根据安全厂商Egress的最新发布的《2024年电子邮件安全风险报告》，2023年电子邮件安全仍然是企业网络安全人士最关心的问题，因为超过九成(94%)的网络安全决策者遭遇过网络钓鱼攻击，这一数字比上一年增长了2%，2023年电子邮件安全的重要统计数据如下：

• 94%的企业发生过邮件安全事件，91%的企业发生过数据泄漏事件
• 79%的账户接管攻击始于网络钓鱼
• 95%的网络安全领导者对邮件安全感到心力交瘁(由于传统方法失效以及AI新威胁的迫近)
• 91%的网络安全领导者对邮件安全网关产品感到极度失望
• 90%的网络安全领导者对邮件DLP产品的局限性表示关切
• 91%的网络安全领导者质疑传统安全意识培训方法的有效性

调查显示，2023年使用最多的三种网络钓鱼技术分别是：

• 恶意URL
• 恶意软件或勒索软件附件
• 从供应链受感染邮件帐户发送恶意邮件

该报告还显示，大多数网络安全领导者意识到网络钓鱼是企业面临的一个严重问题。其中高达95%的受访者表示，他们对电子邮件安全感到压力。

其中，受感染供应链邮件账户对企业威胁最大，半数网络钓鱼攻击都是通过供应链或企业内部受感染邮件帐户发起，企业安全主管最担心的五种网络钓鱼邮件如下(受访人数占比)：

此外，网络钓鱼攻击者变得更加高效，高达96%企业因网络钓鱼攻击蒙受损失，2022年这一比例为86%。

值得注意的是，网络钓鱼也是账户接管攻击的主要手段之一，2023年58%的企业发生账户被盗，其中79%来自通过网络钓鱼获取的凭据。

Egress威胁情报副总裁Jack Chapman评论道：“在高级网络钓鱼攻击、人为错误和数据泄露方面，企业的邮件安全漏洞仍然存在，分析新兴威胁趋势将是加强防御的关键。”

人工智能驱动的电子邮件威胁迫在眉睫

企业安全主管们还密切关注大型语言模型(LLM)和深度伪造等新型人工智能工具在网络钓鱼攻击中的使用情况，63%的受访者表示，他们被深度伪造“困扰”，61%的受访者表示，他们被人工智能聊天机器人“困扰”。

九成用户对邮件安全产品不满意

受访的大多数网络安全领导者质疑传统邮件安全解决方案(例如邮件安全网关和DLP)的防御能力。例如，在使用安全电子邮件网关(SEG)产品的企业中，近91%的受访者对该产品表示失望，87%的人正在考虑或者已经更换安全电子邮件网关产品(下图)：

此外，94%的受访者使用静态邮件DLP规则，51%依赖日志审计来检测入侵。在使用静态邮件DLP规则的用户中，100%的受访者都表达了不满，最常见的抱怨是：需要修改规则适应员工，管理开销也很大。74%的安全领导者还考虑关闭Outlook的自动地址完成功能，以减少发错收件人的问题。

员工为错误付出代价

邮件安全的这种挫败感有时会传递给员工，网络安全领导者经常对员工采取强硬立场。

研究发现，在遭受网络钓鱼攻击的员工中：

• 51%受到纪律处分
• 39%被解雇
• 27%自愿离职

除了人员损失外，网络钓鱼攻击给企业带来的其他损失还包括：经济损失、品牌和声誉损失、合规处罚等。

安全意识培训亟待变革

报告揭示了一个貌似矛盾的事实：大多数企业未能向员工提供有效的安全意识培训，但同时这些企业又质疑安全意识培训的效果——91%的网络安全领导者对传统安全意识培训的有效性表示怀疑，造成这种现象的主要原因除了企业对安全意识培训缺乏足够重视外，还包括安全意识培训服务自身的问题，例如：

大多数受访者表示，安全意识培训并不是针对员工(所在部门和岗位)量身定制的，只有19%的企业根据员工所在部门或团队提供有针对性的安全意识培训。

此外，安全意识培训经常被视为一项无足轻重的练习，88%的情况下仅是出于合规目的。

Egress警告说：“企业对待安全意识的态度不应该是‘如果它没有坏，就不要修理它’。企业迫切需要改变对安全意识的看法，否则2024年可能会陷入更大困境。”

*Egress报告的调查数据来自全球500名网络安全领导者，包括来自美国、英国和澳大利亚的CISO和CIO，他们在金融服务、法律、医疗以及政府或慈善部门工作。