官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
每每提及成功的网络攻击,人们总是猜想它可能涉及一个极其精妙的社会工程手段,亦或挖掘一个关键的技术漏洞来突破组织防线。但在现实中,威胁行为者并不总是需要如此大费周章。
通常情况下,破坏安全性最简单的方法就是利用人为因素。人是任何有效防御的关键部分,但他们也可能是最脆弱的。他们可能会犯错误、上当受骗。根据Proofpoint《2024年网络钓鱼状态报告》显示,71%的在职人员承认采取过冒险行为,比如重复使用或共享密码,点击来自未知发件人的链接,或者向不可靠的来源提供凭据。其中96%的人甚至知道自己这样做是在冒险。
当被迫在便捷性和安全性之间做选择时,用户几乎每次都会选择前者。那么,组织可以做些什么来改变这种情况呢?在本报告中,Proofpoint仔细研究了用户对安全的态度如何体现在现实世界的行为中,以及威胁行为者如何寻找新的方法来利用用户对速度和便利的偏好。此外,Proofpoint还对安全意识举措的当前状态进行了评估,并对个人和组织抵御攻击的弹性进行了基准测试。
重要发现
- 每月有超过100万次攻击是通过MFA绕过框架EvilProxy发起的,但令人担忧的是,89%的安全专业人士仍然认为MFA提供了针对帐户接管的完整保护。
- 71%的用户承认采取了冒险行为,且96%的人知道自己在做有风险的事情。
- Proofpoint平均每月检测并阻止6600万次商业电子邮件欺诈(BEC)攻击。
- 69%的组织曾被勒索软件感染。
- 85%的安全专家表示,大多数员工知道他们对安全负责;但59%的用户要么不确定,要么声称他们根本不负责。
- 每个月有1000万条TOAD(面向电话的攻击交付)消息被发送出去。
- 微软仍然是被滥用最多的品牌,有6800万条恶意信息与该品牌或其产品有关。
安全行为与态度
如果用户不做好一些基本安全实践——比如避免可疑链接、验证发送者的身份、设置强密码并保密——那么即使是最好的技术防御也会被轻松瓦解。然而,数据显示,许多用户并未遵循这些简单的规则,从而将自身及其组织置于危险之中。
终端用户的行为和态度
根据调查显示,71%的用户表示他们采取过冒险的行为,且几乎所有人(96%)都是故意这么做的。在这群人中,73%的人称他们采取过两次或两次以上的冒险行为。超过三分之一的风险被这些用户评为“极度危险”或“非常危险”,其中包括使用工作设备办私事(29%)、重用或分享密码(26%)、在不使用VPN的情况下连接公共网络(26%)、回复未知发件人的邮件(24%)、访问可疑网站(20%)、从未知来源点击链接或下载附件(19%)等。
【用户采取的冒险行为比例】
冒险行为背后的动机各不相同,大多数员工将便利(44%)、节省时间(39%)和紧迫感(24%)视为其冒险的主要原因。但也有2.5%的人纯粹出于好奇而采取冒险行动。不过,无论是哪种方式暴露的信息都很清楚:人们采取冒险行为并非因为他们缺乏安全意识。通常情况下,用户知道他们在做什么,他们非常愿意拿组织的安全来赌上一把。
【用户采取冒险行为的原因】
用户冒险的原因之一是缺乏对责任和职责的共识。只有41%的用户表示,他们知道自己对工作场所的网络安全负有责任。约7%的人声称他们根本没有责任,而大多数人(52%)则表示不确定。
【安全专家(浅蓝)和员工(深蓝)对安全责任的认知】
这一比例与安全专业人士的观点形成鲜明对比。调查显示,85%的安全专家表示,大多数员工都知道他们对安全负责。这种认知与现实之间的差距表明,有必要就共同责任进行更清晰的沟通,而不仅仅是对安全最佳实践和政策进行更多的培训。
安全专家视角
安全专业人员对最终用户的安全风险有着不同的看法,这是可以理解的。他们更清楚威胁形势和数据泄露的后果。他们对保护复杂和动态环境所面临的挑战也有更细致的理解。他们还有一项并不轻松的任务,即找到平衡安全需求与不受阻碍的生产力和效率需求的方法。
根据对安全专业人员的调查显示,他们认为访问关键业务数据的用户是最大的安全风险(63%)——这一群体不可避免地难以管理,因为很多访问是必要的。但喜欢随意点击的用户和没有完成安全意识培训的用户紧随其后,并列第二(占56%)。这些类别的用户都被认为比高管/VIP(34%)风险更大,尽管后者通常可以广泛访问有价值的数据。
【安全专家眼中更具风险的人员类型】
不幸的是,调查结果显示,安全专业人员确定的最具风险的行为与最终用户采取的最常见的风险行为之间存在显著的重叠。重复使用密码、使用工作设备做私事和访问不合适的网站被认为是最不安全的行为;所有这些都出现在用户的冒险行为名单中。
排名 | 安全专家眼中的顶级风险因素 | 用户采取的冒险行为 |
1 | 从未知来源点击链接或下载附件 | 使用办公设备做私事 |
2 | 重用或分享密码 | 重用或分享密码 |
3 | 访问不合适的网站 | 未用VPN的情况下连接公共网络 |
4 | 向未验证的第三方云端上传敏感数据 | 回复未知发件人信息 |
5 | 使用办公设备做私事 | 访问不合适的网站 |
这种重叠表明,用户采取其中一些操作的原因可能是并未意识到这些行为在安全团队眼中的重要性和危险性。
安全意识趋势
虽然仅靠培训不足以改变危险行为,但缺乏基本安全意识工具和认知的团队仍然更有可能成为网络罪犯的牺牲品。但是,随着新的社会工程诱饵和技术出现在威胁领域,意识项目必须灵活且广泛,以保持相关性。
安全意识的当前状态
首先是一些积极的消息:99%的受访者表示他们已经启动并运行了某种形式的安全意识计划。但是,虽然基本的措施可能已经到位,但许多人仍在努力推动真正的行为改变。一个可能的原因是,只有53%的受访者称他们对组织中的每个人都进行了培训(这一比例低于去年的56%)。这意味着一些用户可能被排除在循环之外,或者可能接受不充分或过时的培训。
【安全意识培训情况】
另一个挑战是培训主题的覆盖面和相关性。安全专家认为远程工作、密码卫生和互联网安全至关重要,但只有不到三分之一的安全意识项目涵盖了所有这些主题。受访者提到的最重要的培训主题是恶意软件、Wi-Fi安全、勒索软件和电子邮件网络钓鱼,这些都很重要,但不足以解决所有风险。正如我们稍后将看到的,当我们研究最新的网络犯罪策略和技术时,新出现的威胁会很快变得司空见惯,让毫无准备的用户措手不及。
不过,好消息是安全意识策略出现了一些改进和创新迹象。与去年相比,针对特定职位和部门的培训大幅增加(从28%增加到41%),这表明培训方式更加量身定制和有针对性。分配给用户教育的时间也逐年增加,越来越多的受访者每年花3个多小时进行意识培训。总体而言,用于意识训练的平均时间在三年内首次呈现增加趋势。
【意识培训时间】
此外,意识培训使用的策略类型也在不断发展,使用竞赛和奖励来游戏化和激励注意力的比例增加了23%。这种改变有助于提高用户粘性和积极性,同时还能创造一个积极有趣的学习环境。以计算机为基础的培训仍然是最常见的形式(45%),但其他方法,如模拟USB跌落、视频、海报和新闻通讯也在使用。
【意识培训使用的策略类型】
然而,只有34%的受访者表示他们执行了模拟网络钓鱼攻击,尽管在威胁环境中看到了大量的恶意电子邮件。这表明,大多数安全意识培训大纲的组成仍有改进的空间。
改进空间
安全不仅是一个技术问题,也是一个文化和组织问题。它需要从安全专业人员到最终用户的所有利益相关者的协作和承诺。然而,在安全专业人员认为“有效的方法”和最终用户认为“能够激励他们优先考虑安全的方法”之间往往存在差距。根据调查指出,安全专业人员认为更多的培训、更严格的控制、更紧密的业务一致性、更好的奖励和对安全计划更强有力的支持都将有效地提高安全性。
然而,只有不到三分之一的组织奖励积极的用户行为或支持安全计划。这些都是认识和加强良好安全实践并确保所有员工都投入到创建安全意识文化工作中的重要途径。
排名 | 安全专家眼中的“有效方法” | 用户眼中“能够激发安全实践的方法” |
1 | 提供更多培训 | 让安全更便捷易用 |
2 | 实施更多、更严格的安全控制 | 使用奖励机制 |
3 | 使安全计划与业务优先级保持一致 | 加强与领导和安全团队的合作 |
相比之下,绝大多数用户表示他们希望安全变得更容易。他们希望流程更加用户友好、方便和透明,他们希望从安全专家那里得到更多的沟通和反馈。绝大多数用户(94%)认为,提高易用性会促使他们更加关注安全性。安全团队行动和用户动机之间的这些差异清楚地表明,安全团队和最终用户之间需要进行开放的沟通。
威胁形势
网络安全是一个持续发展的领域,因为网络犯罪分子会不断设计新的、复杂的方法来攻击人和破坏组织。采取冒险行为(如点击可疑链接、打开未知附件或使用弱密码)的用户将面临越来越多的现实攻击威胁。
流行的威胁类型
【流行的威胁类型】
受访者报告的一些最常见的攻击形式是网络钓鱼、商业电子邮件欺诈(BEC)和勒索软件。虽然每种技术都是不同的,但安全团队经常会将它们视为一条扩展攻击链的单个组成部分,例如,网络钓鱼导致勒索软件,或者供应链攻击导致BEC。
然而,这些并不是用户和组织需要注意的唯一威胁。根据调查数据显示,许多新颖的攻击类型正变得越来越突出。
TOAD、MFA绕过QR码和生成式AI
在面向电话的攻击交付(TOAD)中,恶意消息通常看起来是完全无害的,只包含电话号码和一些错误信息,直到毫无戒心的受害者拨打所列出的号码寻求帮助,攻击链才会被激活。网络犯罪呼叫中心在世界各地运作,引导受害者授予远程访问权限,泄露敏感信息和凭据,甚至用恶意软件感染自己。我们的数据显示,平均每个月有1000万条TOAD消息被发送出去。
另一种越来越流行的攻击方法涉及使用先进技术绕过多因素身份验证(MFA)。这些攻击通常使用代理服务器来拦截MFA tokens,允许攻击者绕过一次性代码和生物识别技术提供的额外安全层。现在有多个现成的网络钓鱼工具包都包括MFA绕过功能,即使是技能有限的攻击者也可以从中受益。调查显示,每个月都有大约100万个使用流行的EvilProxy框架的网络钓鱼威胁。这是一个特别值得关注的问题,因为89%的安全专业人士仍然认为MFA是防止账户接管的灵丹妙药,84%的受访者表示他们的组织使用MFA来防止账户接管。
在传统网络钓鱼的范例中,攻击者正在寻找嵌入恶意内容的新方法。最近几个月,研究人员看到越来越多的人使用QR码来替代链接或附件。这种技术特别危险,因为它既试图逃避自动检测,又在用户可能从未见过的上下文中向用户呈现熟悉的格式。此外,仅通过查看二维码也无法判断是否指向网络钓鱼网站或恶意软件下载。
同样值得注意的是,即使是最不常见的攻击类型——USB drop——仍然有60%的受访者报告。这表明,网络罪犯愿意尝试任何策略,无论是旧的还是新的,只要他们认为这能给他们机会来利用毫无戒心的受害者。
尽管这些威胁日益突出和复杂,但许多组织没有充分的准备或培训来处理它们。只有23%的组织培训他们的用户如何识别和预防TOAD攻击,只有23%的组织教育其用户有关生成式人工智能的安全问题。生成式人工智能是一种可以根据给定的提示或数据输入创建逼真且令人信服的内容(如图像、视频或文本)的技术。这项技术有望增强所有基于消息的社会工程攻击,因为攻击者可以使用它来提高诱饵的质量,特别是在针对非母语语言时。此外,生成式人工智能也带来了数据丢失的风险,因为目前对于上传到ChatGPT和Google Bard等服务的数据的处理几乎没有透明度。
BEC攻击受益于AI
BEC攻击也继续构成严重威胁,特别是在非英语国家。全球范围内报告的BEC攻击尝试较少,但攻击在日本(同比增长35%)、韩国(同比增长31%)和阿联酋(同比增长29%)等国家持续增长。由于语言障碍、文化差异或缺乏能见度,这些国家以前可能很少发生BEC攻击。但现在,BEC和生成式人工智能之间可能存在联系,因为攻击者可以使用后者以多种语言创建更有说服力和个性化的电子邮件。数据显示,平均每个月有6600万次针对BEC的攻击。
微软仍然是最常被滥用的品牌
【被滥用品牌比例】
品牌滥用是网络钓鱼和恶意软件传播的最常用策略,因为攻击者惯于利用用户对某些品牌的信任和熟悉程度。2023年,与微软产品和品牌相关的信息超过6800万条,使其成为网络犯罪分子滥用最多的品牌。Adobe和DHL紧随其后,但各自的邮件数量都不到1000万封。
勒索软件仍然是一个主要问题
遭受勒索软件攻击的企业比例上升了5个百分点,达到69%。近60%的组织在一年内报告了四次或更多的勒索软件事件,这表明勒索软件仍然是一种持续存在且有利可图的攻击形式。
企业试图减轻网络攻击风险和影响的方法之一是购买网络保险。在经历过勒索软件事件的公司中,96%的公司现在都有网络保险。大多数保险公司(91%)帮助支付赎金,高于前一年的82%。然而,在全球范围内,付款给勒索软件攻击者的比例从64%下降到54%。
付费后重新获得数据访问权限的受访者数量也有所下降,其中单次付费后重新获得数据访问权限的受访者数量下降幅度最大。这可能是支付下降的一种解释。另一个可能的原因是,组织越来越意识到支付赎金的缺点和风险,例如变相鼓励更多的攻击,资助犯罪活动或收到损坏或不完整的数据。
攻击的后果
网络钓鱼攻击对组织的影响可能是毁灭性的,无论是在财务上还是在声誉上。71%的组织在2023年至少经历过一次成功的网络钓鱼攻击,低于2022年的84%。然而,虽然成功的网络钓鱼攻击的发生率有所下降,但一些负面后果却飙升。与去年同期相比,我们看到监管罚款等经济处罚的报告增加了144%,而网络钓鱼事件造成的声誉损害的报告增加了50%。
【成功网络钓鱼的后果】
随着网络犯罪分子采用新的战术和技术来寻求优势,威胁形势不断发展。这就是让人们掌握识别和抵抗攻击所需的知识至关重要的原因所在;毕竟,尽管这些技术变得越来越复杂,人类仍然是它们的主要目标。大多数组织表示,他们使用威胁情报来塑造他们的安全意识计划,然而存在重大缺口。例如,73%的组织经历过BEC攻击,但只有29%的组织专门针对BEC威胁对用户进行培训。同样,尽管TOAD攻击无处不在,但只有23%的组织提供针对它们的培训。
组织弹性
组织可以衡量和提高其网络安全意识和弹性的方法之一是进行网络钓鱼模拟。Proofpoint调查结果显示,其客户在12个月内进行的1.83亿次网络钓鱼模拟中,基于链接的测试是最常见的,占所有模拟的59%,其次是数据输入测试(30%)和基于附件的测试(10%)。然而,基于附件的测试总体失败率最高,为17%。
在分析了不同行业的失败率后,研究人员发现金融业的进步最大,失败率下降了7个百分点,从2022年的16%降至2023年的9%。另一方面,农业和建筑行业的失败率都比去年上升了3个百分点。虽然这一增长相对较小,但它可能指出了这些行业安全方法的潜在问题。
总体而言,模拟网络钓鱼的报告率从2022年的17%小幅上升至18.3%。这意味着更多的用户向IT或安全团队报告了他们收到的网络钓鱼邮件,而不是忽略或删除它们。报告率是衡量用户认知度和参与度的重要指标,因为它表明用户能够识别并标记可疑信息。
模拟网络钓鱼的总体失败率从2022年的10%降至9.3%。这意味着更少的用户点击链接,在虚假网站上输入证书或打开附件。失败率是用户脆弱性和风险的重要指标,因为它们显示了用户遭受真正的网络钓鱼攻击的可能性。
基于这些报告和失败率,我们为每个组织计算了弹性系数。弹性系数是一个度量标准,比较有多少用户报告了模拟的网络钓鱼邮件和有多少用户被它们所欺骗。(其计算方法为平均报告率除以平均失败率。)弹性系数越高,意味着该组织报告网络钓鱼邮件的用户多于未报告网络钓鱼邮件的用户,反之亦然。结果显示,平均弹性系数从2022年的1.7增加到2023年的2.0。这个数字在过去三年中一直在攀升(从2021年的1.5开始),这表明随着用户变得更加有意识和主动,组织对网络钓鱼攻击的抵御能力越来越强。
【弹性系数计量法】
结语
安全意识程序应该是任何组织安全策略的重要组成部分,但仅靠它本身是不够的,知道该做什么和做什么是两回事。现在的挑战不仅仅是意识,还有行为的改变。
用户说他们希望安全变得更容易,他们的想法是对的。但在某些情况下,流程不能变得更容易,而且必须在便利性和安全性之间做出选择,用户仍然需要被说服做出正确的选择。
那么,组织如何引导这种行为改变?
使用威胁情报来告知行为改变计划
这将帮助用户了解他们所面临的威胁的性质、范围和影响,并将帮助安全团队相应地调整他们的程序和消息传递。为了有效地使用威胁情报,组织应该做到以下几点:
- 在整个组织内协同工作,了解用户、部门和组织目标,然后实施安全控制,在不产生障碍的情况下保护组织。安全性应该与业务目标和用户需求保持一致,不应该是事后的想法,也不应该造成不必要的障碍或操作负担。
- 使用内部数据来定义组织想要改变的前三种风险行为。内部数据(如模拟网络钓鱼评估、用户反馈或事件报告)可以为最常见的错误和风险行为提供有价值的见解。通过关注前三种风险行为,组织可以优先部署他们的资源,并更容易地衡量他们的进展和影响。
减少安全摩擦
复杂或冗长的安全流程可能导致用户受挫、不满情绪,从而潜在地破坏组织的安全文化。
- 跟踪安全控制产生瓶颈的地方,并努力缓解这些瓶颈。任何降低系统性能、中断用户工作流程或需要多个步骤的东西都应该是审查的候选对象。这些瓶颈会降低生产力和效率,并使用户更有可能完全绕过安全控制。使用最新技术(如DLP解决方案)可以帮助创造轻松的环境,最大限度地减少干扰。
- 应优先考虑易用性和自动化,再加上一流的安全教育、威胁预防、检测和响应技术。通过应用这些原则并采用集成的多层平台方法,组织不仅可以更好地防御不断变化的威胁环境,还可以减少用户为遵循安全规则而造成的认知负荷和努力。
良好的沟通和参与
通过更好的沟通和参与,建立强大的安全文化。一个强大的安全文化将积极影响用户如何处理和应对安全问题,并培养责任感。
- 根据用户和业务需求实施行为改变计划。行为改变计划是一种改变用户行为和习惯的系统和结构化方法。寻找积极奖励那些避免冒险行为并主动帮助维护组织安全的用户的方法,例如报告可疑的电子邮件或活动。
- 倡导者或拥护者可以帮助减少不知道安全是否属于自身责任的用户数量。通过推广最佳实践并提供同伴支持和指导,倡导者或拥护者可以促进信任,增加参与度,并帮助创建积极和协作的安全文化。
原文链接:
https://www.proofpoint.com/sites/default/files/threat-reports/pfpt-us-tr-state-of-the-phish-2024.pdf
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者