公司可以通过更好的安全培训来提高网络安全态势

员工参与：提升网络安全的关键

关键要点

随着远程工作的普及，商务电子邮件诈骗BEC对组织的影响日益严重。根据FBI的报告，去年BEC和钓鱼攻击的总损失接近24亿美元。钓鱼攻击的报告几乎达到了324000份，其共通点在于它们主要针对员工，这使得企业在网络安全方面的防御变得更加脆弱。

网络威胁者将继续针对用户，因为他们被视为最薄弱的环节。然而，通过正确的沟通和培训，员工可以有效地改善组织的网络安全状况。在这一混合办公的时代，员工需要更加谨慎地分辨哪些是合法的信息，哪些是恶意的内容。随着攻击面不断扩大，威胁也变得越来越复杂，企业可能没能为员工提供必要的安全培训和支持。

居家工作的风险

居家工作已经成为常态，但它也带来了额外的风险。我们的研究显示，约一半的IT决策者发现有受损的个人设备被用来访问公司数据。超过一半54的IT领导表示，他们观察到钓鱼攻击的激增。

在面对这些趋势时，我们需要激励、教育并动员员工，让他们了解自己在防御企业方面的重要角色。研究表明，许多年轻员工1824岁感到安全政策让他们受到限制，近三分之一的员工尝试规避这些政策。在居家办公的转变中，几乎有三分之二64的员工未接受任何关于如何保护家庭网络的额外培训。

与此同时，网络犯罪分子正在努力寻找新的方法来欺骗用户。攻击者通过自动化技术在钓鱼邮件中使用企业标志和电子邮件签名，使其看起来更加真实且更难被发现。当前，每个组织都与多个供应链厂商合作，这让员工更难记住哪些外包商在执行哪些任务。

攻击中使用的域名通常是拼写错误域名即注册与特定品牌稍有不同的域名，以显得更具说服力。同时，国际化域名IDNs的引入也为欺诈打开了新的机会，某些字符乍一看似乎合法，但实际上是来自非拉丁字母表的替代字符。这使得注册一个极具迷惑性的钓鱼域名变得相对容易。

更复杂的技术如线程劫持也显现出威胁。在这种情况下，用户的收件箱通过钓鱼攻击被劫持，攻击者利用自动化脚本筛选受害者的现有对话，以识别特权用户。接着，他们可能会劫持合法文件例如发票或Excel预算表，在其中添加恶意软件，然后重新发送。也可以使用这种技术针对发送过消息的高管和系统管理员，并通过回复邮件的方式发送恶意内容。

重新关注员工参与

识别伪装得如此巧妙的钓鱼邮件对用户来说非常具有挑战性，因此安全团队需要采取全面的培训与尖端的安全硬件和软件相结合的方法，以防止、检测和恢复攻击。

因此，需要重新审视员工参与度。首先，建立双向沟通。IT部门应倾听员工所面临的挑战，同时解释为什么某些培训或安全政策是必要的。如果员工理解背后的原因，将有助于建立合作伙伴关系，将安全嵌入公司的文化中。每个人都将开始承担一定的责任，而不仅仅是IT部门。

全面的安全教育和意识培训程序是必不可少的。首先，教导员工如何识别可疑邮件，超越仅仅查看发件人的名字，转而关注电子邮件地址的域名结构。教育他们从右往左阅读域名，以识别不一致之处。此外，教导员工如何识别域名和[URL](https//wwwscworldcom/analysis