根據(jù)安全廠商Egress的最新發(fā)布的《2024年電子郵件安全風(fēng)險報告》，2023年電子郵件安全仍然是企業(yè)網(wǎng)絡(luò)安全人士最關(guān)心的問題，因為超過九成(94%)的網(wǎng)絡(luò)安全決策者遭遇過網(wǎng)絡(luò)釣魚攻擊，這一數(shù)字比上一年增長了2%，2023年電子郵件安全的重要統(tǒng)計數(shù)據(jù)如下：

• 94%的企業(yè)發(fā)生過郵件安全事件，91%的企業(yè)發(fā)生過數(shù)據(jù)泄漏事件
• 79%的賬戶接管攻擊始于網(wǎng)絡(luò)釣魚
• 95%的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者對郵件安全感到心力交瘁(由于傳統(tǒng)方法失效以及AI新威脅的迫近)
• 91%的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者對郵件安全網(wǎng)關(guān)產(chǎn)品感到極度失望
• 90%的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者對郵件DLP產(chǎn)品的局限性表示關(guān)切
• 91%的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者質(zhì)疑傳統(tǒng)安全意識培訓(xùn)方法的有效性

調(diào)查顯示，2023年使用最多的三種網(wǎng)絡(luò)釣魚技術(shù)分別是：

• 惡意URL
• 惡意軟件或勒索軟件附件
• 從供應(yīng)鏈?zhǔn)芨腥距]件帳戶發(fā)送惡意郵件

該報告還顯示，大多數(shù)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者意識到網(wǎng)絡(luò)釣魚是企業(yè)面臨的一個嚴(yán)重問題。其中高達(dá)95%的受訪者表示，他們對電子郵件安全感到壓力。

其中，受感染供應(yīng)鏈郵件賬戶對企業(yè)威脅最大，半數(shù)網(wǎng)絡(luò)釣魚攻擊都是通過供應(yīng)鏈或企業(yè)內(nèi)部受感染郵件帳戶發(fā)起，企業(yè)安全主管最擔(dān)心的五種網(wǎng)絡(luò)釣魚郵件如下(受訪人數(shù)占比)：

此外，網(wǎng)絡(luò)釣魚攻擊者變得更加高效，高達(dá)96%企業(yè)因網(wǎng)絡(luò)釣魚攻擊蒙受損失，2022年這一比例為86%。

值得注意的是，網(wǎng)絡(luò)釣魚也是賬戶接管攻擊的主要手段之一，2023年58%的企業(yè)發(fā)生賬戶被盜，其中79%來自通過網(wǎng)絡(luò)釣魚獲取的憑據(jù)。

83%的賬戶接管攻擊中發(fā)生多因素認(rèn)證被繞過

Egress威脅情報副總裁Jack Chapman評論道：“在高級網(wǎng)絡(luò)釣魚攻擊、人為錯誤和數(shù)據(jù)泄露方面，企業(yè)的郵件安全漏洞仍然存在，分析新興威脅趨勢將是加強(qiáng)防御的關(guān)鍵。”

人工智能驅(qū)動的電子郵件威脅迫在眉睫

企業(yè)安全主管們還密切關(guān)注大型語言模型(LLM)和深度偽造等新型人工智能工具在網(wǎng)絡(luò)釣魚攻擊中的使用情況，63%的受訪者表示，他們被深度偽造“困擾”，61%的受訪者表示，他們被人工智能聊天機(jī)器人“困擾”。

九成用戶對郵件安全產(chǎn)品不滿意

受訪的大多數(shù)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者質(zhì)疑傳統(tǒng)郵件安全解決方案(例如郵件安全網(wǎng)關(guān)和DLP)的防御能力。例如，在使用安全電子郵件網(wǎng)關(guān)(SEG)產(chǎn)品的企業(yè)中，近91%的受訪者對該產(chǎn)品表示失望，87%的人正在考慮或者已經(jīng)更換安全電子郵件網(wǎng)關(guān)產(chǎn)品(下圖)：

此外，94%的受訪者使用靜態(tài)郵件DLP規(guī)則，51%依賴日志審計來檢測入侵。在使用靜態(tài)郵件DLP規(guī)則的用戶中，100%的受訪者都表達(dá)了不滿，最常見的抱怨是：需要修改規(guī)則適應(yīng)員工，管理開銷也很大。74%的安全領(lǐng)導(dǎo)者還考慮關(guān)閉Outlook的自動地址完成功能，以減少發(fā)錯收件人的問題。

員工為錯誤付出代價

郵件安全的這種挫敗感有時會傳遞給員工，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者經(jīng)常對員工采取強(qiáng)硬立場。

研究發(fā)現(xiàn)，在遭受網(wǎng)絡(luò)釣魚攻擊的員工中：

• 51%受到紀(jì)律處分
• 39%被解雇
• 27%自愿離職

除了人員損失外，網(wǎng)絡(luò)釣魚攻擊給企業(yè)帶來的其他損失還包括：經(jīng)濟(jì)損失、品牌和聲譽損失、合規(guī)處罰等。

安全意識培訓(xùn)亟待變革

報告揭示了一個貌似矛盾的事實：大多數(shù)企業(yè)未能向員工提供有效的安全意識培訓(xùn)，但同時這些企業(yè)又質(zhì)疑安全意識培訓(xùn)的效果——91%的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者對傳統(tǒng)安全意識培訓(xùn)的有效性表示懷疑，造成這種現(xiàn)象的主要原因除了企業(yè)對安全意識培訓(xùn)缺乏足夠重視外，還包括安全意識培訓(xùn)服務(wù)自身的問題，例如：

大多數(shù)受訪者表示，安全意識培訓(xùn)并不是針對員工(所在部門和崗位)量身定制的，只有19%的企業(yè)根據(jù)員工所在部門或團(tuán)隊提供有針對性的安全意識培訓(xùn)。

此外，安全意識培訓(xùn)經(jīng)常被視為一項無足輕重的練習(xí)，88%的情況下僅是出于合規(guī)目的。

Egress警告說：“企業(yè)對待安全意識的態(tài)度不應(yīng)該是‘如果它沒有壞，就不要修理它’。企業(yè)迫切需要改變對安全意識的看法，否則2024年可能會陷入更大困境?！?/p>

*Egress報告的調(diào)查數(shù)據(jù)來自全球500名網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者，包括來自美國、英國和澳大利亞的CISO和CIO，他們在金融服務(wù)、法律、醫(yī)療以及政府或慈善部門工作。