網(wǎng)絡(luò)釣魚(yú)嘗試通常就像在桶里釣魚(yú)一樣——只要有足夠的時(shí)間，網(wǎng)絡(luò)攻擊者完全有可能釣到受害者。一旦他們認(rèn)識(shí)到一些受害者在網(wǎng)絡(luò)安全方面一直比較脆弱，就會(huì)繼續(xù)以他們?yōu)槟繕?biāo)，這樣的網(wǎng)絡(luò)釣魚(yú)就會(huì)一直持續(xù)下去。

咨詢機(jī)構(gòu)Strategic Security Solutions Consulting公司的首席執(zhí)行官兼創(chuàng)始人Johanna Baum說(shuō)：“網(wǎng)絡(luò)攻擊者的動(dòng)機(jī)和資金都非常充足，他們的唯一目的就是成功地吸引受害者。然而對(duì)于企業(yè)來(lái)說(shuō)，其重要的任務(wù)是保護(hù)所有潛在受害者?！?/p>

忽視或錯(cuò)誤判斷IT安全將會(huì)顯著增加網(wǎng)絡(luò)攻擊的可能性。但是，即使遵循的是一種全新的協(xié)議，為員工提供了安全培訓(xùn)，反復(fù)提醒員工核實(shí)可疑的信息，并了解最新的惡意活動(dòng)，企業(yè)在網(wǎng)絡(luò)安全防范方面仍然是被動(dòng)或是脆弱的。

以下是企業(yè)的反網(wǎng)絡(luò)釣魚(yú)策略不起作用的6個(gè)原因：

1、網(wǎng)絡(luò)釣魚(yú)攻擊正變得越來(lái)越復(fù)雜和具有迷惑性

Protiviti公司負(fù)責(zé)網(wǎng)絡(luò)攻擊和滲透測(cè)試的總經(jīng)理兼全球?qū)嵺`負(fù)責(zé)人Krissy Safi表示，網(wǎng)絡(luò)犯罪分子正在不斷開(kāi)發(fā)新戰(zhàn)術(shù)，誘使人們泄露敏感信息，因此，網(wǎng)絡(luò)釣魚(yú)攻擊變得越來(lái)越復(fù)雜。

Safi說(shuō)，“許多反網(wǎng)絡(luò)釣魚(yú)解決方案使用靜態(tài)規(guī)則來(lái)檢測(cè)網(wǎng)絡(luò)釣魚(yú)攻擊，網(wǎng)絡(luò)攻擊者可以使用更先進(jìn)的技術(shù)輕松繞過(guò)這些規(guī)則。此外，隨著ChatGPT的引入，邏輯完美并且語(yǔ)法流利的釣魚(yú)電子郵件將會(huì)激增，從而使識(shí)別網(wǎng)絡(luò)罪犯發(fā)送的釣魚(yú)電子郵件變得更加困難?！?/p>

ChatGPT和開(kāi)源版本可供網(wǎng)絡(luò)攻擊者使用，成為他們盜取數(shù)據(jù)的靈丹妙藥——人工智能技術(shù)可以實(shí)時(shí)了解哪些有效，哪些無(wú)效，增加了網(wǎng)絡(luò)攻擊者找到目標(biāo)的幾率。

即使沒(méi)有使用聊天機(jī)器人，網(wǎng)絡(luò)攻擊者也越來(lái)越熟練——以2022年云計(jì)算通信服務(wù)商Twilio公司遭遇的網(wǎng)絡(luò)攻擊為例。在這種情況下，網(wǎng)絡(luò)攻擊者能夠使用公開(kāi)的數(shù)據(jù)庫(kù)匹配員工姓名和電話號(hào)碼。Twilio公司在一份事件報(bào)告中說(shuō)，“社交工程攻擊成功地愚弄了一些員工，讓他們提供了登陸憑證。然后，網(wǎng)絡(luò)攻擊者使用被盜的登陸憑證進(jìn)入我們的一些內(nèi)部系統(tǒng)，在那里他們能夠訪問(wèn)和竊取我們的一些客戶數(shù)據(jù)?！?/p>

2、把所有的雞蛋都放在技術(shù)的籃子里

許多企業(yè)都試圖僅靠技術(shù)來(lái)解決網(wǎng)絡(luò)釣魚(yú)問(wèn)題。Thales集團(tuán)美洲區(qū)的首席信息安全官 Eric Liebowitz表示，這些企業(yè)正在購(gòu)買最新的工具來(lái)檢測(cè)可疑電子郵件，并為員工提供阻止這些可疑電子郵件的方法。Thales集團(tuán)是一家總部位于巴黎的開(kāi)發(fā)商，為航空航天、交通、國(guó)防和安全行業(yè)開(kāi)發(fā)設(shè)備和技術(shù)。

他說(shuō)，盡管這樣做很好，但網(wǎng)絡(luò)攻擊者總是會(huì)變得更老練。

Liebowitz說(shuō):“我認(rèn)為有很多企業(yè)沒(méi)有重視員工的網(wǎng)絡(luò)安全培訓(xùn)。他們可能擁有最好的工具，但如果沒(méi)有對(duì)員工進(jìn)行安全培訓(xùn)，那么也可能會(huì)發(fā)生糟糕的事情。”

Avanade公司北美安全主管Justin Haney表示，雖然一些企業(yè)已經(jīng)部署了正確的工具，并有適當(dāng)?shù)墓ぷ髁鞒虂?lái)打擊網(wǎng)絡(luò)釣魚(yú)活動(dòng)，但他們還沒(méi)有充分主動(dòng)地配置這些工具。

他說(shuō)，“例如，一些工具可能會(huì)標(biāo)記和檢測(cè)到惡意電子郵件，但不會(huì)自動(dòng)阻止，企業(yè)應(yīng)該部署特定的策略來(lái)應(yīng)對(duì)已經(jīng)識(shí)別出的潛在網(wǎng)絡(luò)釣魚(yú)活動(dòng)，而不是由分析師人工地完成工作?！?/p>

3、沒(méi)有采取全面和深入的防御策略

一些反網(wǎng)絡(luò)釣魚(yú)策略失敗的企業(yè)沒(méi)有采取全面和深入的防御策略。Haney說(shuō)，“他們可能專注于特定的技術(shù)，例如電子郵件反釣魚(yú)、多因素認(rèn)證、數(shù)據(jù)加密、端點(diǎn)/移動(dòng)安全，而沒(méi)有關(guān)注其他降低風(fēng)險(xiǎn)的技術(shù)，例如檢測(cè)泄露的身份?！?/p>

Lexmark公司的首席信息技術(shù)官Bryan Willett表示，如果不實(shí)施全面和深入的防御策略，而僅僅依靠反網(wǎng)絡(luò)釣魚(yú)程序，那么只需要一次成功的攻擊就能摧毀整個(gè)系統(tǒng)。信任基于電子郵件的防御方法或嚴(yán)重依賴用戶的安全培訓(xùn)本身就有缺陷，因?yàn)槿藗內(nèi)菀追稿e(cuò)誤，而網(wǎng)絡(luò)攻擊者只需要利用其中的一個(gè)錯(cuò)誤就能成功進(jìn)行攻擊。

Willett表示，防御網(wǎng)絡(luò)釣魚(yú)攻擊的最佳方法是通過(guò)分層防御方法。這包括在每個(gè)工作站上都有良好的端點(diǎn)檢測(cè)和響應(yīng)(EDR)系統(tǒng)，強(qiáng)大的漏洞管理程序，為每個(gè)用戶和管理帳戶啟用多因素身份驗(yàn)證，以及在LAN/WAN上實(shí)現(xiàn)分割以限制受感染系統(tǒng)的傳播。

Willett補(bǔ)充說(shuō)，“通過(guò)采取這些預(yù)防措施并實(shí)施多層防御，企業(yè)可以最好地防止網(wǎng)絡(luò)釣魚(yú)攻擊。我們必須假設(shè)網(wǎng)絡(luò)攻擊者會(huì)在某一時(shí)刻成功攻擊。因此，我們需要考慮到這一假設(shè)，采用全面和多層次的防御方法?！?/p>

4、未能培訓(xùn)員工識(shí)別網(wǎng)絡(luò)釣魚(yú)企圖

位于紐約的曼哈頓維爾學(xué)院的首席信息官Jim Russel表示，雖然告知員工不要點(diǎn)擊未知發(fā)件人電子郵件中的鏈接或打開(kāi)附件很重要，但企業(yè)還必須培訓(xùn)員工如何識(shí)別欺詐電子郵件。

他說(shuō)，“我們?cè)诰W(wǎng)絡(luò)安全培訓(xùn)中談到的一件事是可以采用真實(shí)的聲音，這是識(shí)別欺詐電子郵件的最重要因素之一。然而，人們?cè)陔娮余]件中進(jìn)行快速交流是安全漏洞之一。但幸運(yùn)的是，作為一個(gè)學(xué)術(shù)團(tuán)體，我們大多數(shù)人都是用完整的句子寫作的。他們可能有一個(gè)標(biāo)準(zhǔn)的稱呼。例如，‘嗨，勞倫，你好嗎?’就是一種典型的介紹。所以，如果沒(méi)有這些識(shí)別因素，就會(huì)缺乏真實(shí)性。”他表示，曼哈頓維爾學(xué)院的員工也接受過(guò)網(wǎng)絡(luò)安全培訓(xùn)，可以將任何可疑的電子郵件轉(zhuǎn)發(fā)給Russel帶領(lǐng)的團(tuán)隊(duì)，他們將會(huì)確定電子郵件的真實(shí)性。

戴爾科技公司的首席信息官Cross也認(rèn)為，成功的反網(wǎng)絡(luò)釣魚(yú)策略首先需要提高員工的網(wǎng)絡(luò)安全意識(shí)，讓他們知道如何識(shí)別釣魚(yú)電子郵件，并了解如何報(bào)告。這種方法是從許多企業(yè)常用的“不點(diǎn)擊”策略轉(zhuǎn)變而來(lái)的。Cross表示，實(shí)現(xiàn)零點(diǎn)擊率是一個(gè)不切實(shí)際的目標(biāo)。與其相反，教會(huì)員工如何報(bào)告可疑電子郵件，可以讓安全團(tuán)隊(duì)快速評(píng)估潛在威脅，并減輕其他人受到類似攻擊的影響。他指出，企業(yè)可以在電子郵件平臺(tái)中嵌入工具，讓員工更容易報(bào)告可疑的電子郵件。

然而，全球?qū)徲?jì)、稅務(wù)和咨詢機(jī)構(gòu)Mazars公司網(wǎng)絡(luò)安全業(yè)務(wù)的國(guó)家PCI實(shí)踐負(fù)責(zé)人Jacob Ansari表示，這種類型的網(wǎng)絡(luò)安全培訓(xùn)還不夠深入。他說(shuō)：“大多數(shù)反網(wǎng)絡(luò)釣魚(yú)策略的效果有限，因?yàn)樗鼈冡槍?duì)的是眾所周知的冰山一角：用戶行為。”他表示，只有在網(wǎng)絡(luò)釣魚(yú)計(jì)劃與合法的商業(yè)活動(dòng)區(qū)分開(kāi)來(lái)的情況下，培訓(xùn)用戶識(shí)別網(wǎng)絡(luò)釣魚(yú)攻擊才是有效的。但是，當(dāng)員工被期望從事與網(wǎng)絡(luò)釣魚(yú)計(jì)劃類似的活動(dòng)時(shí)，任何反網(wǎng)絡(luò)釣魚(yú)的努力都將很快付諸東流。

他說(shuō)：“例如，一家企業(yè)要求用戶點(diǎn)擊第三方發(fā)送者發(fā)送的鏈接來(lái)完成背景調(diào)查，或通過(guò)在其他地方托管的網(wǎng)頁(yè)表單中輸入個(gè)人信息來(lái)獲得福利，這是一種常規(guī)的商業(yè)慣例，這會(huì)降低反網(wǎng)絡(luò)釣魚(yú)培訓(xùn)的價(jià)值?！?/p>

Ansari表示，除了培訓(xùn)用戶之外，安全團(tuán)隊(duì)還需要與業(yè)務(wù)主管合作，重新設(shè)計(jì)業(yè)務(wù)流程，盡量減少電子郵件中點(diǎn)擊鏈接的使用，并要求員工與第三方互動(dòng)需要遵守企業(yè)安全通信標(biāo)準(zhǔn)，從而使業(yè)務(wù)流程不再看起來(lái)類似于網(wǎng)絡(luò)釣魚(yú)。

他說(shuō)：“企業(yè)還需要確保業(yè)務(wù)的所有部分，例如人力資源、營(yíng)銷和財(cái)務(wù)，以負(fù)責(zé)任的方式與第三方和企業(yè)內(nèi)部溝通，避免出現(xiàn)網(wǎng)絡(luò)釣魚(yú)的情況?！?/p>

5、缺乏執(zhí)行/激勵(lì)措施

Safi表示，即使一家企業(yè)制定了強(qiáng)有力的網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃和政策，如果違反政策的員工沒(méi)有受到懲罰，這些培訓(xùn)可能也不會(huì)起作用。例如，如果一名員工中了釣魚(yú)郵件的圈套，卻沒(méi)有報(bào)告，就應(yīng)該承擔(dān)相應(yīng)的責(zé)任，這樣將促使其他員工在未來(lái)的行為更加安全。

Russell表示，在曼哈頓維爾學(xué)院，上當(dāng)受騙的員工必須在10天內(nèi)學(xué)習(xí)一定數(shù)量的在線網(wǎng)絡(luò)培訓(xùn)課程。如果他們只是點(diǎn)擊一個(gè)鏈接，就需要完成一次培訓(xùn)。然而，如果他們提供了自己的登錄憑證，則必須完成三次。

他補(bǔ)充說(shuō)：“我還會(huì)查看那些中了網(wǎng)絡(luò)釣魚(yú)圈套的人員名單，并確定那些擁有更高特權(quán)的人員(例如副總裁)，然后對(duì)他們進(jìn)行懲罰。我還會(huì)跟蹤屢次犯錯(cuò)和那些沒(méi)有接受訓(xùn)練的人員，他們也會(huì)受到懲罰?！?/p>

6、過(guò)度依賴模擬網(wǎng)絡(luò)釣魚(yú)測(cè)試

凱捷公司的網(wǎng)絡(luò)安全服務(wù)主管Sushila Nair表示，當(dāng)前反網(wǎng)絡(luò)釣魚(yú)策略的另一個(gè)致命弱點(diǎn)是，一些企業(yè)希望用戶將訓(xùn)練成100%不會(huì)出錯(cuò)的人員。她說(shuō)：“人們普遍認(rèn)為，最終用戶在遭受網(wǎng)絡(luò)釣魚(yú)攻擊時(shí)應(yīng)該受到指責(zé)。然而，企業(yè)必須問(wèn)自己，‘是否真的在審視和衡量自己的價(jià)值，也就是必須確保用戶完全不會(huì)落入模擬網(wǎng)絡(luò)釣魚(yú)測(cè)試的圈套?’”

如果測(cè)試很復(fù)雜，那么會(huì)有更多的人面臨失敗。她補(bǔ)充說(shuō)，如果測(cè)試相當(dāng)簡(jiǎn)單，那么每個(gè)人都能順利通過(guò)。對(duì)于一些首席信息安全官來(lái)說(shuō)，在董事會(huì)會(huì)議上展示改進(jìn)的用戶可靠性指標(biāo)很具有誘惑力。然而，企業(yè)領(lǐng)導(dǎo)者必須接受這樣一個(gè)事實(shí)：無(wú)論如何進(jìn)行網(wǎng)絡(luò)安全方面培訓(xùn)，仍有一些用戶會(huì)點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)鏈接，在工作壓力加大的時(shí)候，這個(gè)數(shù)字還會(huì)增加。

Nair表示，更糟糕的是，許多企業(yè)運(yùn)行模擬網(wǎng)絡(luò)釣魚(yú)測(cè)試，使點(diǎn)擊鏈接正常化。Nair說(shuō)：“如果你點(diǎn)擊一個(gè)鏈接，它可能會(huì)讓你進(jìn)入一個(gè)門戶網(wǎng)站，然后提示‘你被愚弄了’。 但強(qiáng)迫用戶在模擬過(guò)程中進(jìn)行訓(xùn)練會(huì)產(chǎn)生相反的效果——他們更有可能點(diǎn)擊鏈接。”Nair補(bǔ)充說(shuō)，由于在繁忙和緊張的一天中點(diǎn)擊了一個(gè)鏈接而不得不接受網(wǎng)絡(luò)安全培訓(xùn)，這會(huì)讓大多數(shù)用戶厭煩完成網(wǎng)絡(luò)安全培訓(xùn)，并在不集中注意力的情況下盡快完成。

她說(shuō)：“它不僅會(huì)產(chǎn)生這種影響，還會(huì)影響用戶對(duì)釣魚(yú)電子郵件的反應(yīng)。他們不會(huì)點(diǎn)擊奇怪的電子郵件，因?yàn)樗麄冋J(rèn)為這是一個(gè)測(cè)試，但他們也不會(huì)報(bào)告。”

最重要的是，反網(wǎng)絡(luò)釣魚(yú)項(xiàng)目經(jīng)常失敗，因?yàn)槿藗內(nèi)菀追稿e(cuò)。美國(guó)Burr & Forman律師事務(wù)所網(wǎng)絡(luò)安全和數(shù)據(jù)隱私團(tuán)隊(duì)聯(lián)合主席、律師Elizabeth Shirley表示，盡管經(jīng)過(guò)網(wǎng)絡(luò)安全培訓(xùn)，并盡了最大努力，但人們還是會(huì)犯錯(cuò)。她說(shuō)：“人們也很情緒化，通常對(duì)產(chǎn)生緊迫感或必要性的網(wǎng)絡(luò)釣魚(yú)郵件具有本能反應(yīng)。這些情況不會(huì)改變。釣魚(yú)郵件仍將繼續(xù)存在，至少在可預(yù)見(jiàn)的未來(lái)是這樣?！?/p>