传统安全意识培训未能降低人为风险，Huntress研究警告

尽管安全意识培训（SAT）支出激增，但根据Huntress的新研究，大多数组织仍然遭遇更多由人为错误引发的事件。

这份题为《注意（安全）差距：2025年的安全意识培训》的报告揭示，虽然93%的组织在过去三年增加了SAT预算，但94%的组织发现与员工失误相关的安全事件有所增加。研究结果表明，传统培训方法未能带来企业预期的改善。

Huntress首席产品经理Dima Kumets表示：“老派的安全意识培训不起作用。组织投入的资金比以往任何时候都多，然而人为错误事件却在上升。期望与现实之间的这种差距存在，是因为培训内容往往是在孤立状态下开发的，没有与安全专家进行有意义的合作。结果，没有实际安全经验的通才创建的内容符合合规要求，但无法推动有意义的行为改变或带来持久的安全成果。”

这项研究基于对262名负责SAT的IT和安全专业人员以及260名公司提供SAT的员工的独立UserEvidence调查，揭示了传统项目的普遍弱点。主要问题包括效果不佳、内容过时和行政负担过重。

主要发现

感知与实际效果：93%的SAT管理员认为他们的项目有效，但超过一半（57%）承认，提高员工意识本可以阻止组织大多数或几乎所有的安全事件。

内容过时：88%的学习者认为他们的培训有效，92%的人自信能在安全事件中正确应对。然而，44%的管理员承认他们的培训材料常常过时或不相关，使员工过度自信且对现代威胁准备不足。

管理挑战：虽然95%的管理员表示他们的SAT项目在技术上是可管理的，但61%的人每月至少花费10小时维护它，72%的人认为这是一种负担，表明这些项目耗时且安全成果回报有限。

Huntress的发现与UC San Diego Health在Black Hat USA 2025上展示的研究一致，该研究表明，仅靠年度、以合规为重点的培训几乎无助于降低员工上当受骗的可能性。专家认为，这种“打勾式”方法使组织容易受到攻击，培训应演变为更具针对性、结果驱动的模式。

根据Huntress的说法，与安全专家共同开发的托管SAT项目可以减轻管理员的负担，同时确保培训内容及时、频繁且相关。公司认为，这种转变对于推动真实行为改变和降低风险至关重要。

Kumets解释说：“传统SAT解决方案在降低人为风险方面无效，并不意味着SAT本身不是一种有价值且必要的工具。答案肯定不是将更多预算投入同样无效的培训方法。但是，通过转向更及时、相关且专业管理的结果驱动型培训，组织可以培养一种主动和弹性的安全文化，真正降低人为风险。”