为什么不能只靠防网络钓鱼培训

是时候仔细审视我们为什么如此依赖最终用户来发现危害整个公司的网络钓鱼欺诈了。随着黑客持续精进其社会工程技巧，网络钓鱼攻击也变得更难以检测了：39%的情况下都会漏报。只要电子邮件还是业务运营必不可少的部分，无论你觉得自家防网络钓鱼培训计划如何先进，公司也依然面临社会工程攻击风险。

因为我们每天都要跟电子邮件打交道，就算不断接受高端防网络钓鱼培训，也免不了对电子邮件有一定程度的盲目信任。很多情况下，黑客会精心引发其目标的情绪反应，例如，发送“来自”人力资源或首席执行官的紧急邮件。这种邮件更容易造成不当下载或回复，危害整个企业。

通过电子邮件共享文件是另一个必备业务功能，却会致使企业面临重大数据泄露风险。Proofpoint《2021年网络钓鱼状况报告》显示，基于附件的攻击变得更为普遍，员工往往无法区分恶意电子邮件和附需协作文件的正常邮件，尤其是在远程办公如此普遍的当下。目前，基于附件的攻击的平均识别失败率是20%，远高于基于URL的攻击。

为什么防网络钓鱼培训并不成功

别以为网络钓鱼单纯是疫情催生远程办公才出现的问题，因为这个问题早在新冠肺炎疫情之前就存在了。2019年，68%的企业致力于提高对基于链接的攻击的认识，只有10%的企业着力提升对基于附件的攻击的认识。失败率最高的网络钓鱼测试中65%是基于附件的，其中大多数电子邮件看起来貌似来自直管领导或人事部门人员等具有辨识度的内部账户。

值得注意的是，因为日常需要处理来自外部的简历和其他文件，人力资源部门更容易沦为附件攻击的受害者。例如，2020年，黑客成功通过在简历和病假单里混入恶意软件而绕过了沙箱检测。

此外，让员工感受到如果打开不可信电子邮件就会遭到严惩的培训还会引发其他问题。如果让员工觉得只要测试不合格或漏掉一封危险电子邮件就会被辞退，可能会造成网络钓鱼培训精神创伤。

最后，培训计划也可能被认为是侮辱。举个例子，全球疫情期间记者遭遇裁员和减薪的情况下，论坛出版公司向员工发送承诺巨额奖金的防网络钓鱼培训电子邮件就遭到了强烈抵制。这类事件可导致安全团队和公司其他人员之间的严重割裂，也对营造和谐互助氛围和激励员工了解安全知识毫无益处。

是时候停止责怪最终用户了

除了用户被越来越复杂的社会工程网络钓鱼攻击和其他网络漏洞利用诱骗之外，还有很多威胁是用户意识培训和大多数安全解决方案无能为力的。依赖特征码数据库的解决方案，以及无法检测零日漏洞利用或未披露威胁的解决方案，都可能留下巨大的安全空白。零日漏洞利用恶意软件不断被开发出来，能够绕过某些最顶级的检测机制。然而，还是有很多企业的安全防御措施很大程度上专注威胁检测和防网络钓鱼培训。

这些解决方案可能会赋予最终用户虚假的安全感，觉得无论发生什么情况自己都能受到保护，而实际上有太多威胁可以透过防御缝隙潜入。如果安全解决方案无法检测这些威胁，那为什么还期待员工能够发现它们呢?部署基于检测的解决方案并仰赖用户意识培训无法提供企业所需的防护。

即使受过良好教育的用户可以阻止更多的攻击和创建更安全的网络生态，过度依赖网络钓鱼培训也是不足够的，尤其是考虑到近期的事态发展给现有意识培训造成压力的情况下。一旦企业转向大规模远程办公，网络钓鱼培训的优先级就会下降。安全预算削减可能会令更先进有效的防御措施失去资金支持。

简而言之，把所有的鸡蛋都放在网络安全意识培训这一个篮子里是不明智的。企业应该将更多的资源转移到以数据和技术为基础的预防解决方案上，这类解决方案更有可能跟上快速变化的威胁形势，而且不会把责任推给善意的员工。