说明:本文主要内容基于土耳其萨班哲大学(Sabanci University)工程与自然科学学院(FENS)相关研究人员的最新研究。研究成果发表于"Computer Standards & Interfaces"期刊,这一研究对于提升金融行业及其它行业的网络钓鱼攻击防护水平具有重要参考意义。
网络钓鱼中的“人为因素”
网络钓鱼邮件已成为网络安全领域最常见的威胁,其本质是一种恶意电子邮件,其目的是通过模仿合法邮件诱骗用户泄露其个人及企业的敏感信息(如:账号密码、财务信息、敏感数据等)。钓鱼邮件通常是大多数网络攻击的第一步,往往以紧急信息(制造紧迫感)的形式出现,看似来自可信赖的来源(营造信任感),仿冒官方或领导身份(利用权威性),以促使收件人立即采取行动。钓鱼邮件的操纵性本质在于通过社会工程学技术,利用人类的心理弱点、性格特质缺陷,以及一系列认知偏差和行为漏洞等。
尽管企业在恶意电子邮件过滤技术、钓鱼邮件检测工具以及员工安全意识培训等方面取得了显著进展,但网络钓鱼依然是一个重大威胁。随着AI+网络钓鱼攻击的复杂程度、频率和规模在不断上升,而传统的安全技术防护手段难以100%抵御,这凸显了深入理解非技术防御措施背后的“人为因素”,以及如何提升员工有效抵御钓鱼攻击的重要性。
研究方法及研究结果亮点
基于此背景下,萨班哲大学研究人员开展了一项针对某大型欧洲金融机构员工对网络钓鱼易感性和抵御力的研究。在长达2年的时间里,在正常工作时间内,研究人员对8102名员工每月发送一次不同模板的、未经提前通知的钓鱼模拟邮件,并收集员工的行为反应(如点击钓鱼链接、报告钓鱼邮件),并将钓鱼演练结果与人口统计学数据(如年龄、性别、教育程度等)以及组织人力数据(如部门类型、工作年限、职务级别、工作地点等)相结合,建立了多元逻辑回归模型来分析这些变量与网络钓鱼活动之间的关系。
研究发现,不同人口和组织群体对网络钓鱼攻击的易感性和抵御能力存在显著差异。研究结果的关键亮点:
年龄方面:年龄越大的老员工越容易中招网络钓鱼攻击;
性别方面:男性员工相较于女性员工对网络钓鱼攻击的易感性更低;
教育程度方面:员工受教育程度越高,报告可疑钓鱼邮件的可能性越大;
部门类型方面:不同部门的员工面临的风险程度不同,对钓鱼邮件的易感性也不同;
上报行为方面:年龄较大和职位级别较高的员工报告网络钓鱼邮件的可能性较低。
另外,虽然男性员工不太可能多次点击钓鱼邮件,而随着年龄的增长,易感性也会增加。部门隶属关系也对网络钓鱼易感性有很大影响。
该研究第六节讨论了本次研究的局限性,鼓励未来的研究优先调查员工网络钓鱼中招行为的根本原因,以及评估安全意识与培训计划的有效性,从而更好地应对日益复杂的网络钓鱼攻击挑战。
研究带给我们的启示
作为最后一道防线,“人的因素”对挫败网络攻击企图起着至关重要的作用。该研究揭示了不同人口和组织因素对金融机构员工的网络钓鱼易感性和抵御能力的显著差异,凸显了针对组织内不同人群和部门进行有针对性的、定制化的、常态化的反网络钓鱼培训的必要性,并制定鼓励员工及时上报可疑邮件的激励机制,以及持续打造强有力而有韧性的组织网络安全文化的重要性。这些措施不仅适用于金融机构,也适用于其它各个行业。
打造强大的网络安全文化需要从顶层精心设计和规划,是一项长期的系统性工程,需要科学的方法论和实战经验指导。网络安全文化建设绝非只是发发海报、做做培训、搞搞活动、开展几次钓鱼演练那么简单。搞搞形式主义的浅层功夫,势必会造成人力、物力、财力和时间的浪费。
超安全文化研究院为组织精准把脉、对症开方、出谋划策、赋能成长、深度陪跑!让组织网络安全文化建设少走弯路!
参考来源:“Computer Standards & Interfaces”期刊
声明:本文来自超安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
