如何应对电子邮件安全威胁？

现在是时候以更积极主动的方式重新构想员工培训了，必须将电子邮件安全主要视为人为问题而不是技术问题。

SANS 研究所的调查显示，近四分之三的网络钓鱼、恶意软件和勒索软件攻击来自电子邮件。许多网络钓鱼尝试使用看起来合法的电子邮件来诱骗受害者单击恶意链接或打开附件，从而在受害者的系统中植入恶意软件，为攻击者窃取机密信息或完全瘫痪受害者的网络。此外，攻击者会入侵电子邮件账户并冒充账户所有者，向关键地点的员工发出指令，以共享敏感数据或将资金转移到指定的银行账户。

Verizon 的 2018 年数据泄露调查报告揭示

公司因社会工程攻击而遭受数据泄露的可能性是网络漏洞导致的三倍。

随着美国中期选举的临近，美国各地的竞选工作人员和选举官员必须警惕此类攻击。但电子邮件黑客的威胁不是一次性的，每个政府机构每天都面临着它。

在 1 月份的武装部队通信和电子协会会议上，国防信息系统局执行主任戴维·贝内特 (David Bennett) 表示，每年有 130 亿条可疑消息涌入国防部电子邮件收件箱。 ，并且没有任何自动扫描和检测就被放置在邮箱中。

其他政府机构也大多注意到了电子邮件威胁，并部署了电子邮件安全产品来保护自己。但即使增加了技术保护，一个巨大的弱点仍然存在：人类本身。

Verizon 的一项调查显示，由于网络安全意识逐年提高，如今 78% 的人不会点击网络钓鱼链接。然而，另外 4% 的人可能会无意中点击钓鱼链接或打开恶意附件。由于犯罪分子只需要诱骗一名受害者渗透整个网络，因此 4% 的数字仍然过高，使员工行为成为电子邮件安全的第一大风险。

Barracuda 和 Dimensional Research 对全球 630 名电子邮件安全专业人士进行了调查，发现员工的不良行为比公司是否有适当的防御措施更令人担忧。在调查中，84% 的受访者将员工行为不佳列为首要问题，而工具不足的比例仅为 16%。

虽然电子邮件仍然是公司内部传播恶意软件的主要方式，但 Slack 等协作平台或 Google Drive 等文件共享服务似乎越来越多地成为攻击者的目标，引起越来越多的关注。

而且工作邮箱收到勒索邮件，尽管每个人都同意员工安全意识培训很重要，但只有 77% 的受访者表示他们的公司制定了培训计划。

这种现象不正常，是时候以更主动的方式重新构想员工培训了，必须将电子邮件安全主要视为人为问题，而不是技术问题。以下4种方法可供参考。

1.个性化

目前，很多公司的邮件安全培训项目往往内容广泛，形式单一，通常由人力资源部安排。 Dogma 的通用在线课程。然而，在现实中，安全培训计划应该针对每个员工的角色量身定制，其内容必须与员工的业务领域相匹配。例如，财务负责人经常成为网络钓鱼诈骗的目标，黑客可能会伪装成合法人并要求他们转账。对此类职位员工的培训应特别侧重于应对此类威胁。

安全培训计划中的更多个性化对于教育每位员工大有帮助。

2.明确奖惩

电子邮件安全程序太容易惩罚或羞辱成为电子邮件欺诈受害者的人，而很少考虑良好行为奖励。但实际上工作邮箱收到勒索邮件，主动向 IT 部门报告可疑电子邮件的员工应该以某种形式得到认可，例如向所有员工发送表扬信，或给予他们礼品卡等物质奖励。

电子邮件安全程序应设法识别未点击恶意链接的人。积极的反馈非常有效。

3.专业培训

更好的策略应该超越常规的课堂式教学（无论是课堂还是在线）。利用真实场景进行大量训练是一种更强大的工具。

红队测试是一个很好的方法。企业可以安排白帽专家入侵网络，模拟攻击，进行攻防演练。您还可以使用熟悉的高管帐户来模拟帐户被黑，并评估员工如何响应来自被黑帐户的请求。

这种亲身体验的方法可以帮助公司及其员工更好地了解自己对电子邮件攻击的防御，而不是坐在教室里听老师讲课。

4.承担责任

电子邮件安全培训计划的结果不应仅由人力资源和安全团队负责，而应由部门主管或办公室主管负责。这样做会慢慢在全公司范围内灌输“电子邮件安全是每个人的责任”的氛围，并支持安全培训计划应针对每个业务领域量身定制的理念。