企业安全威胁中来自网络邮件的威胁在近几年不断增长,因此不少企业为雇员开展安全培训,希望他们能够及时识别钓鱼邮件,钓鱼短信及其他钓鱼内容。但一年一次的培训并不能满足当前网络安全形势下企业的需求。
一方面,现在企业雇员的流动性较大(职位更替),威胁形势“与时俱进”,另一方面,安全知识和实际操作如果没有得到及时巩固容易遗忘,更何况安全意识和知识本身还存在差异。
了解威胁的存在和了解如何识别与响应发生在自己身上的安全事件并不相同!对企业而言,更深层面地帮助员工了解网络钓鱼防范措施是非常必要的,因为这能可持续地改变员工对网络安全事件的处理态度。——Wombat 安全研究员
近期,Wombat也发布了企业年度钓鱼统计报告,从这份报告中我们可以清晰地看到不同地区企业间的差异,不同的企业使用不同的工具对终端用户进行钓鱼培训。
在美国,多数企业使用基于在线的安全意识培训工具和模拟的钓鱼攻击来训练雇员。而在英国,企业普遍选择的是非主动的训练方式(培训视频、介绍等形式)。
其中,46% 的美国企业双周或按月进行安全培训,而在英国企业中这个比例约占21%。
而从培训结果来看,61%的美国企业能够能通过培训得到可量化的培训结果,而英国企业仅占28%。
在此次调查中该机构还根据仿真钓鱼攻击的数据,发现了一些有趣的结果:
针对性的钓鱼攻击不再比普通钓鱼攻击更具备影响力 用户在周中更倾向向上于汇报可疑邮件 对用户最具诱惑力的邮件主题是:在线购物的安全更新,来自未知来电者的企业语音呼叫,企业邮箱更新 两种模拟钓鱼攻击的点击率接近100%:数据库密码重置警告,最新建筑物疏散计划 在模拟测试中,电信、零售、消费、政府以及酒店行业的企业平均点击率最高(15%至13%),而能源、金融、交通和国防企业则做得做好(点击率仅有 8%至3%)。 有四种类别的钓鱼攻击平均点击率经历显著下降,分别是企业钓鱼、商业钓鱼、云钓鱼以及消费者钓鱼。
本次调查报告中还显示出严峻的企业安全钓鱼威胁和应对态势:
2017年中 53%的信息安全专家表示自己经历过鱼叉式网络钓鱼攻击。 95%的企业组织了如何识别和避免网络钓鱼攻击的培训。 45%的企业表示,如果雇员在模拟测试中“中招”,会采取一定措施。 后果可能包括与经理或IT部门的沟通,额外的培训以及系统权限移除以及罚款。