根据安全厂商Egress的最新发布的《2024年电子邮件安全风险报告》,2023年电子邮件安全仍然是企业网络安全人士最关心的问题,因为超过九成(94%)的网络安全决策者遭遇过网络钓鱼攻击,这一数字比上一年增长了2%,2023年电子邮件安全的重要统计数据如下:
- 94%的企业发生过邮件安全事件,91%的企业发生过数据泄漏事件
- 79%的账户接管攻击始于网络钓鱼
- 95%的网络安全领导者对邮件安全感到心力交瘁(由于传统方法失效以及AI新威胁的迫近)
- 91%的网络安全领导者对邮件安全网关产品感到极度失望
- 90%的网络安全领导者对邮件DLP产品的局限性表示关切
- 91%的网络安全领导者质疑传统安全意识培训方法的有效性
调查显示,2023年使用最多的三种网络钓鱼技术分别是:
- 恶意URL
- 恶意软件或勒索软件附件
- 从供应链受感染邮件帐户发送恶意邮件
该报告还显示,大多数网络安全领导者意识到网络钓鱼是企业面临的一个严重问题。其中高达95%的受访者表示,他们对电子邮件安全感到压力。
其中,受感染供应链邮件账户对企业威胁最大,半数网络钓鱼攻击都是通过供应链或企业内部受感染邮件帐户发起,企业安全主管最担心的五种网络钓鱼邮件如下(受访人数占比):
此外,网络钓鱼攻击者变得更加高效,高达96%企业因网络钓鱼攻击蒙受损失,2022年这一比例为86%。
值得注意的是,网络钓鱼也是账户接管攻击的主要手段之一,2023年58%的企业发生账户被盗,其中79%来自通过网络钓鱼获取的凭据。
83%的账户接管攻击中发生多因素认证被绕过
Egress威胁情报副总裁Jack Chapman评论道:“在高级网络钓鱼攻击、人为错误和数据泄露方面,企业的邮件安全漏洞仍然存在,分析新兴威胁趋势将是加强防御的关键。”
人工智能驱动的电子邮件威胁迫在眉睫
企业安全主管们还密切关注大型语言模型(LLM)和深度伪造等新型人工智能工具在网络钓鱼攻击中的使用情况,63%的受访者表示,他们被深度伪造“困扰”,61%的受访者表示,他们被人工智能聊天机器人“困扰”。
九成用户对邮件安全产品不满意
受访的大多数网络安全领导者质疑传统邮件安全解决方案(例如邮件安全网关和DLP)的防御能力。例如,在使用安全电子邮件网关(SEG)产品的企业中,近91%的受访者对该产品表示失望,87%的人正在考虑或者已经更换安全电子邮件网关产品(下图):
此外,94%的受访者使用静态邮件DLP规则,51%依赖日志审计来检测入侵。在使用静态邮件DLP规则的用户中,100%的受访者都表达了不满,最常见的抱怨是:需要修改规则适应员工,管理开销也很大。74%的安全领导者还考虑关闭Outlook的自动地址完成功能,以减少发错收件人的问题。
员工为错误付出代价
邮件安全的这种挫败感有时会传递给员工,网络安全领导者经常对员工采取强硬立场。
研究发现,在遭受网络钓鱼攻击的员工中:
- 51%受到纪律处分
- 39%被解雇
- 27%自愿离职
除了人员损失外,网络钓鱼攻击给企业带来的其他损失还包括:经济损失、品牌和声誉损失、合规处罚等。
安全意识培训亟待变革
报告揭示了一个貌似矛盾的事实:大多数企业未能向员工提供有效的安全意识培训,但同时这些企业又质疑安全意识培训的效果——91%的网络安全领导者对传统安全意识培训的有效性表示怀疑,造成这种现象的主要原因除了企业对安全意识培训缺乏足够重视外,还包括安全意识培训服务自身的问题,例如:
大多数受访者表示,安全意识培训并不是针对员工(所在部门和岗位)量身定制的,只有19%的企业根据员工所在部门或团队提供有针对性的安全意识培训。
此外,安全意识培训经常被视为一项无足轻重的练习,88%的情况下仅是出于合规目的。
Egress警告说:“企业对待安全意识的态度不应该是‘如果它没有坏,就不要修理它’。企业迫切需要改变对安全意识的看法,否则2024年可能会陷入更大困境。”
*Egress报告的调查数据来自全球500名网络安全领导者,包括来自美国、英国和澳大利亚的CISO和CIO,他们在金融服务、法律、医疗以及政府或慈善部门工作。