根据电子邮件安全提供商Egress的数据,到2023年,电子邮件安全仍然是网络安全专业人员最关心的问题,因为超过九成(94%)的网络决策者不得不应对网络钓鱼攻击。
Egress的《2024年电子邮件安全风险报告》发现,这比前一年增长了2%。2023年使用的前三大网络钓鱼技术是恶意URL、恶意软件或勒索软件附件以及从受损帐户发送的攻击。
此外,网络钓鱼威胁行为者变得更加高效,96%的目标组织受到这些攻击的负面影响,而去年这一比例为86%。例如,58%的组织在2023年遭受了账户接管,其中79%来自通过网络钓鱼获取的凭证。
Egress威胁情报副总裁Jack Chapman评论道:“在高级网络钓鱼攻击、人为错误和数据泄露方面,组织继续面临漏洞,分析新兴趋势将是加强防御的关键。”
该报告还显示,网络安全领导者意识到网络钓鱼是他们业务的一个严重问题。令人震惊的是,95%的受访者表示他们对电子邮件安全感到压力。
他们还密切关注大型语言模型(llm)和深度伪造等新型人工智能工具在网络钓鱼攻击中的使用情况,63%的受访者表示他们被深度伪造夜不能寐,61%的受访者被人工智能聊天机器人夜不能寐。此外,许多网络安全领导者质疑他们针对基于电子邮件的攻击的网络安全防御的效率。
在使用安全电子邮件网关(SEG)的受访者中,91%的人表示对此感到沮丧,87%的人正在考虑更换他们的SEG或已经这样做了。
这种挫败感有时会传递给员工,网络安全负责人对员工采取强硬立场。该研究发现,在遭受网络钓鱼攻击的员工中,51%受到纪律处分,39%被解雇,27%主动离职。
报告强调,这是在对工作人员缺乏有效培训的情况下发生的。总体而言,91%的网络安全领导者对传统培训的有效性表示怀疑。因此,在大多数情况下,培训并不是为员工量身定制的,只有19%的组织提供了反映员工所在部门或团队的安全意识培训。
相反,培训经常被视为一种复选框练习,仅在88%的情况下出于合规目的。Chapman警告说:“这不是如果没有坏,就不要修的情况。企业迫切需要调整他们的方法,否则明年可能会发现自己处于同样的位置。”
本报告的调查数据来自美国、英国和澳大利亚的500名网络安全领导者,包括首席信息安全官和首席信息官,他们在金融服务、法律、医疗保健、政府或慈善部门工作。
所有受访者都使用微软365作为他们的操作系统,并负责电子邮件安全。调查数据补充了Egress Defend和Egress prevention生成的平台数据。