2025年,全球企业遭遇网络攻击的频率持续上升。根据Arctic Wolf公司最新发布的《2025员工网络风险行为报告》(Human Risk Report 2025),68%的IT管理者确认其所在机构在过去12个月内至少经历了一次安全事件,较前一年增长8个百分点。值得注意的是,遭遇5次以上事件的组织比例也在增加。
在这些事件中,人为因素始终是关键突破口。行业普遍认为,约六成的安全事件与人员操作直接相关。而在这类“人因风险”中,网络钓鱼——这一看似传统却不断进化的攻击手段,依然是最有效的入口之一。
一、从“广撒网”到“精准狙击”
如今的钓鱼攻击早已不是早年那些拼写错误百出、内容荒诞的垃圾邮件。攻击者正在利用社会工程学、公开情报乃至生成式AI,对目标进行高度定制化的“围猎”。
报告特别提到黑客组织“Scattered Spider”的案例。该团伙通过简单的短信钓鱼(Smishing)或凭证窃取,成功入侵了包括MGM Resorts、英国高端百货Harrods等多家大型企业。他们的初始入口往往只是一个普通员工点击的链接,或是一次成功的SIM卡劫持。一旦获得立足点,攻击者便能迅速横向移动,最终控制核心系统。
高价值目标尤其受到关注。数据显示,39%的C-suite高管或高级管理者在过去一年中成为钓鱼攻击的明确对象,另有35%遭遇过诱导下载恶意软件的尝试。这些人群通常拥有更高的系统权限和更敏感的数据访问权,一旦失守,后果远超普通员工账户泄露。
商业邮件欺诈(BEC)是此类攻击的典型产物。报告指出,钓鱼邮件和此前泄露的账号凭证是导致BEC事件的两大主要原因。
二、防御者的“认知盲区”
令人意外的是,在攻击愈演愈烈的同时,许多组织的防御心态却出现了明显偏差。
报告显示,65%的IT领导者承认自己曾无意中点击过可疑链接——这意味着他们清楚钓鱼邮件的威胁。但与此同时,76%的人却坚信“自己的组织不会中招”。这种矛盾反映出一种危险的过度自信:明知风险存在,却认为自己能够幸免。
这种心态在某些地区尤为突出。例如,在澳大利亚和新西兰,过去一年安全事件数量激增39%,但当地IT管理者的反钓鱼信心却高达84%。现实与判断之间的巨大落差,可能使组织在防护投入和应急准备上严重不足。
尽管91%的组织开展了钓鱼模拟演练,近三分之一甚至做到每月一次,但效果并不理想。87%的IT管理者反馈,其员工在模拟中仍会点击钓鱼链接,这一比例比去年更高。更有近半数(49%)的终端用户认为这些演练“只是一般有效”,甚至流于形式。
三、防护措施为何形同虚设?
问题不仅出在意识层面,也体现在具体执行上。
多因素认证(MFA)被公认为防范凭证盗用的有效手段之一,但仅有54%的组织为其所有用户强制启用。38%的机构仅对管理员或高管账户部署MFA,其余账户则暴露在单点失效的风险中。报告引用的一项数据指出,在2024年遭遇重大攻击的企业中,56%未部署MFA。
更值得警惕的是,安全策略本身正在被内部人员主动削弱。超过一半(51%)的IT领导者承认,曾为“提升工作效率”而临时关闭安全功能。这种由管理层带头的违规行为,不仅制造了技术漏洞,也在组织内部传递出“安全可妥协”的错误信号。
终端用户的应对同样令人担忧。试图绕过安全控制的员工比例从去年的12%飙升至32%。当安全措施被视为效率障碍而非保护机制时,再严密的技术防线也难以发挥作用。
四、惩罚文化正在扼杀上报意愿
面对员工“中招”,许多组织的第一反应仍是追责。报告显示,77%的IT管理者表示,会考虑因员工成为钓鱼受害者而将其解雇——这一比例较去年显著上升。
然而,这种做法的实际效果存疑。真正有效的响应,是采取纠正性措施而非惩罚。例如,调整涉事员工的系统权限、加强其后续培训等。在实施此类措施的组织中,88%的管理者认为效果积极。
惩罚导向的文化,反而抑制了员工主动上报可疑邮件的意愿。一旦发现异常却因害怕被处分而选择沉默,安全团队将失去宝贵的早期预警窗口。小隐患因此演变为大事故,最终代价远高于一次培训或权限调整。
五、新技术带来新挑战
生成式AI的普及,正在为钓鱼攻击注入新的变量。攻击者可利用AI快速生成语法正确、语气逼真的钓鱼邮件,甚至模仿特定高管的写作风格。另一方面,员工对AI工具的使用也带来了数据泄露风险。
报告指出,60%的IT管理者和41%的普通员工曾在ChatGPT等公共AI平台中输入公司机密信息。这并非出于恶意,而是缺乏清晰的使用边界和政策指引。当新技术被广泛采纳,配套的安全规范若未能同步建立,便会形成新的风险敞口。
六、回到基本功:安全没有捷径
面对不断演变的钓鱼威胁,许多组织寄希望于更先进的技术方案。但报告反复强调:最有效的防御,往往来自那些被忽视的“基本功”。
MFA必须全覆盖,不应因岗位或便利性而区别对待;
安全策略需与业务流程融合,而非简单叠加,以减少绕行动机;
演练应贴近真实场景,避免模板化、可预测的测试内容;
上报机制必须去惩罚化,鼓励透明沟通而非掩盖错误;
管理层的行为示范至关重要,其对安全的态度直接影响全员文化。
网络钓鱼的本质,是对人性弱点的利用。技术可以过滤邮件、识别链接,但无法替代人的判断。而人的判断力,又依赖于持续的训练、合理的制度和健康的组织文化。
当前的攻防态势表明,攻击者并未停下脚步,而部分防御者却在松懈。这份报告的价值在于提醒我们:在网络安全这场持久战中,最危险的不是未知的漏洞,而是已知却未被认真对待的风险。
本文数据与案例均引自Arctic Wolf《2025员工网络风险行为报告》(2025 Human Risk Report - An analysis of IT leader and end user attitudes in an evolving threat landscape)
作者:芦笛、张鑫 中国互联网络信息中心
