KnowBe4《2024年网络钓鱼行业基准报告》解读

网络犯罪的猖獗程度持续飙升，每个人在工作中和生活中都有可能沦为一名网络攻击的“受害者”。网络犯罪分子不分昼夜地发起“无差别式”攻击，目标对象遍布全球。随着安全防御技术的进步，这些犯罪分子将攻击策略的重心转向了利用“人性的弱点”，进而突破组织的层层安全防线，且这一招屡试不爽。另外，随着AI加持的网络攻击理论和技术日益复杂，传统的安全意识教育理念和技术也必须与时俱进，向“人为因素”安全风险管理方向进化。

《2024年网络钓鱼行业基准报告》是KnowBe4发布的第七版年度研究报告，该报告数据结果基于KnowBe4面向57,000家企业客户的1190多万员工发送的5410多万封钓鱼模拟测试，揭示了19个不同行业中容易受到网络钓鱼或社会工程学攻击的高风险用户群体（一个重要指标：网络钓鱼中招倾向率”Phish-Prone Percentage”）。

关键数据发现

《2024年网络钓鱼行业基准报告》重点揭示了新型安全意识教育方式以及弹性网络安全文化对于网络钓鱼或社会工程学攻击易感性的影响，该报告分析了三个不同阶段的数据：

第一阶段：未开展培训或未预告的钓鱼模拟演练PPP数据（初始基线）

不分行业、规模大小，整体网络钓鱼中招倾向率(PPP)基准平均值为34.3%（比2023年低一个百分点），这意味着，未经过培训或未预先通知的钓鱼演练，超过三分之一的员工会中招。尤其令人担忧的是组织规模在1000+以上的大型企业，医疗及制药行业中招率为51.4%，保险业为48.8%，能源及公用事业为47.8%，咨询业47%，零售&批发业42.4%，银行业42.3%。

第二阶段：开展培训后90天内的钓鱼模拟演练PPP数据

在完成初次安全意识培训后的90天内开展钓鱼模拟测试，网络钓鱼中招倾向率(PPP)降低为18.9%，这也证明了综合性的安全意识培训可以显著提升员工识别、响应和报告钓鱼攻击的能力，与过去5年观察到的趋势一致。事实证明，90天的安全意识投资是减少人为因素安全风险的关键一步。

第三阶段：经过一年系统性培训+持续性演练的PPP数据

在经过一年系统化的安全意识培训及模拟演练后，网络钓鱼中招倾向率(PPP)可降低至4.6%。不分行业及规模，这一显著下降趋势基本是一致的。其中，小型企业(1-249名员工）中，银行表现最好，中招率低至2.3%; 中型企业(250-999名员工）中，银行依然领先于其它行业，中招率仅为3.3%; 大型企业(1000+名员工）中，酒店业表现凸出，中招率为3.4%。

聚焦“人的因素”

毋庸置疑，安全防御技术并不能100%解决“以人为目标”的网络攻击，“人的因素”仍然是最吸引网络攻击者和最容易被利用的因素。通过安全意识教育持续为员工赋能，打造积极的组织安全文化，每一名员工都可以成为一道强有力的安全防线。以下是KnowBe4专家建议的一些企业安全意识教育策略：

• 多样化内容：提供多样化教育材料有助于满足不同员工的学习风格偏好，以合适的频率定期开展宣教，吸引员工主动参与安全学习。例如：动漫视频、交互式课件和游戏化课件等等。另外，个性化、人性化、人情化也很重要，“一刀切式”的培训即没有充分理解员工的实际培训需求和现有知识技能差异，也没有充分尊重员工的时间，势必会带来“应付式”无效学习。

• 持续性演练：全年开展一定频率的演练测试有助于员工保持高度警觉和培养直觉。定期开展钓鱼模拟演练可以训练员工识别和报告钓鱼攻击企图，将这些练习转化为肌肉记忆。网络安全威胁是无情的，钓鱼攻击手法也是不断演变的，钓鱼模拟演练不能是一年一次或两次的突击活动。

• 全渠道沟通：人们消费信息的方式多种多样，因此使用多种传播渠道可确保更广泛的覆盖面。无论是线上的学习平台、邮件系统、电脑屏保、内部网站、社交媒体，还是线下的培训、海报、展板、贴士等等，全方位触达员工，营造网络安全文化氛围，使员工更加积极主动地关注个人和组织的网络卫生习惯。

安全意识教育，只有起点，没有终点！只有通过在人为因素风险领域不懈的预算、资源及人力投入，持续创新安全意识理念与教育技术，员工的安全思维和行为才有可能塑造成为“第二天性”，从而取代之前根深蒂固的风险行为。

钓鱼演练策略

在报告最后KnowBe4就钓鱼模拟演练提出了一个核心理念：像营销者一样规划，像攻击者一样测试。建议的最佳实践如下：

声明：本文来自超安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。