HumanRisk：2021企業(yè)郵件釣魚演練分析報告

1易1易念科技|Coremail[在此處鍵入]2021年|企業(yè)郵件釣魚演練分析報告簡介 1關(guān)鍵發(fā)現(xiàn) 2行業(yè)總數(shù)和分類 3釣魚中招率時間軸對比 6模板主題中招率和使用率 12模板類型中招率和使用率 13TOP10大釣魚郵件主題 14 企業(yè)實施中常見的誤區(qū) 22這里引入一個我們釣魚系統(tǒng)中常用的概念“釣魚中招率”(這里引入一個我們釣魚系統(tǒng)中常用的概念“釣魚中招率”(PhishingFraudRate，后文簡稱PFR)表示員工收到釣魚郵箱后，做出點擊鏈接、掃描二維碼和下載附件等危險操作的傾向。這里我們通過將風(fēng)險轉(zhuǎn)化為可衡量的術(shù)語和數(shù)值，方便企業(yè)領(lǐng)導(dǎo)者識別與排列人為風(fēng)險優(yōu)先級，從而有針對性地對癥下藥。一個企業(yè)的整體PFR表示有多少員工可能因社會工程或網(wǎng)絡(luò)釣魚受騙，從而進(jìn)一步泄露個人或者公司的一些敏感信息。較高的PFR顯然表示企業(yè)內(nèi)部存在更大的風(fēng)險，因為它反應(yīng)了通常會有更多的員工會做出危險操作。較低的PFR表明員工網(wǎng)絡(luò)安全意識較強(qiáng)，并了解如何識別社會工程或網(wǎng)絡(luò)釣魚特征，避免做出危險的嘗試。網(wǎng)絡(luò)釣魚中招率(PFR)在本報告中還將提供更多有價值的信息，比如我們將PFR在同行業(yè)內(nèi)做了橫向?qū)Ρ?，方便企業(yè)了解自身在同行業(yè)中的風(fēng)險定位。類似的我們用PFR在時間線上做了縱向?qū)Ρ龋瑤椭髽I(yè)能夠了解整體行業(yè)在安全意識培訓(xùn)和模擬釣魚郵件演練的投入經(jīng)過時間推移是否得到了對應(yīng)的回報。易念科技在中國首創(chuàng)了人為因素風(fēng)險教育管理平臺，已幫助中國上百家企業(yè)通過安全意識培訓(xùn)和模擬釣魚郵件演練筑起了一道道堅實的企業(yè)“人腦防火墻“。本報告結(jié)合了易念科技和Coremail多年在企業(yè)釣魚郵件演練領(lǐng)域的豐富實踐經(jīng)驗及研究成果，希望此份報告能為企業(yè)了解自身風(fēng)險定位，設(shè)置安全意識學(xué)習(xí)目標(biāo)有所幫助。每個企業(yè)的安全負(fù)責(zé)人都面臨過同樣的難題：縱使不斷增加在復(fù)雜安全技術(shù)上的投資，針對企業(yè)的網(wǎng)絡(luò)犯罪仍在持續(xù)上升。誠然，世上沒有絕對的安全環(huán)境，但絕大多數(shù)企業(yè)寧愿花重金在安全技術(shù)和產(chǎn)品上，也不愿在全員信息安全意識教育上有所投入，黑客往往能夠采用最低的成本，從企業(yè)最薄弱的人員突破，使得企業(yè)的安全防線如同虛設(shè)。由此可見，從容易被管理者忽視的企業(yè)內(nèi)部員工安全意識著手，定期進(jìn)行安全意識培訓(xùn)和模擬釣魚郵件演練才是根本上降低企業(yè)安全風(fēng)險的最優(yōu)方案。Verizon的《2021年數(shù)據(jù)泄露調(diào)查報告》(DBIR)指出，2021年數(shù)據(jù)泄露的主要原因來自Web應(yīng)用程序攻擊、網(wǎng)絡(luò)釣魚和勒索軟件。在疫情、遠(yuǎn)程辦公等時勢的影響下，涉及網(wǎng)絡(luò)釣魚的違規(guī)行為相較去年增加了11％，占比達(dá)到了36％。和去年一樣，網(wǎng)絡(luò)釣魚仍是社會工程和惡意軟件最常用的攻擊手段和載體。根據(jù)Coremail與奇安信行業(yè)安全研究中心的聯(lián)合監(jiān)測評估，2020年，全國企業(yè)郵箱用戶共收到各類釣魚郵件約460.9億封，相比2019年收到各類釣魚郵件的344.3億封增長了33.9%，2021年釣魚郵件規(guī)?？蛇_(dá)500億封。2020年全國企業(yè)郵箱用戶收到的釣魚郵件數(shù)量約占企業(yè)級用戶郵件收發(fā)總量的6.9%，平均每天約有1.3億封釣魚郵件被發(fā)出和接收。由此可見釣魚郵件引起的安全風(fēng)險日趨嚴(yán)峻，若員工未接受任何釣魚郵件的培訓(xùn)或演練，員工收到釣魚郵件“中招”的概率將極高。2021年|企業(yè)郵件釣魚演練分析報告1關(guān)鍵結(jié)果我們的研究報告從三個階段的數(shù)據(jù)結(jié)果可以總結(jié)以下幾個結(jié)論：易念科技|Coremail在沒有進(jìn)行過安全意識培訓(xùn)和模擬釣魚郵件演練的前提條件下，不管身處什么行業(yè)，每個企業(yè)都面臨嚴(yán)重的信息泄露風(fēng)險。統(tǒng)計結(jié)果表明所有行業(yè)的釣魚基準(zhǔn)測試PFR平均值是令人不安的20.81％。這意味公司有將近五分之一的員工受到社會工程和網(wǎng)絡(luò)釣魚詐騙的威脅。任何企業(yè)都可以用三個月至半年的時間通過員工安全意識培訓(xùn)和模擬釣魚郵件演練來加強(qiáng)企業(yè)信息泄露風(fēng)險抗性。前提企業(yè)需要謹(jǐn)慎地定制一個優(yōu)秀的培訓(xùn)計劃幫助員工在短時間內(nèi)提升自身的安全意識和技能水平。長期堅持進(jìn)行安全意識培訓(xùn)和有計劃的模擬釣魚郵件演練可以幫助各行業(yè)把人的風(fēng)險因素降到最低。從我們的數(shù)據(jù)來看，經(jīng)過持續(xù)有計劃的安全意識培訓(xùn)可以使各行業(yè)的平均釣魚郵件中招率從20.81％降至3.71％，從另一個角度看，釣魚郵件中招減少率也高達(dá)82.17％。2021年|企業(yè)郵件釣魚演練分析報告2橫向分析各行業(yè)安全意識在釣魚郵件演練完成后很多公司都會問這樣的一個問題：“我們公司的網(wǎng)絡(luò)釣魚中招率相比其他同行業(yè)企業(yè)處于怎么樣一個水平？”為了在本報告中提供行業(yè)，148家企業(yè)，164萬測試用戶，超過342萬封釣魚郵件，我們通過將這些數(shù)據(jù)進(jìn)行三個時間節(jié)點上的橫向PFR對比，幫助企業(yè)了解自身在同行業(yè)中的安全意識水平和風(fēng)險定位。本報告中包含了十四個行業(yè)1，包括制造業(yè)；電力、燃?xì)饧八a(chǎn)和供應(yīng)業(yè)；建筑業(yè)；交通運(yùn)輸、倉儲和郵政業(yè)；信息傳輸、計算機(jī)服務(wù)和軟件業(yè)；批發(fā)和零售業(yè)；醫(yī)療業(yè)；銀行業(yè)；證券業(yè)；保險業(yè)；其他金融業(yè)；房地產(chǎn)業(yè)；科學(xué)研究技術(shù)服務(wù)和地質(zhì)勘查業(yè)；水利、環(huán)境和公共設(shè)施管理業(yè)。報告中的所有企業(yè)都按照上述行業(yè)進(jìn)行了分類，統(tǒng)計了每次釣魚演練中員工點擊鏈接，掃描二維碼和下載郵件中附件的百分率作為企業(yè)網(wǎng)絡(luò)釣魚中招率(PFR)。我們的統(tǒng)計結(jié)果顯示，164萬企業(yè)用戶都完成了釣魚郵件基準(zhǔn)測試，我們把這次測試作為橫向?qū)Ρ萈FR的第一個時間節(jié)點。今年有77％的企業(yè)會在基準(zhǔn)測試后的3到6個月的時間內(nèi)做了第二次釣魚郵件測試(比去年高10％)，我們把它作為第二次橫向?qū)Ρ萈FR的時間節(jié)點，我們把時隔一年左右的釣魚測試作為最后一次橫向?qū)Ρ萈FR的時間節(jié)點?？v向分析培訓(xùn)影響為了方便企業(yè)了解安全意識培訓(xùn)的效果，我們同樣沿用了上面提到的三個重要時間節(jié)點進(jìn)行縱向的PFR數(shù)據(jù)分析：u第一階段：企業(yè)尚未對員工進(jìn)行針對性的安全培訓(xùn)，并且第一次做釣魚郵件演練，我們監(jiān)測各行業(yè)員工在釣魚基準(zhǔn)測試中的表現(xiàn)，并用PFR量化呈現(xiàn)數(shù)據(jù)。u第二階段：經(jīng)過幾個月的安全意識培訓(xùn)后，我們再次對企業(yè)員工在釣魚郵件測試中的表現(xiàn)進(jìn)行監(jiān)測，觀察比較基準(zhǔn)測試和網(wǎng)絡(luò)安全意識培訓(xùn)后的演練在PFR數(shù)據(jù)上的變化。驗證各行業(yè)在安全意識培訓(xùn)和模擬釣魚演練的投入是否得到對應(yīng)的回報。u第三階段：經(jīng)過持續(xù)的安全意識培訓(xùn)和模擬網(wǎng)絡(luò)釣魚演練，我們選取一年后的時間節(jié)點進(jìn)行釣魚郵件測試，檢驗員工安全意識和技能經(jīng)過一年時間提升對PFR產(chǎn)生的巨大影響。參考中華人民共和國國家標(biāo)準(zhǔn)國民經(jīng)濟(jì)行業(yè)分類GB/T4754—20172021年|企業(yè)郵件釣魚演練分析報告32021年|企業(yè)郵件釣魚演練分析報告4誰在安全的“風(fēng)口浪尖”164萬企業(yè)用戶的測試結(jié)果為那些不愿在全員安全意識培訓(xùn)和模擬釣魚郵件演練上有所投入的企業(yè)敲響了警鐘，我們收集的PFR數(shù)據(jù)表明僅有少數(shù)行業(yè)的員工在識別網(wǎng)絡(luò)釣魚郵件方面做得很好。絕大多數(shù)情況下企業(yè)員工未經(jīng)過安全意識測試或培訓(xùn)，很容易陷入釣魚郵件預(yù)先設(shè)下的陷阱，使企業(yè)面臨信息泄露的風(fēng)險。我們的統(tǒng)計結(jié)果表明所有14個行業(yè)的釣魚基準(zhǔn)測試PFR平均值是20.81％，相較于于去年降低了3％，有一定的改善，但整體基本仍處于較高風(fēng)險的水平。不同行業(yè)的釣魚郵件中招率各不相同，總結(jié)情況如下：?在企業(yè)分類中制造業(yè)的釣魚基準(zhǔn)測試中招率為27.84％位列中招率第一。2021年新冠疫情的持續(xù)影響給制造行業(yè)帶來了沖擊，催化了不少制造企業(yè)信息化、數(shù)字化的進(jìn)一步轉(zhuǎn)型升級，員工相比于過去增加了更多使用IT設(shè)備工作的時間，這導(dǎo)致了釣魚郵件和社會工程有了更多可乘之機(jī)。?在企業(yè)分類中釣魚中招率排名第二的是醫(yī)療業(yè)，高達(dá)25.28％，最近幾年針對醫(yī)療行業(yè)的釣魚郵件攻擊、勒索軟件事件時有發(fā)生，需要該行業(yè)同仁加以重視。釣魚郵件基準(zhǔn)測試中招率排名第三的是信息傳輸、計算機(jī)服務(wù)和軟件業(yè)，值得注意的是該行業(yè)去年排名第一，今年有了較大的提升，中招率下降到23.48％。?今年在基準(zhǔn)測試中PFR排名最低的是建筑業(yè)，中招率僅為6.33％。但無論數(shù)值如何，PFR都反應(yīng)了企業(yè)在真實釣魚攻擊中可能的中招率，都值得企業(yè)引起足夠的重視，因為黑客只需要成功一次就足以突破企業(yè)的防線，造成嚴(yán)重?fù)p失。企業(yè)分類風(fēng)險TOP3制造業(yè)制造業(yè)計算機(jī)服務(wù)和軟件業(yè)2021年|企業(yè)郵件釣魚演練分析報告52021年|企業(yè)郵件釣魚演練分析報告6各行業(yè)基準(zhǔn)測試平均釣魚中招率各行業(yè)基準(zhǔn)測試平均釣魚中招率20.81％第一階段：釣魚郵件基準(zhǔn)測試是在企業(yè)員工沒有進(jìn)行過針對的安全意識培訓(xùn)和模擬釣魚郵件演練的前提條件下進(jìn)行的，PFR數(shù)據(jù)客觀反應(yīng)了企業(yè)員工最初的安全意識和技能水平，真實表明了企業(yè)可能存在的數(shù)據(jù)泄露風(fēng)險。統(tǒng)計結(jié)果表明所有行業(yè)的釣魚基準(zhǔn)測試PFR平均值是20.81％。這意味著將近1/5員工面對釣魚郵件可能會做出點擊釣魚鏈接、掃描二維碼和下載附件的危險行為。在第一次的釣魚基準(zhǔn)測試中，多數(shù)行業(yè)中招率在20％左右，其中制造業(yè)為6.33％。從數(shù)據(jù)中我們不難得出以下結(jié)論：企業(yè)員工在沒有進(jìn)行過針對的安全意識培訓(xùn)和模擬釣魚郵件演練的情況下，每個企業(yè)無論所處什么行業(yè)，無論在安全技術(shù)和產(chǎn)品上的投入如何，都容易成為網(wǎng)絡(luò)釣魚和社會工程的攻擊對象。行行業(yè)制造業(yè)R27.84％能源業(yè)1能源業(yè)66.33％建筑業(yè)輸、輸、倉儲和郵政業(yè)信信息傳輸、計算機(jī)服務(wù)和軟件業(yè)23.48％批發(fā)和零售業(yè)18.31％批發(fā)和零售業(yè)225.28％醫(yī)療業(yè)銀行業(yè)21.41％銀行業(yè)19.19.87％證券業(yè)保險業(yè)2保險業(yè)金金融業(yè)(其他)21.47％房地產(chǎn)業(yè)1房地產(chǎn)業(yè)科學(xué)研究、技術(shù)服務(wù)和科學(xué)研究、技術(shù)服務(wù)和地質(zhì)勘查業(yè)15.41％水利、環(huán)境和公共設(shè)施管理業(yè)7.22％2021年|企業(yè)郵件釣魚演練分析報告7行業(yè)制造業(yè)R12.78%8.50%能源業(yè)建筑業(yè)7.25%11.21%輸、行業(yè)制造業(yè)R12.78%8.50%能源業(yè)建筑業(yè)7.25%11.21%輸、倉儲和郵政業(yè)信息傳輸、計算機(jī)服務(wù)和軟件業(yè)10.34%13.93%批發(fā)和零售業(yè)醫(yī)療業(yè)13.15%銀行業(yè)8.85%9.76%證券業(yè)9.07%保險業(yè)金融業(yè)(其他)7.72%17.01%房地產(chǎn)業(yè)科學(xué)研究、技術(shù)服務(wù)和地質(zhì)勘查業(yè)5.52%水利、環(huán)境和公共設(shè)施管理業(yè)4.38%第二階段：我們的數(shù)據(jù)表明2021年有77％的企業(yè)用戶會在基準(zhǔn)測試后的3到6個月內(nèi)做第二次釣魚郵件測試，對比去年的67％有了明顯增加。在這段時間內(nèi)多數(shù)企業(yè)會通過我們的平臺或者企業(yè)內(nèi)部對員工進(jìn)行安全意識培訓(xùn)，這些企業(yè)的釣魚郵件中招率相比第一次的基準(zhǔn)測試降低了將近一半。但如果仔細(xì)觀察表2我們同樣發(fā)現(xiàn)少數(shù)行業(yè)的PFR并沒有明顯下降的趨勢，甚至有個別行業(yè)的PFR還略微上漲了一些，究其原因，可能在于釣魚郵件的仿真度和釣魚模板對員工的吸引力過高，導(dǎo)致第二次釣魚測試的PFR出現(xiàn)了不降反升的情況。盡管如此，所有行業(yè)第二次釣魚測試總體的PFR平均值還是從20.81％大幅下降到11.16％，證明在企業(yè)內(nèi)部開展有效安全意識培訓(xùn)可以加強(qiáng)企業(yè)整體的安全狀況，有效降低釣魚郵件帶來的信息泄露風(fēng)險。各行業(yè)基準(zhǔn)測試平均釣魚中招率第二階段11.16％2021年|企業(yè)郵件釣魚演練分析報告8各行業(yè)基準(zhǔn)測試平均釣魚中招率第三階段各行業(yè)基準(zhǔn)測試平均釣魚中招率第三階段3.71％第三階段：在2021年我們發(fā)現(xiàn)，能夠持續(xù)堅持進(jìn)行釣魚郵件演練的的企業(yè)相比2020年多。誠然，合規(guī)需求是目前釣魚演練的核心驅(qū)動，但同時我們也從數(shù)據(jù)上看到了越來越多的企業(yè)出于保護(hù)自身信息資產(chǎn)，在安全意識教育上有更多的投入。在12個月中堅持進(jìn)行安全意識培訓(xùn)和模擬釣魚郵件演練的企業(yè)，從表3上看，效果是顯而易見的，持續(xù)有計劃的安全意識培訓(xùn)使各行業(yè)的平均釣魚郵件中招率從20.81％降至3.71％。各行業(yè)的中招率都基本下降到了原來的1/5左右。其中，基準(zhǔn)測試中釣魚中招率排名第一的制造業(yè)從27.84％降到了2.77％，醫(yī)療行業(yè)的中招率也從25.28％降到了4.38%左右，這些有目共睹的數(shù)據(jù)都說明了在企業(yè)內(nèi)開展安全意識培訓(xùn)和釣魚郵件演練帶來的顯著收益。行行業(yè)制造業(yè)R2.77%能源業(yè)1.8能源業(yè)1.51.53%建筑業(yè)2.05%輸、2.05%信息信息傳輸、計算機(jī)服務(wù)和軟件業(yè)4.52%批發(fā)和零售業(yè)3.33%批發(fā)和零售業(yè)44.38%醫(yī)療業(yè)2.2.45%3.30%3.30%證券業(yè)保險業(yè)保險業(yè)金金融業(yè)(其他)4.05%房地產(chǎn)業(yè)4房地產(chǎn)業(yè)科學(xué)研究、技術(shù)服務(wù)和地質(zhì)科學(xué)研究、技術(shù)服務(wù)和地質(zhì)勘查業(yè)3.22%水利、環(huán)境和公共設(shè)施管理業(yè)1.79%2021年|企業(yè)郵件釣魚演練分析報告9基基準(zhǔn)測試平均20.81%3個月后平均11.16%12個月后平均3.71%月份(數(shù)據(jù)基于100萬用戶)2021年|企業(yè)郵件釣魚演練分析報告10魚郵件中招魚郵件中招行業(yè)釣魚郵件中招減少率經(jīng)過一年持續(xù)的安全意識培訓(xùn)和模擬釣魚郵件演練，所有行業(yè)企業(yè)員工的安全意識和技能都有明顯的提升。其中，制造業(yè)取得了最高的釣魚郵件中招減少率為90.05％。交通運(yùn)輸、倉儲和郵政業(yè)的減少率為88.71%，銀行業(yè)也達(dá)到88.56%?？v觀所有行業(yè)，從釣魚基準(zhǔn)測試到經(jīng)過一年左右的安全意識培訓(xùn)及定時的模擬網(wǎng)絡(luò)釣魚郵件測試，PFR平均改善率高達(dá)到82.17％。這一結(jié)果驗證了我們的觀點——安全意識培訓(xùn)和模擬釣魚郵件演練是根本上降低企業(yè)安全風(fēng)險的最優(yōu)方案。行行業(yè)制造業(yè)R90.05%85.95%能85.95%75.83%75.83%建筑業(yè)輸、輸、倉儲和郵政業(yè)信息傳信息傳輸、計算機(jī)服務(wù)和軟件業(yè)80.75%批發(fā)和零售業(yè)81.81%批發(fā)和零售業(yè)882.67%醫(yī)療業(yè)銀行業(yè)88.56%銀行業(yè)證券業(yè)證券業(yè)83.39%保險業(yè)8保險業(yè)金金融業(yè)(其他)81.14%房地產(chǎn)業(yè)房地產(chǎn)業(yè)科學(xué)研究、技術(shù)服務(wù)和地質(zhì)科學(xué)研究、技術(shù)服務(wù)和地質(zhì)勘查業(yè)79.10%水利、環(huán)境和公共設(shè)施管理業(yè)75.21%2021年企業(yè)釣魚演練次數(shù)2021年我們統(tǒng)計了各行業(yè)企業(yè)一年內(nèi)釣魚演練的次數(shù)。其中，有148家企業(yè)的員工在今年進(jìn)行了基準(zhǔn)測試。有114家企業(yè)會在基準(zhǔn)測試后的3到6個月內(nèi)做第二次釣魚演練測試，約占77%，相比去年提升10%左右。一年內(nèi)有過三次或者三次以上釣魚演練的企業(yè)有42家。從結(jié)果上看，隨著近幾年國家對網(wǎng)絡(luò)安全宣貫的不斷加強(qiáng)和相關(guān)活動的增多，企業(yè)在安全意識的重視程度和投入比之前都有所增加。2021年|企業(yè)郵件釣魚演練分析報告11模板主題中招率和使用率對比在易念科技的釣魚演練中，我們?yōu)榭蛻籼峁┝似ヅ湔鎸崍鼍暗母黝愔黝}模板，我們通常把主題分為4大類：OA升級類；員工福利類；第三方通知類和熱點場景類。通過比較不同主題模板的釣魚郵件使用率和中招率，數(shù)據(jù)表明，“員工福利類”和“OA升級類”主題在基準(zhǔn)測試中獲得了較高的釣魚郵件中招率分別為27.70％和21.10％，“OA升級類”和“員工福利類”使用率也分別高達(dá)37.10％和31.20％。除了這兩個主題以外，熱點場景類的主題模板因為國內(nèi)疫情的原因，PFR為16.90％排名第三，使用率在21.48％左右。排名最后的是第三方通知類的模板中招率為7.12％，使用率為10.21％?；鶞?zhǔn)測試中，如果員工在辦公室收到以公司名義發(fā)送的OA升級或者員工福利相關(guān)的電子郵件，點擊查看的概率很高。相反，因為國內(nèi)以第三方名義發(fā)送的營銷廣告和釣魚郵件泛濫，員工看到以第三方名義發(fā)送的郵件甚至連打開郵件的想法都沒有，導(dǎo)致第三方通知類模板的中招率并不理想。再看熱點場景類的模板，今年以疫苗預(yù)約接種和疫苗接種情況調(diào)查為主題的模板比較常見，但同樣的模板放到免費接種結(jié)束后效果就不是很理想，這表明這類模板有極強(qiáng)的時效性，需要不斷根據(jù)現(xiàn)實場景更改內(nèi)容來保證演練效果。OA升級類類熱點場景OA升級類類熱點場景類第三方通知類40.00%0.00%5.00%10.00%15.00%20.00%25.00%30.00%35.00%2021年|企業(yè)郵件釣魚演練分析報告122021年|企業(yè)郵件釣魚演練分析報告13模板類型中招率和使用率對比易念科技的釣魚系統(tǒng)通常把釣魚形式分為3大類：超鏈接釣魚、惡意附件釣魚和二維碼釣魚。在基準(zhǔn)測試中中招率和使用率對比如下圖，其中超鏈接釣魚的使用率最高為58.80％，中招率為21.10％；二維碼釣魚的中招率最高為26.70％，使用率最低為12.10％。惡意附件釣魚的中招率相對較低為17.80%，使用率為29.10％。二維碼釣魚中招率比較高的主要原因：其一是國內(nèi)二維碼普及和接受率遠(yuǎn)超世界其他地區(qū)；其二是二維碼釣魚可以有效的規(guī)避鼠標(biāo)懸停對郵件中鏈接的檢查，增加識別釣魚郵件的困難度。雖然此類釣魚郵件的中招率很高，但通常企業(yè)對于這種釣魚形式的接受程度卻不是很高，他們潛意識中更傾向于使用傳統(tǒng)點擊超鏈接的釣魚方式去做演練測試。惡意附件惡意附件超鏈接%0.00%10.00%20.00%30.00%40.00%50.00%60.00%使用率中招率TOP10大釣魚郵件主題在2021年，我們通過釣魚演練測試平臺監(jiān)測了數(shù)以百萬計的釣魚郵件主題數(shù)據(jù)，同時我們還通過Coremail的CAC反垃圾日志，監(jiān)測從2021年1月1日至12月31日識別出的釣魚郵件，統(tǒng)計出了10大釣魚常用演練模板主題和10大真實釣魚郵件主題，結(jié)果如下;10大釣魚常用演練模板主題(排名不分先后)2021年|企業(yè)郵件釣魚演練分析報告142021年|企業(yè)郵件釣魚演練分析報告15以下來自于10大真實釣魚郵件主題的部分截圖2021年|企業(yè)郵件釣魚演練分析報告162021年|企業(yè)郵件釣魚演練分析報告17排名前十的行業(yè)收到的釣魚郵件數(shù)量(Coremail)根據(jù)Coremail與奇安信行業(yè)安全研究中心的聯(lián)合監(jiān)測評估，2020年，全國企業(yè)郵箱用戶共收到各類釣魚郵件約460.9億封，相比2019年收到各類釣魚郵件的344.3億封增長了33.9%。其數(shù)據(jù)指出國內(nèi)釣魚郵件受害者所在行業(yè)比較集中，排名前十的行業(yè)收到的釣魚郵件數(shù)量，占釣魚郵件總數(shù)的70.6%。其中，工業(yè)制造行業(yè)排名第一，約占釣魚郵件總數(shù)的27.7%；交通運(yùn)輸排名第二，約占11.6%；排名第三的行業(yè)為IT信息技術(shù)，占6.4%。具體TOP10行業(yè)排名如下所示。行業(yè)工業(yè)制造百分比27.73%交通運(yùn)輸11.56%IT信息6.37%互聯(lián)網(wǎng)5.82%金融5.15%教育培訓(xùn)4.76%批發(fā)零售3.29%能源2.15%事業(yè)單位2.11%工程建設(shè)1.64%其他29.42%手機(jī)端16.94％電腦端83.06％行業(yè)制造業(yè)4.57％95.43％能源業(yè)20.59％79.41％手機(jī)端16.94％電腦端83.06％行業(yè)制造業(yè)4.57％95.43％能源業(yè)20.59％79.41％建筑業(yè)交通運(yùn)輸、倉儲和郵政業(yè)19.06％80.94％信息傳輸、計算機(jī)服務(wù)和軟件業(yè)16.71％83.29％5.23％94.77％批發(fā)和零售業(yè)18.41％81.59％醫(yī)療業(yè)11.42％88.58％銀行業(yè)20.19％79.81％證券業(yè)9.32％90.68％保險業(yè)34.73％65.27％金融業(yè)(其他)24.08％75.92％房地產(chǎn)業(yè)科學(xué)研究、技術(shù)服務(wù)和地質(zhì)勘查業(yè)6.59％93.41％水利、環(huán)境和公共設(shè)施管理業(yè)49.77％50.23％這里主要對比釣魚郵件演練中手機(jī)平臺和電腦平臺使用率。隨著移動端硬件配置的不斷增強(qiáng)，以及4G、5G網(wǎng)絡(luò)的升級優(yōu)化和流量資費普遍降低，移動互聯(lián)進(jìn)入了井噴期，白領(lǐng)們開始習(xí)慣于通過移動端來處理工作。國內(nèi)有數(shù)據(jù)顯示，已有68％的用戶會每天通過手機(jī)查看郵件。但從我們收集的測試數(shù)據(jù)來看，手機(jī)端平均占比僅有19.06％，電腦端平均占比80.94％，說明除了少數(shù)行業(yè)，在辦公室工作的員工絕大多數(shù)還是傾向于用電腦作為郵件閱讀的主要平臺。從細(xì)分行業(yè)來看，水利、環(huán)境和公共設(shè)施管理業(yè)使用手機(jī)端查看郵件占比最高達(dá)49.77％，能源業(yè)則是使用電腦查看郵件最高的行業(yè)，占比高達(dá)95.43％。用率手機(jī)端電腦端2021年|企業(yè)郵件釣魚演練分析報告18釣魚演練時間選擇一天中在什么時間段做釣魚測試中招率會比較高？我們收集的數(shù)據(jù)指出，在工作日，除了發(fā)送完釣魚郵件后的1到2小時內(nèi)必然會有一個最高的中招峰值，通常員工登錄郵箱主要有10點和14點為波峰的兩個高峰期，邏輯上推測為上班不久和午休結(jié)束。所以，選擇上班之后的1-2個小時，比如公司8點上班，測試時間可以定在9點-10點，或者午休結(jié)束后的1-2小時，比如13點吃完午飯午休結(jié)束，測試時間可以定在14點-15點做釣魚演練可能會得到比較令人滿意的數(shù)據(jù)結(jié)果。發(fā)送時點2021年|企業(yè)郵件釣魚演練分析報告19②開展新穎的培訓(xùn)傳統(tǒng)意識教育方式內(nèi)容枯燥、難②開展新穎的培訓(xùn)傳統(tǒng)意識教育方式內(nèi)容枯燥、難以吸引員工注意力。企業(yè)可以通過交互式培訓(xùn)來教育員工識別與防范釣魚郵件，也可以通過競賽答題、視頻教學(xué)、互動體驗等多種方式開展安全意識教育工作。針對釣魚郵件的特征，結(jié)合本單位關(guān)注主要風(fēng)險，構(gòu)建教育素材內(nèi)容。吸引和提高員工對安全意識教育的積極性。③堅持釣魚郵件演練堅持每三個月做至少一次模擬釣魚演練，避免長時間后員工放低警惕性。演練同時可以加強(qiáng)和檢驗企業(yè)員工的安全意識教育培訓(xùn)成果。釣魚測試和培訓(xùn)的最終目的是改變企業(yè)內(nèi)部員工的行為，從量變到質(zhì)變需要一個長期的時間積累和鞏固。①釣魚基準(zhǔn)測試釣魚郵件基準(zhǔn)測試是在企業(yè)員工沒有進(jìn)行過安全意識培訓(xùn)和模擬釣魚郵件演練的前提條件PFR觀反映了企業(yè)員工最初的安全意識和防范水平，真實表明了企業(yè)可能存在的數(shù)據(jù)泄露風(fēng)險，也是衡量未來安全意識教育是否成功的必要參照，其重要性不言而喻。企業(yè)在規(guī)劃第一次基準(zhǔn)測測試時需要全局考慮，結(jié)合自身業(yè)務(wù)場景定制方案，客觀地評估企業(yè)的安全風(fēng)險，為后面的培訓(xùn)工作打好基礎(chǔ)。釣魚郵件演練入門易念科技已經(jīng)幫助中國上百家分布在金融、能源、交通、建筑、制造等行業(yè)的企業(yè)，通過安全意識培訓(xùn)和模擬釣魚郵件演練筑起了一道道堅實的企業(yè)“人腦防火墻“。從數(shù)據(jù)上不難看出，企業(yè)可以通過測試和培訓(xùn)從根本上減少人為的漏洞，并最終改變企業(yè)員工的行為。但很多企業(yè)都有這樣的疑問：“我們對構(gòu)筑企業(yè)‘人腦防火墻’很有興趣，但我們應(yīng)該從何做起呢？”④④評估結(jié)果，讓演練本身與員工有關(guān)及時評估員工經(jīng)過培訓(xùn)后的釣魚演練結(jié)果，讓演練本身與員工有關(guān)。人們通常只關(guān)心對他們有意義的事情，確保企業(yè)的模擬攻擊與員工日常活動相關(guān)。關(guān)注員工的行為改變。安全培訓(xùn)不是僅僅告訴員工希望他們知道什么。而是要給他們必要的關(guān)鍵信息，還要集中精力調(diào)整他們的安全反應(yīng)，這樣員工才能成為企業(yè)有效的最后一道防線。2021年|企業(yè)郵件釣魚演練分析報告202021年|企業(yè)郵件釣魚演練分析報告21選擇釣魚測試模板導(dǎo)出數(shù)據(jù)和報告選擇釣魚測試模板導(dǎo)出數(shù)據(jù)和報告魚演練基本流程圖鑒于很多新用戶并不了解釣魚演練的基本流程，故此簡單介紹演練的基本流程，如下：企業(yè)實施中常見的誤區(qū)誤區(qū)一：過分注重員工的情緒及感受模擬釣魚演練必須站在攻擊者的角度用真實的攻擊和方法去評估員工的安全意識和技能水平。否則，企業(yè)的“培訓(xùn)”只會給組織一種虛假的安全感。同理，現(xiàn)實中的黑客不存在對企業(yè)員工的憐憫和同情。誠然，在演練中權(quán)衡員工的情緒是極其重要的，不然釣魚演練的效果只會適得其反。但是又不能過分注重員工的情緒及感受而影響到演練的仿真效果，企業(yè)相關(guān)負(fù)責(zé)人需要找到其中的平衡點。誤區(qū)二：培訓(xùn)和演練完全是信息安全部門的事。演練應(yīng)該團(tuán)結(jié)能夠團(tuán)結(jié)的一切力量。讓其他團(tuán)隊的人員和主管，包括人力資源、IT甚至市場營銷一起參與其中。創(chuàng)造一種積極地、全公司范圍的安全文化。畢竟安全并不是信息安全部門一個部門的責(zé)任。誤區(qū)三：信息安全意識教育培訓(xùn)一次就夠了在我們所服務(wù)過的客戶中，有很多企業(yè)和組織的領(lǐng)導(dǎo)者或者人力資源部門認(rèn)為，提高全員信息安全意識只是為了滿足合規(guī)要求，而且搞一次就夠了，實際上信息安全意識教育遠(yuǎn)不止搞一次培訓(xùn)或演練這么簡單。正是基于這種思想，即便搞了培訓(xùn)效果也不好，這樣就陷入了一個惡性循環(huán)的怪圈之中。誤區(qū)四：高層領(lǐng)導(dǎo)是例外我們服務(wù)過的企業(yè)和組織在釣魚演練實施的過程中，很多會除去企業(yè)的管理者，這種情況無可厚非。但是我們從沒有在演練中除去管理人員的企業(yè)那得到的數(shù)據(jù)顯示，管理角色在釣魚演練中的中招率并不低，加上管理者通常手上擁有企業(yè)極其重要的信息資源，