文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

为什么说针对反网络钓鱼的培训还远远不够?

2024-12-03 04:36

关注

现在是时候让我们认真审视一下,为什么我们如此依赖终端用户来捕捉可能危及整个公司的网络钓鱼骗局。随着黑客继续推进他们的社会工程技术,网络钓鱼攻击变得越来越难发现,而且有39%的时间被遗漏。虽然你可能认为你的反钓鱼培训计划是最新的,但只要电子邮件是业务运营所必需的,你的组织将继续面临风险。

[[402749]]

由于我们每天都与电子邮件打交道,尽管有持续的、复杂的反钓鱼培训,但我们还是有一定程度的盲目信任。在许多情况下,黑客会想方设法引起目标的情感反应--例如,通过发送 "来自 "人力资源部或首席执行官的紧急信息。这些更有可能导致不当的下载或电子邮件回复,从而损害整个组织。

通过电子邮件共享文件是另一项必要的业务功能,使组织面临重大的违规风险。根据Proofpoint的 "2021年钓鱼网站状况报告",基于附件的攻击正变得越来越普遍,员工往往无法区分恶意邮件和他们需要合作的文件,尤其是在远程工作如此普遍的情况下。目前,基于附件的攻击的平均失败率为20%,远远高于基于URL的攻击的12%。

为什么反钓鱼网站培训没有成功?

如果你认为这仅仅是一个与新冠疫情有关的问题,那就再想想吧,因为它比新冠疫情还要早。2019年,68%的组织专注于提高对基于链接的攻击的认识,而只有10%的组织将精力放在基于附件的攻击上。而在失败率最高的网络钓鱼测试中,有65%是基于附件的,大多数邮件看起来像是来自一个可识别的内部账户,如主管或人力资源部门的人。

值得注意的是,由于人力资源部门每天都要与外部来源的简历和其他文件打交道,因此该部门成为附件式攻击的受害者的风险更大。例如,在2020年,黑客能够通过在简历和病假表内潜入恶意软件来避免沙盒。

此外,威胁要对打开不可靠来源的电子邮件的员工进行严厉打击的培训会造成额外的问题。让员工觉得如果他们没有通过测试或错过了一封危险的电子邮件,他们就会被解雇,这会造成网络钓鱼培训的创伤。

最后,程序也可能被认为是侮辱性的。例如,论坛报出版公司在发送反网络钓鱼培训电子邮件,承诺提供大量奖金后,受到了一些反感,当时正值全球新冠疫情爆发,记者们正在被裁员和减薪。像这样的事件会导致安全团队和公司其他部门之间的严重脱节。它也无助于建立一种友情,或激励人们学习更多的安全知识。

是时候停止指责终端用户了

除了用户被越来越复杂的--和社会工程学的--网络钓鱼活动以及其他网络漏洞所欺骗之外,还有大量的威胁是用户意识培训--和大多数安全解决方案--无能为力的。依靠签名数据库而无法检测到零日漏洞或未披露的威胁的解决方案可能会留下重大漏洞。零日恶意软件不断被开发出来,并躲避一些最好的检测机制。然而,许多组织的安全防御措施主要集中在威胁检测和反钓鱼培训上。

这些解决方案可能会给终端用户一种错误的安全感,认为他们无论如何都会受到保护,而许多威胁可能会从缝隙中溜走。如果安全解决方案不能检测到这些威胁,那么你为什么会期望员工能够检测到它们呢?部署基于检测的解决方案和依靠用户意识培训将无法提供企业所需的保护。

即使受过更好教育的用户可以阻止更多的攻击并创造更安全的网络生态系统,但过度依赖网络钓鱼培训也是不够的--特别是考虑到最近的发展对现有的意识培训造成了压力。一旦组织转向大规模的远程工作,网络钓鱼培训就会被移到优先事项清单的后面。而安全预算的削减有可能使资金从更先进和有效的措施中流失。

简单地说,把所有的鸡蛋放在网络安全意识的篮子里是无效的。企业应该把更多的资源转移到以数据和技术为基础的预防解决方案上,这些方案更有可能跟上快速变化的威胁形势,而且不会把责任推给用心良苦的员工。

 

来源:ITPUB内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯