《2024年网络钓鱼现状全球报告》解读

十年来首次重大更新！NIST发布网络安全框架2.0版本

Mandiant 报告：疑似伊朗黑客组织 UNC1549 针对以色列和中东航空航天和国防部门

特别关注

《2024年网络钓鱼现状全球报告》解读

标签：网络钓鱼

Proofpoint年度报告简述

今年的报告基于对15个国家的7500名终端用户和1050名网络安全专业人士的调研。难能可贵的是，本报告不仅基于主观调研结果，还基于真实钓鱼攻击数据及钓鱼演练数据（Proofpoint于过去12个月内发送的1.83亿次钓鱼模拟邮件，以及2400封(次)用户钓鱼上报数据）。该报告对于企业用户在反钓鱼方面的知识差距及行为习惯提供了深入洞察，强调了安全意识教育、行为改变计划与安全文化建设在降低网络钓鱼攻击威胁中的重要作用。

这是一份有意思的报告，你可以发现：

为什么员工会故意采取高风险行为？他们是否意识到了风险行为的后果？
如何建立一个强大的网络安全文化，以促进员工对安全问题的积极态度和责任感？
为什么只有少数企业提供了基于岗位角色的、基于员工特定风险的针对性安全意识培训？
新兴网络威胁不断演变，如何确保员工安全意识培训的及时性、相关性及适配度？

根据调查数据，71%的职场人士承认在工作中发生了一次或多次具有安全风险的行为，例如：与家人或朋友共用工作电脑或处理私人事务，重复使用或共享账号密码，访问不良网站、点击来自未知发件人的链接或下载附件，或者向不明身份的“熟人”提供账号密码，将敏感数据上传至第三方云服务，在公共场所连接免费Wi-Fi且未启用VPN的情况下访问公司网络等等，其中96%的员工明明知道自己在冒险的情况下仍然选择这么做。

员工故意采取高风险行为的原因有多种。其中，方便、省时和情况紧急是最常见的原因，还有2.5%的员工纯粹出于好奇心采取高风险行为。当员工在方便和安全之间做选择时，员工几乎每次都会选择前者。无论出于何种原因，员工采取高风险行为并不是因为他们缺乏安全意识。通常情况下，员工在采取风险行为时知道自己在做什么，也意识到了可能的不良后果，他们是在权衡利弊之后，仍然心存侥幸，愿意铤而走险，从而构成了“内部人员威胁”。

最常见的与员工相关的网络安全漏洞是什么?

毋庸置疑，最常见的莫过于员工对于社会工程学攻击（包括网络钓鱼）缺乏“免疫力”。事实上，绝大多数成功的网络入侵(74%)涉及人为因素，即有员工被欺骗而犯下了“人为错误”，从而为攻击者顺利访问企业的信息系统打开了大门。攻击者绕过安全技术防御错误的最简单且最奏效的方式，就是发送钓鱼邮件。

几乎所有钓鱼邮件都会引发邮件接收者的“情绪波动”，受害者在情绪影响的支配下，绕过理性脑的思考，从而做出不符合自己最佳利益的决策。（如：点击链接、下载附件或扫描二维码）。社会工程学攻击之所以难防，在于它利用的是刻在人们基因里的人性弱点与情绪漏洞。每一次社会工程学攻击背后都涉及某一种或多种情绪漏洞的操纵，包括但不限于紧迫感、压力、恐惧、贪婪、顺从、惊喜、好奇心、同情心等等。

员工的网络安全“责任认知”何在？

许多员工并没有遵守一些简单的、基本的企业安全合规行为准则，宁愿冒险，拿企业的安全防线来赌一把。且许多员工对于承担网络安全责任缺乏共识，有很强烈的倾向：安全是IT安全部门的事儿！。约7%的员工声称他们根本没有安全责任，只有41%的员工表示，他们知道自己在工作场所应承担的网络安全责任，而过半员工(52%)选择不确定。这与安全团队的观点形成鲜明对比，其中85%的安全人员自以为：大多数员工知道他们自身的安全责任。这种认知与现实之间的差距表明，有必要在公司范围内从上至下，就“共同责任”、“网络安全人人有责”进行更清晰的沟通，而不仅仅是开展更多的安全培训。

真实的安全意识培训与钓鱼演练覆盖率不足

仅仅依靠安全意识宣贯与培训，不足以改变员工的不安全行为，知道不等于愿意去做，知道不等于做到位。但是，仅仅是安全意识宣贯与培训这一最基础的动作，就拿真实的培训覆盖率指标来说，都令人惊讶。据调查显示，仅有53%受访的安全专业人员表示他们对企业中的每个人都进行了安全意识培训，这意味着仍有相当一大部分员工是游离于或排除在安全培训或钓鱼演练之外的，可能是高管、高管助理、外包人员等。另一个问题是，培训主题的覆盖面和相关性不够，未形成体系化的安全意识培训主题，也缺乏个性化的培训主题，员工的参与度与积极性不高。

另一个值得关注的数据是员工学习时长，企业员工每年参加安全意识培训时长在3小时以上的占32%，1-2小时占37%，1小时内占31%。

本报告内容翔实，极具参考价值，还涉及钓鱼演练中招率行业趋势，如何利用威胁情报改善员工风险行为，如何超越安全培训打造安全文化等等。

信源：https://www.secrss.com/articles/64016

安全资讯

十年来首次重大更新！NIST发布网络安全框架2.0版本

标签：安全框架

美国国家标准与技术研究院(NIST)近日发布了网络安全框架(CSF)的2.0正式版本，这是2014年该框架发布后十年来首次重大更新。新框架版本极大扩展了适用范围，重点关注治理和供应链问题，并提供了丰富的资源以加速框架实施。

NIST正式发布的网络安全框架(CSF)2.0版本比去年9月发布的2.0草案版本更加完善，新版本的重大变化和升级如下：

适用范围从关键基础设施扩大到所有组织：新的2.0版本面向几乎所有受众、行业部门和组织类型而设计，从最小的学校和非营利组织到最大规模的机构、公司和国家关键基础设施，无论其网络安全系统的复杂程度如何。
新增的“治理“成为核心功能：新框架版本将重点放在治理上，包括组织如何制定和执行有关网络安全策略的决策，并强调网络安全是企业风险的主要来源，高级领导者应将网络安全与财务和声誉等其他风险一起考虑。
提供实施框架所需的大量工具和指导资源：NIST扩展了CSF的核心指导并开发了相关资源，以帮助用户充分利用该框架。这些资源旨在为不同的受众提供进入CSF的定制途径，并使该框架更容易付诸实施。

从关键基础设施扩大到所有组织

网络安全框架2.0版本被美国总统拜登的《国家网络安全战略》和几项新兴政府网络安全政策声明引用，其关注范围从保护关键基础设施(例如医院和发电厂)扩展到所有行业的组织。

为此，新框架版本放弃了之前版本使用的“改进关键基础设施网络安全框架”的名称，改为“NIST网络安全框架(CSF)2.0”。

与2015年发布的原始版本和2018年发布的1.1版本相比，2.0版本不再仅仅是一个静态资源，而演变成了一套指导框架实施的资源包。“网络安全框架一直是许多组织的重要工具，帮助他们预测和应对网络安全威胁，”美国商务部标准与技术局副局长兼NIST局长Laurie E. Locascio表示，“2.0版本以之前版本为基础，不仅仅涵盖一份文档，而是一套可定制的资源，随着组织的网络安全需求变化和能力发展，可以单独或组合使用。”

“治理”成为核心功能

网络安全框架2.0最重要的结构性变化是增加了第六个关键功能——“治理”，此前版本的五个关键功能“识别”、“保护”、“检测”、“响应”和“恢复”都围绕着该功能展开（上图）。“治理”功能旨在帮助组织将网络安全风险管理纳入更广泛的企业风险管理计划中，通过提供“成果”或期望状态来指导组织如何实现和优先考虑其他五个功能的成果。

NIST表示，增加“治理”功能的目的是将所有网络安全风险管理活动提升到组织的高管和董事会层面。“我认为2.0版本的一大亮点是将治理提升为一个功能，”网络安全公司CyberSaint的创始人兼首席创新官Padraic O’Reilly指出：“我认为现在业界已经普遍认识到，如果没有积极的治理参与，网络安全工作就只会原地打转。”

供应链安全受到更多重视

网络安全框架2.0还整合并扩展了1.1版本中的供应链风险管理成果，并将其中大部分归入“治理”功能之下。框架指出，“鉴于该生态系统复杂且相互关联，供应链风险管理(SCRM)对组织至关重要。网络安全供应链风险管理(C-SCRM)是一个系统化的过程，用于管理整个供应链中的网络安全风险暴露，并制定适当的响应策略、政策、流程和程序。网络安全框架C-SCRM类别[GV.SC]下的子类别提供了一种将纯粹关注网络安全和关注C-SCRM的成果联系起来的方式。”

将供应链风险管理纳入“治理”功能只是解决网络安全棘手问题迈出的第一步。“供应链问题缠身，”O’Reilly说，“之所以供应链安全问题如此复杂，是因为供应链本身就非常复杂。我认为NIST将一部分供应链纳入治理范畴，是因为需要从上层进行更多管理。因为目前，一些做法虽然勉强说得过去，但只能解决大约一半的问题。”

完善的参考工具、资料、指南和资源整合

网络安全框架2.0版本还提供了更新的“参考资料”，即现有的标准、指南和框架，以帮助充实网络安全框架包含的技术细节和步骤，为组织如何实施23个类别下的106个子类别提供进一步的指导。

为了解决网络安全框架可能带来的实施困难，NIST在2.0版本中加入了一系列关于不同主题的“快速入门指南”，包括如何创建网络安全框架配置文件和层级，以及如何开始管理供应链安全风险和创建社区配置文件，以供拥有共同利益的社区描述共识观点。

网络安全框架2.0版本的参考工具简化了组织实施框架的方式，允许用户以人类和机器可读的格式浏览、搜索和导出CSF核心指南中的数据和详细信息。

为了提供更实用的框架实施指南，网络安全框架2.0还提供了“实施示例”。这些实施示例代表了NIST将被动书写的成果转换为组织可以采取的更积极可操作步骤的努力。

网络安全框架2.0版本还改进了与其他广泛使用的NIST资源的集成，这些资源处理企业风险管理、ERM和ICT风险管理计划，包括：