[调研]大型企业每年防网络钓鱼投入上百万美元

最新数据显示，网络钓鱼仍旧是令企业损失惨重的主要威胁，一些拥有坚实IT和安全团队的大企业每年要花费110万美元用于缓解网络钓鱼攻击。

新近发布的一份报告指出，网络钓鱼相关安全活动平均占用了企业IT和安全团队大约三分之一的工作时间。研究人员发现，缓解一封恶意邮件平均耗去企业27分钟，人工费31美元；但如果公司需要60分钟来清除威胁，所耗成本会飙升至85.33美元。

上述数据出自电子邮件安全公司Ironscales委托IT研究与咨询公司Osterman Research执行的调查研究。研究人员在调研报告中写道，成功实施的网络钓鱼可导致账户凭证被盗、商务电邮入侵和数据失窃，这些后果加上直接成本，意味着大约三分之一的企业认为网络钓鱼是对自家业务的“威胁”或“重大威胁”。

研究人员发现，这一情况短期内不太可能改善，因为恶意黑客策划网络钓鱼活动的手法越来越高端，不仅要引诱企业员工上钩，还想让网络钓鱼邮件更难以检测。

而且，尽管疫情期间转向远程办公稍微减轻了一些网络钓鱼防护压力，2021年6月到2022年6月的网络钓鱼活动也减少了，但是来自网络钓鱼的威胁很快就会再次抬头。

研究人员表示，企业现在就应该提高警惕，开始准备应对即将到来的更复杂、危害性更高的攻击，否则未来将会在网络钓鱼事件处理上花费更多。研究人员在报告中写道：“当前花在网络钓鱼缓解上的时间和金钱将会增加，除非企业开始仰赖更好的网络钓鱼防护措施。”

企业负担

Osterman Research在2022年6月调研了252位美国IT和安全专业人员，询问了一系列关于企业如何处理网络钓鱼及其影响的问题。

研究人员试图从企业处理网络钓鱼所花费时间与金钱的角度量化实际业务成本。他们发现，实际上，企业员工数量越多，收到的网络钓鱼邮件越多，投入到网络钓鱼处理上的成本就越高，而且呈指数级增长。

当前安全环境下，网络钓鱼电子邮件数量可能令人震惊，一些大型企业每天都收到成千上万封网络钓鱼电子邮件。研究人员在报告中写道：“很明显，没有哪家企业只需处理一封网络钓鱼邮件。全球每天都有几十亿封网络钓鱼邮件发出，网络钓鱼邮件占据了电子邮件总量的很大一部分。”

耗时费钱

从耗时的角度出发，70%的受访企业表示每封网络钓鱼电子邮件需要花费16~60分钟时间处理，这是从初步发现潜在恶意电子邮件到将此邮件从环境中完全清除所需的时间。

平均而言，大多数企业花费31~45分钟缓解一封网络钓鱼邮件——29%的受访企业都落在此时间框架内。总的说来，处理网络钓鱼相关活动每周平均耗去企业IT和安全团队大约三分之一的工作时间。

研究人员还尝试量化网络钓鱼给企业造成的实际损失，主要考虑的因素包括受访者在所属企业网络钓鱼缓解工作中的角色，以及他们各自的薪水。

数据显示，为处理网络钓鱼，企业每年支付给每位IT和安全专业人员的薪酬和福利平均高达4.5726万美元。

研究人员表示，取决于企业拥有的IT和安全专业人员数量，这一薪资和福利成本差异巨大。比如说，拥有五名IT和安全人员的公司，每年为处理网络钓鱼付出的薪资和福利为22.863万美元；而拥有25名IT和安全人员的企业，每年处理网络钓鱼所需的薪资和福利成本就高得多了——约114万美元。

不断演变的战术

只要关注网络安全态势，就不难理解为什么说恶意黑客的网络钓鱼攻击手法越来越复杂了。目前，大多数企业员工已经接受过识别潜在恶意电子邮件的培训，这刺激网络犯罪分子转向更狡猾、更难以察觉的战术。

说到最为忧心的网络钓鱼攻击战术，半数受访者提到了现今在企业环境中冒头的网络钓鱼邮件的三个特征。

首先，采用自适应的技术，也就是所谓的多态攻击。此类技术可使每封网络钓鱼邮件略有差异，借以降低被检测标记为网络钓鱼电子邮件的概率。这类网络钓鱼邮件“必须一封一封的评估，无法采用特征码或其他已知/经训练的标识来匹配”，因此更难以缓解。

其次，使用被盗账户凭证。攻击者可通过之前的网络钓鱼攻击获取账户凭证，也可从暗网购得被盗账户凭证，从而劫持当前电子邮件会话，发出更多网络钓鱼电子邮件。由于是从企业自己的电子邮件基础设施发出的，“去掉了很多外部邮件可供评估的威胁信号”，这些邮件也更容易绕过检测。

此外，攻击者也会用其他先进的混淆技术，嵌套攻击载荷和链接威胁，令其乍看之下是良性的，或者之后才开始下载。也就是说，网络钓鱼防御措施标记潜在恶意电子邮件的负担会更重。

Microsoft Teams和Slack

至少半数受访者提到的另一个新兴趋势是，网络钓鱼突破电子邮件范畴，蔓延到了通信和协作工具领域。最常见的新型攻击途径包括Microsoft Teams和Slack等消息应用和基于云的文件共享平台。

研究人员表示：“由于网络钓鱼蔓延到了这些新工具上（通常是由账户凭证被盗导致的），IT和安全人员将不得不花费更多时间应对威胁，寻求根除染指了其他服务的恶意黑客。”

综合上述种种，企业如果想解放网络安全员工，让他们能够专注更战略性的举措，就应当在预期的网络钓鱼攻击大潮到来之前预先做好准备。

具体而言，研究人员建议企业寻求功能更完善的解决方案，能够检测和阻止更多网络钓鱼攻击，提供高级多态和嵌套威胁检测，全面保护通信和协作工具而非仅仅保护电子邮件。

---

参考阅读
如何用DMARC防止网络钓鱼？
网络钓鱼依然是勒索软件最顺手的敲门砖
三大威胁趋势：网络钓鱼、社交媒体与暗网
利用NLU优化DLP提高邮件安全
邮件安全网关与集成云邮件安全的区别

原文始发于微信公众号（数世咨询）：[调研]大型企业每年防网络钓鱼投入上百万美元