善，員工還是會在最重要的障礙處跌倒。

讓網絡釣魚模擬仿真足夠引人注目需要的不僅僅是技術，有效的培訓是建立在行為科學的基礎上的。因此，員工意識越強，模擬就越困難。

這需要理解每個員工的觸發點、文化共鳴以及他們可能點擊釣魚鏈接的原因。黑客投入了那么多精力，所以模擬仿真也必須這么做。

技術需要和人類情感攜手合作

要成功應對日益增長的網絡安全威脅，需要同時利用技術工具和人類情感。

只有跟真正的黑客交過手，開發出真實的模擬仿真才能觸動員工們的警惕心，從而讓員工做好防范網絡釣魚和保護公司的準備。

譯者介紹

劉濤，51CTO社區編輯，某大型央企系統上線檢測管控負責人。

原文標題：??Tech Can Only Do so Much to Prevent Today's Sophisticated Cyber Attacks??，作者：Gabrielle Sadeh