欢迎来到气派科技官方网站 !
-苹果 > -对话王兴: > 公司新闻

- 袋熊技术:网络钓鱼现状报告 _0

作者 :   发表时间 : 2021-02-19 00:00:00   浏览 : 231

文/石建兵来源:网络空间治理创新前言袋熊技术(Wombat)的网络钓鱼报告表明,模拟网络钓鱼和有针对性的培训可推动最终用户更安全地应对网络钓鱼威胁,报告主要数据包括:- 76%受访公司认为是“网络钓鱼”的受害者,比2015年下降了10%;- 51%的受访用户认为网络钓鱼攻击还在上升,已比2015年下降15% 一、报告概述2017年1月19日袋熊技术(Wombat Security Technologies,Wombat)发布了《2017年度网络钓鱼现状报告》,该报告基于2015年10月1日到2016年9月30日12个月内发送的数千万封模拟网络钓鱼电子邮件的数据,还有500多份来自全球16个行业信息安全专家的调查问卷、以及总计超过2000名来自英美两国的普通网络用户的问卷. 关键结论包括以下三条: 1. 模拟钓鱼攻击和相关培训确有成效 2016年袋熊发送了总数比2015年多155%的模拟钓鱼邮件,大多数行业或有成熟的规程的企业点击率(被钓到者)有所改善. 2. 钓鱼攻击正在放缓 参加调查的76%的信息安全专家报告说他们是“钓鱼攻击的受害者”,与2015年报告相比减少了10%;仅51%的专家认为钓鱼攻击呈现增长趋势(相对应的,2015年这一比例为60%).还有44%受访专家坦诚遭遇过遭遇电话钓鱼 (vishing) 或短信钓鱼(smishing)(比2015年下降了20%).从数据来看钓鱼攻击正在放缓,但原因不一定是网络犯罪减少,也可能是由于用户越来越聪明使得网络犯罪分子被迫变更花招. 3. 安全意识增强,但风险行为照旧针对普通用户的调查表明大多人对于网络钓鱼的危害相对了解,但他们对于何为勒索软件却知之甚少.另外用户在工作电脑上处理私人邮件等事务会给企业带来风险.总体上,报告表明对于教育用户保持安全还有很长的路要走.二、报告看点报告中同时揭示了如下事实:1.关于网络钓鱼的成本2015年由Ponemon Institute发布的报告《网络钓鱼的成本及员工培训的价值(The Cost of Phishing and the Value of Employee Training)》指出,网络钓鱼最大的成本是员工生产力的丧失(万人规模的公司平均损失约一百八十万美元),在实际调研中,相关数据也验证了这一结论. 2.关于网络钓鱼的方式(1) 网络钓鱼成功的可能性降低网络钓鱼能得手,一般和用户的软件使用环境有较大关系,尤其是老旧的一些浏览器插件,在本报告中,用户对于插件升级也反应及时: 其中 Adobe PDF仅31%的过期率(与2015同比下降49%)、Microsoft Silverlight 仅17%的过期率(与2015同比下降37%)、Adobe Flash仅12%的过期率(与2015同比下降达73%)、Java 仅8%的过期率(与2015同比下降68%).2016年结果与2015年相比说明用户对于过期软件升级非常积极,在钓鱼邮件点击总量增加三倍的情况下,所参与测评的软件中漏洞比率却显著下降.(2) 鱼叉式网络钓鱼(精准钓鱼)极具迷惑性鱼叉式网络钓鱼是攻击者越来越有针对性的攻击方式之一,罪犯收集信息对组织中的关键人物进行个性化并组织有说服力的电子邮件,引诱最终用户提供机密信息.有61%的受访者报告说经历过鱼叉式网络钓鱼(与2015年相比下降10%).鱼叉式网络钓鱼电子邮件通常使用骗欺性的电子邮件地址,如添加特定姓或名的电子邮件,通常这类邮件具有较大的迷惑性.采用名字个性化方法设计的钓鱼邮件在6个月内平均点击率达14%、更可怕的是在一年后平均点击率仍然达10%,可见其有效性

宝格平台(Bog)


3.什么样的钓鱼邮件中招率较高模拟钓鱼使用了四种类型的电子邮件进行测试:* 企业电子邮件这些类型的电子邮件看起来像官方公司通讯,例如包括完整的邮箱通知,垃圾邮件隔离、福利登记信息、发票和机密的人力资源文件.* 云电子邮件这些与业务相关的电子邮件的例子包括从云存储服务中下载文档,或在联机文件共享服务中创建或编辑文档的消息.* 商业电子邮件这些是都与非特定组织的业务相关的电子邮件.邮件主题包括运单确认、电汇要求、保险通知、汽车保险续保等.* 消费者电子邮件这些是一般公众每天收到的电子邮件类型,它们可以尝试重复已有的报价或账户.示例包括常旅客账户、里程奖励、照片标签、冻结账户、商店会员、社交网络、礼品卡的通知等,不一而足. 用户一般更有可能点击进入工作邮箱的相关电子邮件 (如密码更改通知, 或发货确认), 一般不太点击与消费者相关的东西. 中招率最高的莫过于主题为“来自管理员消息”钓鱼邮件,平均点击率高达34%,这类邮件让用户觉得他们是收到了某种需邮件注册的账户的错误提示,这个模拟攻击要求他们点击一个链接进行确认,其余种类邮件的中招率如下图所示(平均失手率即为点击率,表示用户被钓中). 4.企业一般采用什么技术减少钓鱼攻击风险94% 企业使用邮件/垃圾邮件过滤器 (与2015年同比减少 5%)、31%的调查用户使用 URL封装 (与2015年同比增加 26%)、48% 采用出站代理保护(与2015年同比减少 14%)63% 使用高级恶意软件分析 (与2015年同比增加 30%).5.不同行业对于钓鱼邮件的反应存在差异主要采用前文提到的三个钓鱼邮件模板进行测试,测试结果如下: 企业类钓鱼邮件的平均点击率为15%,消费品类、教育、专业服务等行业用户点击率较高;商业类钓鱼邮件平均点击率为15%,在医疗、通讯、交通运输、技术等行业的用户点击率较高;消费类钓鱼邮件平均点击率为10%,保险、技术、政府等点击率较高.综合来看,在袋熊技术所观察的二十六个行业中有一半以上比去年有所进步,但也有几个行业显示出很高的点击率,这些行业依次为:专业服务(点击率提高了47%)、技术 (点击率提高了32%)、能源(点击率提高了27%)、通讯(点击率提高了26%)、财务(点击率提高了19%),其中通讯行业在去年报告中表现最佳,但今年有所退步.这些表现不佳的行业亟需采取持续模拟钓鱼计划和风险度量以推动安全防范意识.6.对于钓鱼邮件风险进行度量是关键要对钓鱼邮件保持长期的警惕,需要对使用用户采取培训计划,并设定目标和基线来度量,实际调查显示采取度量的企业数量有上升的趋势. 7.普通用户对于网络钓鱼的认识及安全意识本次报告一个重大的改变就是与市场调查公司合作,在英美两国各选择1000名普通用户进行调查,了解他们对于网络钓鱼的认识程度,其中美国和英国分别有65%、72%的普通用户了解什么是网络钓鱼.说明人们安全意识增强,对于网络威胁及其相关风险保持警觉

宝格平台(Bog)


8.对于勒索软件的认识在普通用户中,对于勒索软件的认知远远低于对于网络钓鱼的风险认知,美国和英国分别仅有34%、38%的普通用户对勒索软件的问题回答正确,回答“不清楚”的更是分别高达52%及41%,说明公众对于勒索软件的认识程度较低.而对于信息安全专家来说,有34%的受访对象报告说在2016年遭遇勒索软件攻击,其中又有2%的企业实际支付了赎金,但袋熊技术掌握的实际支付赎金的比例高达三分之二.在是否支付赎金的问题上,安全专家给出的建议是“绝不支付”,认为支付只会助长这种类型的攻击,同时已有部分案例表明由于勒索软件存在缺陷导致即便支付赎金数据也没法恢复的结果.另有部分勒索方还会继续索要更大金额的赎金.【相关案例,可查阅袋熊技术的专题博客 :Ransomware: Don’t Count on Honor Among Thieves (勒索软件:永远别信“盗亦有道”)中的案例网址:https://info.wombatsecurity.com/blog/ransomware-dont-count-on-honor-among-thieves?utm_source=internal&utm_campaign=sotp_2017&utm_medium=pdf)】对付勒索软件主要有如下四点:* 避免点击未知链接、广告和网站:* 切勿下载未验证的邮件附件或应用;* 保持软件更新并针对已知漏洞打好补丁;* 备份:定期备份数据和文件到安全位置 9.改变行为 降低风险给最终用户进行安全风险评估和教育可让用户真正改变行为从而让企业降低风险,阿伯丁集团(The Aberdeen Group)的报告《IT安全的最后一英里: 更改用户行为(The Last Mile in IT Security: Changing User Behavior)》使用了蒙特卡罗分析工具, 可以帮助企业通过安全意识计划降低风险级别.袋熊技术使用此工具帮助客户使用数据以在他们的组织内实施安全教育,该模型显示, 通过改变最终用户的行为, 安全风险平均降低了60%.对于普通用户而言,最大的安全风险行为莫过于工作与个人事务之间的界线模糊,在针对普通用户的调查中,在“是否在工作电脑上查阅个人邮件”问题中,美国有50%的用户选择“是”、49%的回答了“否”、1%的回答了“不确定”;而英国仅32%的用户选择“是”、68%则回答了“否”、1%的回答了“不确定”.在关于“是否在个人手机上查阅工作邮件”问题中,美国有49%的用户选择“是”、50%的回答了“否”、1%的回答了“不确定”;而英国仅29%的用户选择“是”、71%则回答了“否”.这个结果显示了一点,除了文化差异外,最终用户必须要强化安全行为.当员工在工作电脑中点击他们存在恶意链接的个人电子邮件,或他们丢失包含工作电子邮件和信息的个人手机时,在企业所做的任何安全努力都起不到什么作用.72%的受访信息安全专家表示他们会评估个人用户对于企业构成的风险,这一数字比2015年同期相比足足增长了64%.这些信息安全专家在确定最终用户的风险时通常采用的标准如下: 三、关于袋熊技术(Wombat Security Technologies)袋熊技术(Wombat Security Technologies)2008年成立于美国匹兹堡,是一家主要提供建立信息安全意识和培训软件的初创企业,帮助企业组织教育员工的安全行为.目前袋熊技术员工数约100人,已完成B1轮融资(334万美元,用于收购ThreatSim公司),总募资金额达到1100万美元.袋熊主要提供基于SaaS的网络安全教育解决方案,包括一个集成综合评估的平台、一套模拟攻击软件和交互式培训模块库,可协助将网络钓鱼攻击和恶意软件感染降低90%,帮助企业加强网络安全防范.主要服务于金融、银行、能源、技术、高等教育、零售和消费品等行业的财富1000强和全球2000强企业,主要竞争对手为位于美国弗吉尼亚州利斯堡的PhishMe公司.