最近的一项研究 加州大学圣地亚哥加州大学健康 提出有关有效性的问题 强制性网络钓鱼意识培训,一个常见 网络安全培训 美国使用的方法。这项研究在2023年与近20,000名员工进行了八个月的研究,研究了这些计划是否显着降低了员工对员工的易感性 网络钓鱼攻击。
评估网络钓鱼意识培训
该研究使员工接受了10个 模拟的网络钓鱼运动 评估标准年度培训是否提高了识别和避免恶意电子邮件的能力。结果表明,无论员工上次完成培训,网络钓鱼失败率都没有有意义的下降。
芝加哥大学助理教授,研究的合着者格兰特·霍(Grant Ho)表示:“这表明强制性的网络意识培训并未为用户提供有益的安全知识。”
关于员工网络安全行为的关键发现
- 完成培训的员工仅显示较小的进步,平均网络钓鱼失败率仅下降了1.7%。
- 训练后的立即训练结果显示出较高的失败率,表明传统网络安全培训计划的影响有限。
- 与在线模块的互动很低:在材料上花费了不到一分钟的时间,超过四分之三的员工,而37-51%的员工几乎立即关闭了培训页面。
Ho指出,员工经常将培训视为中断,检查电子邮件或浏览网络,以减少保留和关注。
测试不同的网络安全培训方法
研究人员在网络钓鱼模拟后将员工分组分组:
- 一般网络安全提示
- 交互式问答模块
- 有关特定模拟攻击的详细简报
- 这些方法的组合
- 没有后续培训的对照组
互动问答课程 产生最大的可衡量收益,但前提是员工完全参与。互动训练的完成将对网络钓鱼攻击的敏感性降低了19%,突出了交互式方法的潜力。但是,较低的完成率限制了整体效率。
该研究还表明,自愿完成培训的员工可能已经具有使他们不易受到网络钓鱼攻击的特征,从而提出了有关培训与固有行为的问题。
对企业网络安全的影响
网络钓鱼继续构成重大威胁,仅依靠 员工网络钓鱼意识培训 使组织脆弱。研究人员建议采用多层网络安全策略,将培训与自动化工具相结合,以检测并阻止可疑消息到达收件箱。
何总结,
“通常部署的培训并不能自行提供足够的保护。”
