2023年,对于网络安全专业人士而言,电子邮件安全仍然是头等大事,因为超过九成(94%)的网络决策者必须应对网络钓鱼攻击,这是由电子邮件安全提供商Egress发布的《电子邮件安全风险报告2024》所发现的,较上一年增加了2%。
2023年使用的三种主要网络钓鱼技术是恶意URL、恶意软件或勒索软件附件以及来自被攻陷账户的攻击。
此外,网络钓鱼威胁行为变得更加高效,有96%的被定向攻击的组织受到了这些攻击的负面影响,而在前一年这一比例为86%。
例如,2023年有58%的组织遭受了账户接管,其中79%是通过网络钓鱼获取的凭证导致的。
Egress的威胁情报副总裁杰克·查普曼(Jack Chapman)评论说:“在应对高级网络钓鱼攻击、人为错误和数据外泄方面,组织仍然面临着漏洞,分析新兴趋势将是加强防御的关键。”
AI-动力的电子邮件威胁患上阴霾
该报告还显示,网络安全领导人意识到网络钓鱼对其业务构成严重威胁。令人震惊的是,95%的网络安全领导表示,他们对电子邮件安全感到担忧。
他们还密切监控新的人工智能工具的使用,如大型语言模型(LLMs)和深度伪造在网络钓鱼攻击中的应用。63%的受访者表示,深度伪造让他们“夜不能寐”,而61%表示对AI聊天机器人感到担忧。
“电子邮件安全不是‘不破不修’的情况。” - 杰克·查普曼(Jack Chapman),Egress的威胁情报副总裁
此外,许多网络安全领导人对他们的网络安全防御在面对基于电子邮件的攻击时的效率表示疑虑。
在使用安全电子邮件网关(SEG)的人群中,有91%表示对其感到沮丧,87%正在考虑更换他们的安全电子邮件网关,或者已经这样做。
网络安全领导人是否考虑更换他们的安全电子邮件网关的回答。数据来源:Egress
雇员仍然因为他们的错误而付出代价
这种沮丧有时会传递给员工,网络安全领导对员工采取了强硬的立场。
研究发现,在被网络钓鱼攻击骗的员工中,有51%受到了纪律处分,39%被解雇,27%自愿离职。
数据丢失和外泄的后果。数据来源:Egress
尽管报告强调员工缺乏有效的培训,但依然存在这些后果。总体而言,91%的网络安全领导对传统培训的有效性表示怀疑。
因此,在大多数情况下,培训并不针对员工群体,只有19%的组织提供与员工所在部门或团队相关的安全意识培训。
相反,培训通常被视为一个勾选框的练习 - 在88%的情况下仅用于合规目的。
Egress的查普曼警告说:“这不是‘不破不修’的情况。组织迫切需要调整他们的方法,否则就有可能在明年陷入同样的困境。”
此报告的调查数据来自500名网络安全领导,包括美国、英国和澳大利亚的首席信息安全官(CISOs)和首席信息官(CIOs),他们在金融服务、法律、医疗保健以及政府或慈善部门工作。
所有受访者都使用Microsoft 365作为他们的操作系统,并负责电子邮件安全。调查数据还得到了Egress Defend和Egress Prevent生成的平台数据的补充。
1041
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
