根據安全廠商Egress的最新發布的《2024年電子郵件安全風險報告》，2023年電子郵件安全仍然是企業網絡安全人士最關心的問題，因為超過九成(94%)的網絡安全決策者遭遇過網絡釣魚攻擊，這一數字比上一年增長了2%，2023年電子郵件安全的重要統計數據如下：

• 94%的企業發生過郵件安全事件，91%的企業發生過數據泄漏事件
• 79%的賬戶接管攻擊始于網絡釣魚
• 95%的網絡安全領導者對郵件安全感到心力交瘁(由于傳統方法失效以及AI新威脅的迫近)
• 91%的網絡安全領導者對郵件安全網關產品感到極度失望
• 90%的網絡安全領導者對郵件DLP產品的局限性表示關切
• 91%的網絡安全領導者質疑傳統安全意識培訓方法的有效性

調查顯示，2023年使用最多的三種網絡釣魚技術分別是：

• 惡意URL
• 惡意軟件或勒索軟件附件
• 從供應鏈受感染郵件帳戶發送惡意郵件

該報告還顯示，大多數網絡安全領導者意識到網絡釣魚是企業面臨的一個嚴重問題。其中高達95%的受訪者表示，他們對電子郵件安全感到壓力。

其中，受感染供應鏈郵件賬戶對企業威脅最大，半數網絡釣魚攻擊都是通過供應鏈或企業內部受感染郵件帳戶發起，企業安全主管最擔心的五種網絡釣魚郵件如下(受訪人數占比)：

此外，網絡釣魚攻擊者變得更加高效，高達96%企業因網絡釣魚攻擊蒙受損失，2022年這一比例為86%。

值得注意的是，網絡釣魚也是賬戶接管攻擊的主要手段之一，2023年58%的企業發生賬戶被盜，其中79%來自通過網絡釣魚獲取的憑據。

83%的賬戶接管攻擊中發生多因素認證被繞過

Egress威脅情報副總裁Jack Chapman評論道：“在高級網絡釣魚攻擊、人為錯誤和數據泄露方面，企業的郵件安全漏洞仍然存在，分析新興威脅趨勢將是加強防御的關鍵。”

人工智能驅動的電子郵件威脅迫在眉睫

企業安全主管們還密切關注大型語言模型(LLM)和深度偽造等新型人工智能工具在網絡釣魚攻擊中的使用情況，63%的受訪者表示，他們被深度偽造“困擾”，61%的受訪者表示，他們被人工智能聊天機器人“困擾”。

九成用戶對郵件安全產品不滿意

受訪的大多數網絡安全領導者質疑傳統郵件安全解決方案(例如郵件安全網關和DLP)的防御能力。例如，在使用安全電子郵件網關(SEG)產品的企業中，近91%的受訪者對該產品表示失望，87%的人正在考慮或者已經更換安全電子郵件網關產品(下圖)：

此外，94%的受訪者使用靜態郵件DLP規則，51%依賴日志審計來檢測入侵。在使用靜態郵件DLP規則的用戶中，100%的受訪者都表達了不滿，最常見的抱怨是：需要修改規則適應員工，管理開銷也很大。74%的安全領導者還考慮關閉Outlook的自動地址完成功能，以減少發錯收件人的問題。

員工為錯誤付出代價

郵件安全的這種挫敗感有時會傳遞給員工，網絡安全領導者經常對員工采取強硬立場。

研究發現，在遭受網絡釣魚攻擊的員工中：

• 51%受到紀律處分
• 39%被解雇
• 27%自愿離職

除了人員損失外，網絡釣魚攻擊給企業帶來的其他損失還包括：經濟損失、品牌和聲譽損失、合規處罰等。

安全意識培訓亟待變革

報告揭示了一個貌似矛盾的事實：大多數企業未能向員工提供有效的安全意識培訓，但同時這些企業又質疑安全意識培訓的效果——91%的網絡安全領導者對傳統安全意識培訓的有效性表示懷疑，造成這種現象的主要原因除了企業對安全意識培訓缺乏足夠重視外，還包括安全意識培訓服務自身的問題，例如：

大多數受訪者表示，安全意識培訓并不是針對員工(所在部門和崗位)量身定制的，只有19%的企業根據員工所在部門或團隊提供有針對性的安全意識培訓。

此外，安全意識培訓經常被視為一項無足輕重的練習，88%的情況下僅是出于合規目的。

Egress警告說：“企業對待安全意識的態度不應該是‘如果它沒有壞，就不要修理它’。企業迫切需要改變對安全意識的看法，否則2024年可能會陷入更大困境。”

*Egress報告的調查數據來自全球500名網絡安全領導者，包括來自美國、英國和澳大利亞的CISO和CIO，他們在金融服務、法律、醫療以及政府或慈善部門工作。