压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Proofpoint年度報告簡述

今年的報告基于對15個國家的7500名終端用戶和1050名網絡安全專業人士的調研。難能可貴的是，本報告不僅基于主觀調研結果，還基于真實釣魚攻擊數據及釣魚演練數據（Proofpoint于過去12個月內發送的1.83億次釣魚模擬郵件，以及2400封(次)用戶釣魚上報數據）。該報告對于企業用戶在反釣魚方面的知識差距及行為習慣提供了深入洞察，強調了安全意識教育、行為改變計劃與安全文化建設在降低網絡釣魚攻擊威脅中的重要作用。

這是一份有意思的報告，你可以發現：

• 為什么員工會故意采取高風險行為？他們是否意識到了風險行為的后果？
• 如何建立一個強大的網絡安全文化，以促進員工對安全問題的積極態度和責任感？
• 為什么只有少數企業提供了基于崗位角色的、基于員工特定風險的針對性安全意識培訓？
• 新興網絡威脅不斷演變，如何確保員工安全意識培訓的及時性、相關性及適配度？

根據調查數據，71%的職場人士承認在工作中發生了一次或多次具有安全風險的行為，例如：與家人或朋友共用工作電腦或處理私人事務，重復使用或共享賬號密碼，訪問不良網站、點擊來自未知發件人的鏈接或下載附件，或者向不明身份的“熟人”提供賬號密碼，將敏感數據上傳至第三方云服務，在公共場所連接免費Wi-Fi且未啟用VPN的情況下訪問公司網絡等等，其中96%的員工明明知道自己在冒險的情況下仍然選擇這么做。

員工故意采取高風險行為的原因有多種。其中，方便、省時和情況緊急是最常見的原因，還有2.5%的員工純粹出于好奇心采取高風險行為。當員工在方便和安全之間做選擇時，員工幾乎每次都會選擇前者。無論出于何種原因，員工采取高風險行為并不是因為他們缺乏安全意識。通常情況下，員工在采取風險行為時知道自己在做什么，也意識到了可能的不良后果，他們是在權衡利弊之后，仍然心存僥幸，愿意鋌而走險，從而構成了“內部人員威脅”。

最常見的與員工相關的網絡安全漏洞是什么?

毋庸置疑，最常見的莫過于員工對于社會工程學攻擊（包括網絡釣魚）缺乏“免疫力”。事實上，絕大多數成功的網絡入侵(74%)涉及人為因素，即有員工被欺騙而犯下了“人為錯誤”，從而為攻擊者順利訪問企業的信息系統打開了大門。攻擊者繞過安全技術防御錯誤的最簡單且最奏效的方式，就是發送釣魚郵件。

幾乎所有釣魚郵件都會引發郵件接收者的“情緒波動”，受害者在情緒影響的支配下，繞過理性腦的思考，從而做出不符合自己最佳利益的決策。（如：點擊鏈接、下載附件或掃描二維碼）。社會工程學攻擊之所以難防，在于它利用的是刻在人們基因里的人性弱點與情緒漏洞。每一次社會工程學攻擊背后都涉及某一種或多種情緒漏洞的操縱，包括但不限于緊迫感、壓力、恐懼、貪婪、順從、驚喜、好奇心、同情心等等。

員工的網絡安全“責任認知”何在？

許多員工并沒有遵守一些簡單的、基本的企業安全合規行為準則，寧愿冒險，拿企業的安全防線來賭一把。且許多員工對于承擔網絡安全責任缺乏共識，有很強烈的傾向：安全是IT安全部門的事兒！。約7%的員工聲稱他們根本沒有安全責任，只有41%的員工表示，他們知道自己在工作場所應承擔的網絡安全責任，而過半員工(52%)選擇不確定。這與安全團隊的觀點形成鮮明對比，其中85%的安全人員自以為：大多數員工知道他們自身的安全責任。這種認知與現實之間的差距表明，有必要在公司范圍內從上至下，就“共同責任”、“網絡安全人人有責”進行更清晰的溝通，而不僅僅是開展更多的安全培訓。

真實的安全意識培訓與釣魚演練覆蓋率不足

僅僅依靠安全意識宣貫與培訓，不足以改變員工的不安全行為，知道不等于愿意去做，知道不等于做到位。但是，僅僅是安全意識宣貫與培訓這一最基礎的動作，就拿真實的培訓覆蓋率指標來說，都令人驚訝。據調查顯示，僅有53%受訪的安全專業人員表示他們對企業中的每個人都進行了安全意識培訓，這意味著仍有相當一大部分員工是游離于或排除在安全培訓或釣魚演練之外的，可能是高管、高管助理、外包人員等。另一個問題是，培訓主題的覆蓋面和相關性不夠，未形成體系化的安全意識培訓主題，也缺乏個性化的培訓主題，員工的參與度與積極性不高。

另一個值得關注的數據是員工學習時長，企業員工每年參加安全意識培訓時長在3小時以上的占32%，1-2小時占37%，1小時內占31%。

本報告內容翔實，極具參考價值，還涉及釣魚演練中招率行業趨勢，如何利用威脅情報改善員工風險行為，如何超越安全培訓打造安全文化等等。

來源：超安全