易念科技 2020年邮件钓鱼演练分析报告

2020 邮件钓鱼演练分析报告 2020 年 | 钓鱼邮件行业分析报告 www.ephishing.cn 目录简介............................................................................................................................................................................................... 1 关键发现....................................................................................................................................................................................... 2 行业总数和分类...........................................................................................................................................................................3 钓鱼中招率时间轴对比.............................................................................................................................................................. 6 模板主题中招率和使用率........................................................................................................................................................ 11 模板类型中招率和使用率........................................................................................................................................................ 12 用户客户端对比.........................................................................................................................................................................13 钓鱼演练时间选择.................................................................................................................................................................... 14 钓鱼邮件演练入门.................................................................................................................................................................... 15 企业实施中常见的误区............................................................................................................................................................ 16 2020 年 | 邮件钓鱼演练分析报告 www.humanrisk.cn 简介了解企业风险每个企业的安全负责人都面临过同样的难题：纵使不断增加在复杂安全技术上的投资，针对企业的网络犯罪仍在持续上升。诚然，世上没有绝对的安全环境，但绝大多数企业宁愿花重金在安全技术和产品上，也不愿在全员信息安全意识教育上有所投入，黑客往往能够采用最低的成本，从企业最薄弱的人员突破，使得企业的安全防线如同虚设。由此可见，从容易被管理者忽视的企业内部员工安全意识着手，定期进行安全意识培训和模拟社会工程演练才是根本上降低企业安全风险的最优方案。一个企业的整体 PSR 表示有多少员工可能因社会工程或网络钓鱼受骗，从而进一步泄露个人或者公司的一些敏感信息。较高的 PSR 显然表示企业内部存在更大的风险，因为它通常反映了会有更多的员工做出危险操作。较低的 PSR 表明员工网络安全意识较强，并了解如何识别社会工程或网络钓鱼特征，避免做出危险的尝试。网络钓鱼中招率（PSR）在本报告中还将提供更多有价值的信息，比如我们将 PSR 在同行业内做了横向对比，方便企业了解自身在同行业中的风险定位。类似的我们用 PSR 在时间线上做了纵向对比，帮助企业能够了解整体行业在安全意识培训和模拟社会工程演练的投入，经过时间推移是否得到了对应的回报。今年 Verizon 的《 2020 年数据泄露调查报告》显示，网络钓鱼仍是社会工程和恶意软件最常用的攻击手段和载体。根据国内全网监测评估，2019 年，全国企业邮箱用户共收到各类钓鱼邮件约 344.3 亿封，相比 2018 年收到各类钓鱼邮件的 204.3 亿封增长了 68.5％。2019 年全国企业邮箱用户收到的钓鱼邮件数量约占企业级用户邮件收发总量的 5.3％，平均每天约有 0.9 亿封钓鱼邮件被发出和接收。这里引入一个我们钓鱼系统中常用的概念 “钓鱼邮件中招率” （ Phishing Susceptibility Rate，后文简称 PSR）表示员工收到钓鱼邮箱后，做出点击链接，扫描二维码和下载附件等危险操作的倾向。这里我们通过将风险转化为可衡量的术语和数值，方便企业领导者识别与排列人为风险优先级，从而有针对性地对症下药。 2020 年 | 邮件钓鱼演练分析报告易念科技中国首创的人为因素风险教育管理平台，已帮助中国上百家企业通过安全意识培训和模拟社会工程演练筑起了一道道坚实的企业“人脑防火墙“。易念科技的年度钓鱼行业分析报告通过严格的数据分析，帮助企业了解自身风险定位，设置安全意识学习目标。 www.humanrisk.cn 1 关键发现我们的研究报告从后文三个阶段的数据发现了几个关键点：在没有进行过安全意识培训和模拟社会工程演练的前提条件下，不管身处什么行业，每个企业都面临严重的信息泄露风险。统计结果表明所有行业的基准测试钓鱼中招率平均值是令人不安的 23.88％。这意味公司有超过五分之一的员工受到社会工程和网络钓鱼欺诈的威胁。任何企业都可以用三个月至半年的时间，通过员工安全意识培训和模拟社会工程演练来减少企业信息泄露风险。前提是企业需要谨慎地定制一个培训计划，来帮助员工在短时间内提升自身的安全意识和技能水平。长期坚持进行安全意识培训和有计划的模拟社会工程演练，可以帮助各行业把人的风险因素降到最低。从我们的数据来看，经过持续有计划的安全意识培训可以使各行业的平均钓鱼邮件中招率从 23.88％降至 4.16％，从另一个角度看，钓鱼邮件平均中招减少率达到了 83.19％。中招减少率 2020 年 | 邮件钓鱼演练分析报告 www.humanrisk.cn 2 2020 年邮件钓鱼演练分析报告横向分析各行业安全意识在钓鱼演练完成后很多公司都会问这样的一个问题：“我们公司的网络钓鱼中招率相比其他同行业企业处于怎么样一个水平？”为了在本报告中提供更为准确的答案，我们分析了近一年半内通过我们公司 E-PhishingTM 平台进行的钓鱼测试，其中涵盖了 13 个不同行业，106 家企业，近 120 万用户，超过 312 万封钓鱼邮件，我们通过这些数据进行三个时间节点上的横向 PSR 对比，帮助企业了解自身在同行业中的安全意识水平和风险定位。本报告中包含了十三个行业1，包括制造业；能源业；建筑业；交通运输、仓储和邮政业；信息传输、计算机服务和软件业；批发和零售业；医疗业；证券业；保险业；金融业（其他）；房地产业；科学研究；技术服务和地质勘查业；水利、环境和公共设施管理业。报告中的所有企业都按照上述行业进行了分类，统计了每次钓鱼演练中员工点击链接，扫描二维码和下载邮件中附件的百分率作为企业网络钓鱼中招率（PSR）。我们的统计结果显示，近 120 万企业用户基本都完成了第一次的钓鱼邮件基准测试，我们把这次测试作为横向对比 PSR 的第一个时间节点。其中有 67％的用户会在基准测试后的 3 到 6 个月的时间内做了第二次钓鱼邮件测试，我们把它作为第二次横向对比 PSR 的时间节点，我们把时隔一年左右的钓鱼测试作为最后一次横向对比 PSR 的时间节点。纵向分析培训影响为了方便企业了解安全意识培训的效果，我们同样沿用了上面提到的三个重要时间节点进行纵向的 PSR 数据分析：  第一阶段：企业尚未对员工进行安全培训，并且第一次做钓鱼邮件演练，我们监测各行业员工在钓鱼基准测试中的表现，并用 PSR 量化呈现数据。  第二阶段：经过几个月的安全意识培训后，我们再次对企业员工在钓鱼邮件测试中的表现进行监测，观察比较基准测试和网络安全意识培训后的演练在 PSR 数据上的变化。验证各行业在安全意识培训和模拟社会工程演练的投入是否得到对应的回报  第三阶段：经过持续的安全意识培训和模拟网络钓鱼测试，我们选取一年后的时间节点进行钓鱼测试，检验员工安全意识和技能经过一年时间提升对 PSR 产生的巨大影响。 1 参考中华人民共和国国家标准国民经济行业分类 GB/T 4754—2017 2020 年 | 邮件钓鱼演练分析报告 www.humanrisk.cn 3 2020 年 | 邮件钓鱼演练分析报告 www.humanrisk.cn 4 谁在安全的“风口浪尖”