将人为漏洞转化为组织优势

埃里希·克龙（Erich Kron），KnowBe4安全意识倡导者
2025年8月4日 | 5分钟阅读
图片来源：Stephen Frost via Alamy Stock Photo

在动态威胁格局的核心，一种持久且有效的攻击向量依然顽固存在：网络钓鱼。虽然技术防御不断进步，但威胁行为体正加倍利用人性弱点，使网络钓鱼不仅是一种威胁，更是一场需要紧急应对的全方位流行病。

顽固的人为因素

近期权威研究（包括Verizon最新的《数据泄露调查报告》“DBIR”）指出，人类是导致数据泄露的主要攻击向量。约60%的初始入侵事件源于人为交互：用户点击恶意链接、打开含恶意软件的附件或落入社会工程学的陷阱。

诈骗手段已变得如此逼真，以至于边界端点保护工具和防火墙无法完全弥补人为漏洞。

但情况更为复杂。相当比例的数据泄露（“DBIR"等报告中常引用20%-30%）归因于凭证重用。关键是要认识到这并非单独的技术故障，而是人为因素挑战的延伸。

跨多个账户重复使用密码（即使某个账户已遭入侵）本质上是人性使然。便利性胜过安全最佳实践。直接网络钓鱼利用和凭证重用的综合影响表明：人为因素驱动了绝大多数成功的初始入侵。

相关阅读： Citizen Lab创始人警示美国威权主义抬头

不断演变的威胁：超越表象

网络钓鱼威胁不仅持续存在，而且变得更加精细和难以检测。攻击者正在利用：

超个性化：泛泛的“尊敬的客户”诈骗已成过去。网络钓鱼邮件和消息现在包含从社交媒体、先前泄露或侦察中获取的详细个人信息（姓名、职位、公司项目甚至近期行程），使其极具可信度。
多渠道攻击：网络钓鱼不再局限于电子邮件。基于短信的“smishing”和语音呼叫“vishing”攻击激增。这些攻击利用短信和电话的即时性和可信度，往往完全绕过电子邮件安全过滤器。
利用当前事件：网络犯罪分子无情地利用全球新闻、经济焦虑、节日主题、名人丑闻和社交趋势来制作诱饵，触发紧迫感并绕过怀疑。诈骗大师擅长按下正确的按钮。
商业电子邮件入侵（BEC）：BEC攻击针对高价值财务转账或敏感数据，涉及深度冒充高管、供应商或合作伙伴。攻击者细致研究沟通风格和内部流程（如发票审批），使欺诈请求显得合法。

相关阅读： CVE评分中的关键缺陷

自满的代价

虽然所有行业都难以幸免，但网络钓鱼活动往往针对特定行业精心定制。对KnowBe4模拟网络钓鱼测试的点击率分析揭示了某些模式：

医疗和教育：由于用户群体多样（包括非技术人员、学生、患者）、高压环境以及所持数据的高敏感性，往往面临更高的易感性。
金融和专业服务：由于直接财务收益潜力而成为主要目标。攻击者制作模仿客户请求或内部财务流程的可信诱饵。
关键基础设施和制造业：越来越多地成为目标，诱饵旨在破坏运营（如虚假维护警报、受损供应商通信）或窃取宝贵知识产权。

构建人为韧性的策略

任何行业的高点击率都表明迫切需要增强、有针对性的安全意识和强化措施。要创建有韧性的人为核心防御，首先必须接受人为因素是一个软攻击面，并将其列为优先事项。但可以采取措施减轻冲击：

相关阅读： ‘ReVault’安全漏洞影响数百万台戴尔笔记本电脑

安全意识培训：超越年度合规检查。实施频繁且引人入胜的培训模块。使用微学习、互动模拟、游戏化以及反映组织特定威胁的内容。培训必须随威胁策略的变化而演变。
模拟网络钓鱼活动：定期用现实的、内部管理的网络钓鱼模拟测试员工。这些不是“抓包”练习，而是良好的学习机会。当有人点击时，提供即时、建设性的反馈，解释他们忽略的危险信号。定制模拟以模仿与不同部门或角色最相关的威胁。
强大的报告文化：使员工能够轻松、无责难地报告可疑电子邮件、短信或电话。建立清晰的报告渠道并认可反馈。每一个被报告的钓鱼尝试都是可能被防止的漏洞，并提供宝贵的威胁情报。
技术控制：虽然人类是目标，但技术提供了必要的防御层。最常见包括：
- 具有AI/ML功能的高级电子邮件安全，可在恶意链接和附件到达收件箱前检测冒充、恶意链接和恶意附件
- 多因素认证（MFA）——最有效的技术控制，可减轻通过网络钓鱼获取的被盗凭证造成的损害
- 零信任，一种安全框架，主张验证和授权每一个访问请求（无论来自网络内部还是外部），用户仅有权访问他们绝对需要的资源
- 商业密码管理器，可轻松安全地生成和存储每个单独账户的唯一密码
- Web过滤和DNS安全，可帮助阻止访问已知恶意网站和域
领导层倡导：网络安全必须从顶层向下融入组织文化。领导层必须明显支持安全计划，参与培训，并将安全定位为业务成功的推动者，而不仅仅是IT功能。

人为防御是最佳防御

网络钓鱼流行病需要思维转变，将防御重点放在赋能人员上。构建以人为核心的防御涉及结合自适应安全意识培训（培养批判性思维技能）、警惕和怀疑文化，以及部署分层技术控制（如零信任和MFA）。目标不是完美。攻击者不可避免地会命中一些目标。目标是韧性，确保当网络钓鱼尝试出现时，绝大多数人能识别、报告并阻止它，将人为因素转化为最强大的防线。

了解更多： CISO角落

关于作者

埃里希·克龙
KnowBe4安全意识倡导者

埃里希·克龙是KnowBe4的安全意识倡导者，这是一个世界知名的网络安全平台，全面解决人类风险管理问题，拥有超过70,000家客户和6,000多万用户。作为拥有25年经验的信息安全专业人士，他在医疗、航空航天、制造和国防领域有丰富经验，曾担任美国陆军第二区域网络中心-西半球的安全经理，并持有CISSP、CISSP-ISSAP、SACP等认证。埃里希与全球信息安全专业人士合作，提供工具、培训和教育机会，以在信息安全领域取得成功。

查看更多埃里希·克龙的内容

保持最新网络安全威胁、新发现漏洞、数据泄露信息和新兴趋势。每日或每周直接发送到您的电子邮件收件箱。

更多洞见

网络研讨会
2025年8月13日：为更有效的安全合作伙伴关系制定路线图
更多网络研讨会

活动
[虚拟活动] 2025年6月25日：现代企业的战略安全
[虚拟活动] 2025年6月17日：数据泄露剖析
更多活动

您可能还喜欢
漏洞与威胁：披露戏剧笼罩CrushFTP漏洞利用
漏洞与威胁：macOS日历中的零点击RCE漏洞暴露iCloud数据
漏洞与威胁：零点击漏洞的PoC利用向大众提供
漏洞与威胁：SolarWinds：严重RCE漏洞需要紧急补丁

特色内容
查看Black Hat USA会议指南，获取更多来自展会的报道和情报。

编辑选择
网络攻击与数据泄露：思科用户数据在Vishing攻击中被盗
网络安全运营：Dark Reading机密：未来CVE计划的资金支持
应用安全：对Vibe编码进行网络安全氛围检查

网络研讨会
2025年8月13日：为更有效的安全合作伙伴关系制定路线图
更多网络研讨会

白皮书
不断演变的勒索软件威胁：商业领袖应了解的数据泄露
保护企业高管和VIP免受网络攻击
身份访问管理101
XDR在现代SOC中的影响
2021年Gartner托管检测与响应市场指南报告
更多白皮书

活动
[虚拟活动] 2025年6月25日：现代企业的战略安全
[虚拟活动] 2025年6月17日：数据泄露剖析
更多活动

版权所有 © 2025 TechTarget, Inc. d/b/a Informa TechTarget。本网站由Informa TechTarget拥有和运营，该平台是一个全球网络的一部分，旨在告知、影响和连接全球技术买家和卖家。所有版权归其所有。Informa PLC的注册办公室位于5 Howick Place, London SW1P 1WG。在英格兰和威尔士注册。TechTarget, Inc.的注册办公室位于275 Grove St. Newton, MA 02466。

首页 | Cookie政策 | 隐私 | 使用条款