根据安全厂商Egress的最新发布的《2024年电子邮件安全风险报告》,2023年电子邮件安全仍然是企业网络安全人士最关心的问题,因为超过九成(94%)的网络安全决策者遭遇过网络钓鱼攻击,这一数字比上一年增长了2%,2023年电子邮件安全的重要统计数据如下:

  • 94%的企业发生过邮件安全事件,91%的企业发生过数据泄漏事件

  • 79%的账户接管攻击始于网络钓鱼

  • 95%的网络安全领导者对邮件安全感到心力交瘁(由于传统方法失效以及AI新威胁的迫近)

  • 91%的网络安全领导者对邮件安全网关产品感到极度失望

  • 90%的网络安全领导者对邮件DLP产品的局限性表示关切

  • 91%的网络安全领导者质疑传统安全意识培训方法的有效性

调查显示,2023年使用最多的三种网络钓鱼技术分别是:

  • 恶意URL

  • 恶意软件或勒索软件附件

  • 从供应链受感染邮件帐户发送恶意邮件

该报告还显示,大多数网络安全领导者意识到网络钓鱼是企业面临的一个严重问题。其中高达95%的受访者表示,他们对电子邮件安全感到压力。

其中,受感染供应链邮件账户对企业威胁最大,半数网络钓鱼攻击都是通过供应链或企业内部受感染邮件帐户发起,企业安全主管最担心的五种网络钓鱼邮件如下(受访人数占比):

此外,网络钓鱼攻击者变得更加高效,高达96%企业因网络钓鱼攻击蒙受损失,2022年这一比例为86%。

值得注意的是,网络钓鱼也是账户接管攻击的主要手段之一,2023年58%的企业发生账户被盗,其中79%来自通过网络钓鱼获取的凭据。

83%的账户接管攻击中发生多因素认证被绕过 数据来源:Egress

Egress威胁情报副总裁Jack Chapman评论道:“在高级网络钓鱼攻击、人为错误和数据泄露方面,企业的邮件安全漏洞仍然存在,分析新兴威胁趋势将是加强防御的关键。”

人工智能驱动的电子邮件威胁迫在眉睫

企业安全主管们还密切关注大型语言模型(LLM)和深度伪造等新型人工智能工具在网络钓鱼攻击中的使用情况,63%的受访者表示,他们被深度伪造“困扰”,61%的受访者表示,他们被人工智能聊天机器人“困扰”。

九成用户对邮件安全产品不满意

受访的大多数网络安全领导者质疑传统邮件安全解决方案(例如邮件安全网关和DLP)的防御能力。例如,在使用安全电子邮件网关(SEG)产品的企业中,近91%的受访者对该产品表示失望,87%的人正在考虑或者已经更换安全电子邮件网关产品(下图):

此外,94%的受访者使用静态邮件DLP规则,51%依赖日志审计来检测入侵。在使用静态邮件DLP规则的用户中,100%的受访者都表达了不满,最常见的抱怨是:需要修改规则适应员工,管理开销也很大。74%的安全领导者还考虑关闭Outlook的自动地址完成功能,以减少发错收件人的问题。

员工为错误付出代价

邮件安全的这种挫败感有时会传递给员工,网络安全领导者经常对员工采取强硬立场。

研究发现,在遭受网络钓鱼攻击的员工中:

  • 51%受到纪律处分

  • 39%被解雇

  • 27%自愿离职

除了人员损失外,网络钓鱼攻击给企业带来的其他损失还包括:经济损失、品牌和声誉损失、合规处罚等。

安全意识培训亟待变革

报告揭示了一个貌似矛盾的事实:大多数企业未能向员工提供有效的安全意识培训,但同时这些企业又质疑安全意识培训的效果——91%的网络安全领导者对传统安全意识培训的有效性表示怀疑,造成这种现象的主要原因除了企业对安全意识培训缺乏足够重视外,还包括安全意识培训服务自身的问题,例如:

大多数受访者表示,安全意识培训并不是针对员工(所在部门和岗位)量身定制的,只有19%的企业根据员工所在部门或团队提供有针对性的安全意识培训。

此外,安全意识培训经常被视为一项无足轻重的练习,88%的情况下仅是出于合规目的。

Egress警告说:“企业对待安全意识的态度不应该是‘如果它没有坏,就不要修理它’。企业迫切需要改变对安全意识的看法,否则2024年可能会陷入更大困境。”

*Egress报告的调查数据来自全球500名网络安全领导者,包括来自美国、英国和澳大利亚的CISO和CIO,他们在金融服务、法律、医疗以及政府或慈善部门工作。

参考链接:

https://pages.egress.com/whitepaper-email-risk-report-01-24.html

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。