反网络钓鱼策略为何失效?
网络钓鱼是犯罪分子最容易实施的网络攻击方式之一,也是最容易得手的方式之一。当今网络钓鱼猖獗,反网络钓鱼策略不断跟进,但取得的效果不佳,由此,本文总结以下五大反网络钓鱼策略失效的原因:
一、网络钓鱼攻击日益复杂化
随着网络安全技术的不断进步,防御者可以用更先进的工具和技术来检测和阻止网络钓鱼电子邮件、链接和消息,但网络钓鱼攻击技术和策略也在不断进步和演变。许多反网络钓鱼解决方案使用静态规则来检测网络钓鱼攻击,攻击者使用更先进的技术可以轻松绕过这些攻击。
此外,随着ChatGPT的引入,语言流畅、语法完整的网络钓鱼电子邮件将激增,在数秒钟内即可生成数百万条鱼叉式网络钓鱼消息。同时,ChatGPT这类智能AI聊天机器人可以根据剧本自动套取用户的个人信息,受害者甚至不知道他们正在与人工智能互动,从而使得识别网络犯罪分子发送的网络钓鱼电子邮件更加困难。
二、缺乏员工网络安全意识培训
钓鱼网站之所以容易成功,关键在于“人”。培训员工不要点击来自未知发件人的电子邮件中的链接或打开附件至关重要,但企业还必须教育员工如何识别欺诈性电子邮件。真实性是识别欺诈性电子邮件的最重要因素之一,譬如一封邮件内容用语习惯与平时不一致,其真实性就是存疑的。
因此,企业要加强员工网络安全教育,提升辨别钓鱼邮件的能力,且这种培训是持续性的。同时,也要定期进行钓鱼邮件演练测试。新人入职后,安全部门要协助新员工保持警惕。
除了培训用户外,在跨部门或跨企业接洽业务时,企业还需要通力合作,重新设计业务流程,使其不再与网络钓鱼模式相似,尽量减少在电子邮件中使用点击链接,并要求各方遵循企业安全通信标准。
三、缺乏全面纵深的防御策略
员工对于网络钓鱼网站无法实现“零点击”,因此企业有必要使用一些安全的办公工具和技术来防止网络钓鱼邮件。例如,实施多因素身份验证(MFA)、单点登录(SSO)、身份即服务(IDaaS)等技术,降低员工账户密码被钓鱼的可能。
防御网络钓鱼攻击的最佳方法是通过分层防御方法。这包括在每个工作网站上拥有良好的端点检测和响应 (EDR)系统、强大的漏洞管理程序、为每个用户和管理员帐户启用多因素身份验证,以及跨 LAN/WAN 实施分段以限制受感染系统的传播。通过采取这些预防措施并实施分层防御,组织可以有效防范网络钓鱼攻击。
四、缺乏举报钓鱼邮件奖励机制
企业即使设置了全面的网络钓鱼防御策略,采用完备先进的反钓鱼技术,若员工在收到钓鱼邮件时,不采取任何反馈措施,网络钓鱼同样无法得到遏制。企业可以设置钓鱼邮件举报的奖励机制,鼓励员工发现并举报钓鱼邮件。在此机制下, 员工会加深对网络钓鱼电子邮件的印象,提高警觉性,有助于树立规范报告可疑电子邮件的企业文化,筑牢企业网络安全防线。
五、过分依赖网络钓鱼模拟测试
当前反网络钓鱼策略的一个致命弱点是,部分公司的目标是培训员工面对网络钓鱼模拟测试做到100%万无一失。如果测试很复杂,那么更多的测试就会失败,而如果测试相当容易,那么每个人都会以优异的成绩通过。事实上,无论公司对员工进行多少培训,都会存在一小部分员工或用户点击链接,在网络攻击日益复杂化的背景下,这个数字还会增加。
过多的网络钓鱼模拟测试,会使得员工产生逆反心理。在结束一天的工作后,员工被迫投入到模拟测试中,这将让员工厌烦该项测试,并且试图尽快完成而不需要集中注意力。更严重的后果将是员工在面临真正的网络钓鱼电子邮件时,误认为这仅是测试,而不会向企业反馈。
网络钓鱼攻击方式在不断进化,反网络钓鱼策略更需与时俱进,企业应从制度和技术两方面入手,建设完备的企业网络安全制度,提高员工网络安全意识,引进、优化相关技术。