易念科技联合FreeBuf发布了《2020邮件钓鱼演练分析报告》
2020-12-30 16:31:41 Author: www.freebuf.com(查看原文) 阅读量:125 收藏

近日,易念科技联合FreeBuf发布了《2020邮件钓鱼演练分析报告》,内容包括行业分类和总数、钓鱼中招率时间轴对比、模板主题中招率对比、模板类型中招率和使用率和用户客户端对比等。

报告还将详细说明钓鱼演练时间选择、钓鱼邮件演练入门和企业实施中的常见误区等问题。

我们的研究报告从后文三个阶段的数据发现了几个关键点:

在没有进行过安全意识培训和模拟社会工程演练的前提条件下,不管身处什么行业,每个企业都面临严重的信息泄露风险。统计结果表明所有行业的基准测试钓鱼中招率平均值是令人不安的23.88%。这意味公司有超过五分之一的员工受到社会工程和网络钓鱼欺诈的威胁。

任何企业都可以用三个月至半年的时间,通过员工安全意识培训和模拟社会工程演练来减少企业信息泄露风险。前提是企业需要谨慎地定制一个培训计划,来帮助员工在短时间内提升自身的安全意识和技能水平。

长期坚持进行安全意识培训和有计划的模拟社会工程演练,可以帮助各行业把人的风险因素降到最低。从我们的数据来看,经过持续有计划的安全意识培训可以使各行业的平均钓鱼邮件中招率从23.88%降至4.16%,从另一个角度看,钓鱼邮件平均中招减少率达到了83.19%。

横向分析各行业安全意识

在钓鱼演练完成后很多公司都会问这样的一个问题:“我们公司的网络钓鱼中招率相比其他同行业企业处于怎么样一个水平?”为了在本报告中提供更为准确的答案,我们分析了近一年半内通过我们公司E-PhishingTM平台进行的钓鱼测试,其中涵盖了13个不同行业,106家企业,近120万用户,超过312万封钓鱼邮件,我们通过这些数据进行三个时间节点上的横向PSR对比,帮助企业了解自身在同行业中的安全意识水平和风险定位。

本报告中包含了十三个行业 ,包括制造业;能源业;建筑业;交通运输、仓储和邮政业;信息传输、计算机服务和软件业;批发和零售业;医疗业;证券业;保险业;金融业(其他);房地产业;科学研究;技术服务和地质勘查业;水利、环境和公共设施管理业。报告中的所有企业都按照上述行业进行了分类,统计了每次钓鱼演练中员工点击链接,扫描二维码和下载邮件中附件的百分率作为企业网络钓鱼中招率(PSR)。

我们的统计结果显示,近120万企业用户基本都完成了第一次的钓鱼邮件基准测试,我们把这次测试作为横向对比PSR的第一个时间节点。其中有67%的用户会在基准测试后的3到6个月的时间内做了第二次钓鱼邮件测试,我们把它作为第二次横向对比PSR的时间节点,我们把时隔一年左右的钓鱼测试作为最后一次横向对比PSR的时间节点。

纵向分析培训影响

为了方便企业了解安全意识培训的效果,我们同样沿用了上面提到的三个重要时间节点进行纵向的PSR数据分析:

第一阶段:企业尚未对员工进行安全培训,并且第一次做钓鱼邮件演练,我们监测各行业员工在钓鱼基准测试中的表现,并用PSR量化呈现数据。

第二阶段:经过几个月的安全意识培训后,我们再次对企业员工在钓鱼邮件测试中的表现进行监测,观察比较基准测试和网络安全意识培训后的演练在PSR数据上的变化。验证各行业在安全意识培训和模拟社会工程演练的投入是否得到对应的回报

第三阶段:经过持续的安全意识培训和模拟网络钓鱼测试,我们选取一年后的时间节点进行钓鱼测试,检验员工安全意识和技能经过一年时间提升对PSR产生的巨大影响。

谁在安全的“风口浪尖”

近120万企业用户的测试结果,为那些不愿在全员安全意识培训和模拟社会工程演练上有所投入的企业敲响了警钟,我们收集的PSR数据表明仅有少数行业的员工在识别网络钓鱼邮件方面做得很好。绝大多数情况下企业员工未经过安全意识测试或培训,很容易陷入钓鱼邮件预先设下的陷阱,使企业面临信息泄露的风险。

我们的统计结果表明,总共13个行业的钓鱼基准测试PSR平均值是23.88%。不同行业的钓鱼邮件中招率各不相同,总结情况如下:

  • 在企业分类中信息传输、计算机服务和软件业的钓鱼基准测试中招率为43.61%位列中招率第一。这一结果看似不太合理,究其原因,其一主要是计算机服务,软件服务业的员工需要长期坐在电脑屏幕前工作,对邮件信息相对比较敏感,其二,从事IT服务业并不代表其员工安全意识高,相反我们的数据佐证了恰恰相悖的结果。
  • 在企业分类中钓鱼中招率排名第二的是医疗业,高达30.5%。钓鱼邮件基准测试中招率排名第三的是制造业为28.40%。金融业的钓鱼邮件中招率一般在21%~25%左右。
  • 在基准测试中PSR排名最低的是科学研究、技术服务和地质勘查业,中招率仅为8.77%。但无论数值如何,PSR都反应了企业在真实钓鱼攻击中可能的中招率,都值得企业引起足够的重视,因为黑客只需要正确一次就足以突破企业的防线,造成严重损失,而对于企业而言则必须全力抵抗持续不断的攻击,不容有失。

更多内容,获取完整版报告:


文章来源: https://www.freebuf.com/articles/paper/259376.html
如有侵权请联系:admin#unsafe.sh