传统安全意识培训未能降低人为风险，Huntress研究警告

尽管企业在安全意识培训（SAT）上的支出激增，但根据Huntress的最新研究，大多数组织仍然遭遇更多由人为错误导致的安全事件。

这份名为《注意（安全）差距：2025年的安全意识培训》的报告显示，虽然93%的组织在过去三年增加了SAT预算，但94%的组织发现与员工失误相关的安全事件有所增加。研究结果表明，传统培训方法未能带来企业期望的改进。

“老派的安全意识培训已经失效。组织在这方面投入的资金比以往任何时候都多，但人为错误事件却在上升，“Huntress首席产品经理Dima Kumets表示。“期望与现实之间的差距存在，是因为培训内容往往是在孤立状态下开发的，缺乏与安全专家的有意义的合作。结果，没有实际安全经验的通才创建的内容虽然符合合规要求，但无法推动有意义的行为改变，也无法带来持久的安全成果。”

这项基于UserEvidence对262名负责SAT的IT和安全专业人员以及260名接受公司培训的员工进行的独立调查显示，传统培训项目存在普遍缺陷。主要问题包括效果不佳、内容过时和管理负担过重。

关键发现

感知效果与实际效果：93%的SAT管理员认为他们的项目有效，但超过一半（57%）承认，提高员工意识本可以预防组织大多数或几乎所有的安全事件。

内容过时：88%的学习者认为他们的培训有效，92%的人自信能在安全事件中正确应对。然而，44%的管理员承认他们的培训材料往往过时或不相关，导致员工对现代威胁过度自信且准备不足。

管理挑战：虽然95%的管理员表示他们的SAT项目在技术上是可管理的，但61%的人每月至少花费10小时维护它，72%的人认为这是一种负担，表明这些项目耗时且安全成果回报有限。

Huntress的发现与加州大学圣地亚哥健康中心在Black Hat USA 2025上展示的研究一致，该研究表明仅靠年度、以合规为重点的培训几乎无助于降低员工遭受网络钓鱼诈骗的可能性。专家认为这种"打勾式"方法使组织容易受到攻击，培训应该演变为更定制化、结果驱动的模式。

根据Huntress的说法，与安全专家共同开发的托管SAT项目可以减轻管理员的负担，同时确保培训内容及时、频繁且相关。该公司认为，这种转变对于推动真正的行为改变和降低风险至关重要。

“传统SAT解决方案在降低人为风险方面无效，并不意味着SAT本身不是一种有价值且必要的工具，“Kumets解释说。“答案当然不是将更多预算投入到同样无效的培训方法上。但是，通过转向更及时、相关且由专家管理的成果驱动型培训，组织可以培养主动和弹性的安全文化，真正降低人为风险。”