?譯者 | 劉濤

審校 | 孫淑娟

盡管我們經(jīng)常會慶祝技術(shù)的發(fā)展和創(chuàng)新的進(jìn)步，但網(wǎng)絡(luò)攻擊的日益復(fù)雜性使得情況不容樂觀。

網(wǎng)絡(luò)安全措施需要比網(wǎng)絡(luò)攻擊提前一步，才有希望與其對抗，但是隨著黑客和網(wǎng)絡(luò)安全工具的發(fā)展幾乎步調(diào)一致，如果沒有對人們的網(wǎng)絡(luò)安全意識進(jìn)行培訓(xùn)，科技將不可能迅速發(fā)展到足以保護(hù)企業(yè)的程度。

黑客采取的攻擊手段也更加個(gè)性化，因此網(wǎng)絡(luò)安全培訓(xùn)必須跟上。網(wǎng)絡(luò)釣魚可以針對個(gè)人，而不僅僅是“spray和pray”攻擊，它利用受害者生活中的個(gè)人隱私來觸發(fā)回應(yīng)。

技術(shù)對這種威脅無能為力；唯一的保護(hù)措施就是訓(xùn)練網(wǎng)絡(luò)安全從業(yè)人員識別騙局。

風(fēng)險(xiǎn)逐漸增大

網(wǎng)絡(luò)釣魚攻擊的危險(xiǎn)性一直在增加。遠(yuǎn)程辦公和企業(yè)混合辦公（Hybrid Work）的激增擴(kuò)大了網(wǎng)絡(luò)攻擊范圍，這是因?yàn)楹芏嗳硕荚谵k公室防火墻之外工作，并且缺乏安全團(tuán)隊(duì)不斷發(fā)出地威脅警告。

據(jù)普華永道（PWC）稱，43%的首席信息官（CIO）最擔(dān)心的就是企業(yè)混合辦公對數(shù)據(jù)隱私和網(wǎng)絡(luò)安全造成的影響。

如今，網(wǎng)絡(luò)入侵不僅變得更加頻繁，而且隨著數(shù)字化浪潮的興起，它們也變得更加地昂貴和危險(xiǎn)。黑客們今天所能夠收集到的信息遠(yuǎn)比幾年前要重要得多。

美國聯(lián)邦調(diào)查局（FBI）5月份公布的數(shù)據(jù)顯示，自2016年以來，商業(yè)電子郵件入侵（BEC）攻擊已造成超過430億美元的損失，其中包括網(wǎng)絡(luò)釣魚和其他社會工程手段。

烏克蘭戰(zhàn)爭以及西方國家對中國不斷升級的網(wǎng)絡(luò)侵略行為，使得某些政治代理人越來越多地使用網(wǎng)絡(luò)戰(zhàn)，而不僅僅是出于貪婪驅(qū)使的黑客。

這些政治代理人在國家高層的直接或者默許授權(quán)下，試圖改變?nèi)蛄α康钠胶猓啾扔谀切┲幌胭嶅X的網(wǎng)絡(luò)竊賊，這類人往往擁有更多的自由去操縱使用更好的黑客工具。

網(wǎng)絡(luò)戰(zhàn)加劇了供應(yīng)鏈攻擊，使小企業(yè)、公用事業(yè)和大型企業(yè)都成為攻擊的首要目標(biāo)。黑客們知道，數(shù)字化意味著所有的公司緊密相連，因此他們把目光投向了供應(yīng)鏈中最薄弱的環(huán)節(jié)。

太陽風(fēng)公司（Solarwinds）的惡意入侵事件給我們敲醒了警鐘：成功地入侵一家小型企業(yè)，可以為以后入侵大型企業(yè)打開后門。

針對人的網(wǎng)絡(luò)攻擊需要對員工專門培訓(xùn)

盡管我們希望科技可以拯救人類，但迅速發(fā)展的黑客技術(shù)和破壞力表明，只有把解決問題的思路聚焦于人本身才是最有效的。數(shù)字加速帶來了更加先進(jìn)的網(wǎng)絡(luò)安全工具，同時(shí)也帶來了更新更復(fù)雜的網(wǎng)絡(luò)攻擊。

今天，黑客和首席信息官/首席信息安全官（CIOs/CISOs ）陷入了一場勢均力敵的斗爭。

黑客很清楚這種勢均力敵的局面，所以他們故意把目標(biāo)鎖定在員工身上。

人為錯(cuò)誤仍然是每個(gè)團(tuán)隊(duì)的弱點(diǎn)；ThoughtLab網(wǎng)站的一份報(bào)告指出，在未來兩年內(nèi)，安全高管們預(yù)計(jì)來自社會工程（包括網(wǎng)絡(luò)釣魚）的攻擊將會增加。

不同于其他網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)釣魚攻擊的目標(biāo)不是防火墻，也不是服務(wù)器，而是依賴于人類的恐懼和希望來發(fā)揮破壞作用。惡意攻擊者通常會親自動(dòng)手研究，以發(fā)現(xiàn)個(gè)體目標(biāo)的具體觸發(fā)因素。

俄烏戰(zhàn)爭、生活成本不斷飆升、對大流行病的焦慮以及長期冠狀病毒疾病的影響，這些事件為網(wǎng)絡(luò)入侵者提供了許多新的手段，而現(xiàn)有的網(wǎng)絡(luò)安全工具無法阻止這些攻擊策略。

培訓(xùn)需要把重點(diǎn)放在教育員工認(rèn)識和抵制這些入侵手段。

慶幸的是，這種培訓(xùn)非常有效。霍克斯亨特（Hoxhunt）的研究表明，隨著員工完成模擬課程，他們識別釣魚郵件的能力得到了提高，識別威脅的報(bào)告率也隨之上升，僅僅六次培訓(xùn)，威脅報(bào)告率就從0提高到了65%。

與此同時(shí)，平均失敗率從14%降至4%。

員工培訓(xùn)不能僅局限于技術(shù)層面

盡管基于模擬的培訓(xùn)非常普遍和有效，但是它還遠(yuǎn)遠(yuǎn)不夠。

如果對防范網(wǎng)絡(luò)釣魚的培訓(xùn)僅僅基于技術(shù)，那么單憑預(yù)先設(shè)置好的模擬仿真不足以訓(xùn)練員工適應(yīng)真實(shí)世界的網(wǎng)絡(luò)入侵情況。

至關(guān)重要的是，要確保員工了解所涉及的入侵手段，而不是簡單地懲罰他們的高失敗率。真正的網(wǎng)絡(luò)釣魚往往比模擬仿真更有說服力。因此，如果模擬仿真不完善，員工還是會在最重要的障礙處跌倒。

讓網(wǎng)絡(luò)釣魚模擬仿真足夠引人注目需要的不僅僅是技術(shù)，有效的培訓(xùn)是建立在行為科學(xué)的基礎(chǔ)上的。因此，員工意識越強(qiáng)，模擬就越困難。

這需要理解每個(gè)員工的觸發(fā)點(diǎn)、文化共鳴以及他們可能點(diǎn)擊釣魚鏈接的原因。黑客投入了那么多精力，所以模擬仿真也必須這么做。

技術(shù)需要和人類情感攜手合作

要成功應(yīng)對日益增長的網(wǎng)絡(luò)安全威脅，需要同時(shí)利用技術(shù)工具和人類情感。

只有跟真正的黑客交過手，開發(fā)出真實(shí)的模擬仿真才能觸動(dòng)員工們的警惕心，從而讓員工做好防范網(wǎng)絡(luò)釣魚和保護(hù)公司的準(zhǔn)備。

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測管控負(fù)責(zé)人。

原文標(biāo)題：??Tech Can Only Do so Much to Prevent Today's Sophisticated Cyber Attacks??，作者：Gabrielle Sadeh