網絡釣魚嘗試通常就像在桶里釣魚一樣——只要有足夠的時間，網絡攻擊者完全有可能釣到受害者。一旦他們認識到一些受害者在網絡安全方面一直比較脆弱，就會繼續以他們為目標，這樣的網絡釣魚就會一直持續下去。

咨詢機構Strategic Security Solutions Consulting公司的首席執行官兼創始人Johanna Baum說：“網絡攻擊者的動機和資金都非常充足，他們的唯一目的就是成功地吸引受害者。然而對于企業來說，其重要的任務是保護所有潛在受害者。”

忽視或錯誤判斷IT安全將會顯著增加網絡攻擊的可能性。但是，即使遵循的是一種全新的協議，為員工提供了安全培訓，反復提醒員工核實可疑的信息，并了解最新的惡意活動，企業在網絡安全防范方面仍然是被動或是脆弱的。

以下是企業的反網絡釣魚策略不起作用的6個原因：

1、網絡釣魚攻擊正變得越來越復雜和具有迷惑性

Protiviti公司負責網絡攻擊和滲透測試的總經理兼全球實踐負責人Krissy Safi表示，網絡犯罪分子正在不斷開發新戰術，誘使人們泄露敏感信息，因此，網絡釣魚攻擊變得越來越復雜。

Safi說，“許多反網絡釣魚解決方案使用靜態規則來檢測網絡釣魚攻擊，網絡攻擊者可以使用更先進的技術輕松繞過這些規則。此外，隨著ChatGPT的引入，邏輯完美并且語法流利的釣魚電子郵件將會激增，從而使識別網絡罪犯發送的釣魚電子郵件變得更加困難。”

ChatGPT和開源版本可供網絡攻擊者使用，成為他們盜取數據的靈丹妙藥——人工智能技術可以實時了解哪些有效，哪些無效，增加了網絡攻擊者找到目標的幾率。

即使沒有使用聊天機器人，網絡攻擊者也越來越熟練——以2022年云計算通信服務商Twilio公司遭遇的網絡攻擊為例。在這種情況下，網絡攻擊者能夠使用公開的數據庫匹配員工姓名和電話號碼。Twilio公司在一份事件報告中說，“社交工程攻擊成功地愚弄了一些員工，讓他們提供了登陸憑證。然后，網絡攻擊者使用被盜的登陸憑證進入我們的一些內部系統，在那里他們能夠訪問和竊取我們的一些客戶數據。”

2、把所有的雞蛋都放在技術的籃子里

許多企業都試圖僅靠技術來解決網絡釣魚問題。Thales集團美洲區的首席信息安全官 Eric Liebowitz表示，這些企業正在購買最新的工具來檢測可疑電子郵件，并為員工提供阻止這些可疑電子郵件的方法。Thales集團是一家總部位于巴黎的開發商，為航空航天、交通、國防和安全行業開發設備和技術。

他說，盡管這樣做很好，但網絡攻擊者總是會變得更老練。

Liebowitz說:“我認為有很多企業沒有重視員工的網絡安全培訓。他們可能擁有最好的工具，但如果沒有對員工進行安全培訓，那么也可能會發生糟糕的事情。”

Avanade公司北美安全主管Justin Haney表示，雖然一些企業已經部署了正確的工具，并有適當的工作流程來打擊網絡釣魚活動，但他們還沒有充分主動地配置這些工具。

他說，“例如，一些工具可能會標記和檢測到惡意電子郵件，但不會自動阻止，企業應該部署特定的策略來應對已經識別出的潛在網絡釣魚活動，而不是由分析師人工地完成工作。”

3、沒有采取全面和深入的防御策略

一些反網絡釣魚策略失敗的企業沒有采取全面和深入的防御策略。Haney說，“他們可能專注于特定的技術，例如電子郵件反釣魚、多因素認證、數據加密、端點/移動安全，而沒有關注其他降低風險的技術，例如檢測泄露的身份。”

Lexmark公司的首席信息技術官Bryan Willett表示，如果不實施全面和深入的防御策略，而僅僅依靠反網絡釣魚程序，那么只需要一次成功的攻擊就能摧毀整個系統。信任基于電子郵件的防御方法或嚴重依賴用戶的安全培訓本身就有缺陷，因為人們容易犯錯誤，而網絡攻擊者只需要利用其中的一個錯誤就能成功進行攻擊。

Willett表示，防御網絡釣魚攻擊的最佳方法是通過分層防御方法。這包括在每個工作站上都有良好的端點檢測和響應(EDR)系統，強大的漏洞管理程序，為每個用戶和管理帳戶啟用多因素身份驗證，以及在LAN/WAN上實現分割以限制受感染系統的傳播。

Willett補充說，“通過采取這些預防措施并實施多層防御，企業可以最好地防止網絡釣魚攻擊。我們必須假設網絡攻擊者會在某一時刻成功攻擊。因此，我們需要考慮到這一假設，采用全面和多層次的防御方法。”

4、未能培訓員工識別網絡釣魚企圖

位于紐約的曼哈頓維爾學院的首席信息官Jim Russel表示，雖然告知員工不要點擊未知發件人電子郵件中的鏈接或打開附件很重要，但企業還必須培訓員工如何識別欺詐電子郵件。

他說，“我們在網絡安全培訓中談到的一件事是可以采用真實的聲音，這是識別欺詐電子郵件的最重要因素之一。然而，人們在電子郵件中進行快速交流是安全漏洞之一。但幸運的是，作為一個學術團體，我們大多數人都是用完整的句子寫作的。他們可能有一個標準的稱呼。例如，‘嗨，勞倫，你好嗎?’就是一種典型的介紹。所以，如果沒有這些識別因素，就會缺乏真實性。”他表示，曼哈頓維爾學院的員工也接受過網絡安全培訓，可以將任何可疑的電子郵件轉發給Russel帶領的團隊，他們將會確定電子郵件的真實性。

戴爾科技公司的首席信息官Cross也認為，成功的反網絡釣魚策略首先需要提高員工的網絡安全意識，讓他們知道如何識別釣魚電子郵件，并了解如何報告。這種方法是從許多企業常用的“不點擊”策略轉變而來的。Cross表示，實現零點擊率是一個不切實際的目標。與其相反，教會員工如何報告可疑電子郵件，可以讓安全團隊快速評估潛在威脅，并減輕其他人受到類似攻擊的影響。他指出，企業可以在電子郵件平臺中嵌入工具，讓員工更容易報告可疑的電子郵件。

然而，全球審計、稅務和咨詢機構Mazars公司網絡安全業務的國家PCI實踐負責人Jacob Ansari表示，這種類型的網絡安全培訓還不夠深入。他說：“大多數反網絡釣魚策略的效果有限，因為它們針對的是眾所周知的冰山一角：用戶行為。”他表示，只有在網絡釣魚計劃與合法的商業活動區分開來的情況下，培訓用戶識別網絡釣魚攻擊才是有效的。但是，當員工被期望從事與網絡釣魚計劃類似的活動時，任何反網絡釣魚的努力都將很快付諸東流。

他說：“例如，一家企業要求用戶點擊第三方發送者發送的鏈接來完成背景調查，或通過在其他地方托管的網頁表單中輸入個人信息來獲得福利，這是一種常規的商業慣例，這會降低反網絡釣魚培訓的價值。”

Ansari表示，除了培訓用戶之外，安全團隊還需要與業務主管合作，重新設計業務流程，盡量減少電子郵件中點擊鏈接的使用，并要求員工與第三方互動需要遵守企業安全通信標準，從而使業務流程不再看起來類似于網絡釣魚。

他說：“企業還需要確保業務的所有部分，例如人力資源、營銷和財務，以負責任的方式與第三方和企業內部溝通，避免出現網絡釣魚的情況。”

5、缺乏執行/激勵措施

Safi表示，即使一家企業制定了強有力的網絡安全培訓計劃和政策，如果違反政策的員工沒有受到懲罰，這些培訓可能也不會起作用。例如，如果一名員工中了釣魚郵件的圈套，卻沒有報告，就應該承擔相應的責任，這樣將促使其他員工在未來的行為更加安全。

Russell表示，在曼哈頓維爾學院，上當受騙的員工必須在10天內學習一定數量的在線網絡培訓課程。如果他們只是點擊一個鏈接，就需要完成一次培訓。然而，如果他們提供了自己的登錄憑證，則必須完成三次。

他補充說：“我還會查看那些中了網絡釣魚圈套的人員名單，并確定那些擁有更高特權的人員(例如副總裁)，然后對他們進行懲罰。我還會跟蹤屢次犯錯和那些沒有接受訓練的人員，他們也會受到懲罰。”

6、過度依賴模擬網絡釣魚測試

凱捷公司的網絡安全服務主管Sushila Nair表示，當前反網絡釣魚策略的另一個致命弱點是，一些企業希望用戶將訓練成100%不會出錯的人員。她說：“人們普遍認為，最終用戶在遭受網絡釣魚攻擊時應該受到指責。然而，企業必須問自己，‘是否真的在審視和衡量自己的價值，也就是必須確保用戶完全不會落入模擬網絡釣魚測試的圈套?’”

如果測試很復雜，那么會有更多的人面臨失敗。她補充說，如果測試相當簡單，那么每個人都能順利通過。對于一些首席信息安全官來說，在董事會會議上展示改進的用戶可靠性指標很具有誘惑力。然而，企業領導者必須接受這樣一個事實：無論如何進行網絡安全方面培訓，仍有一些用戶會點擊網絡釣魚鏈接，在工作壓力加大的時候，這個數字還會增加。

Nair表示，更糟糕的是，許多企業運行模擬網絡釣魚測試，使點擊鏈接正常化。Nair說：“如果你點擊一個鏈接，它可能會讓你進入一個門戶網站，然后提示‘你被愚弄了’。 但強迫用戶在模擬過程中進行訓練會產生相反的效果——他們更有可能點擊鏈接。”Nair補充說，由于在繁忙和緊張的一天中點擊了一個鏈接而不得不接受網絡安全培訓，這會讓大多數用戶厭煩完成網絡安全培訓，并在不集中注意力的情況下盡快完成。

她說：“它不僅會產生這種影響，還會影響用戶對釣魚電子郵件的反應。他們不會點擊奇怪的電子郵件，因為他們認為這是一個測試，但他們也不會報告。”

最重要的是，反網絡釣魚項目經常失敗，因為人們容易犯錯。美國Burr & Forman律師事務所網絡安全和數據隱私團隊聯合主席、律師Elizabeth Shirley表示，盡管經過網絡安全培訓，并盡了最大努力，但人們還是會犯錯。她說：“人們也很情緒化，通常對產生緊迫感或必要性的網絡釣魚郵件具有本能反應。這些情況不會改變。釣魚郵件仍將繼續存在，至少在可預見的未來是這樣。”