【虹科方案】員工才是最大的安全資產： KnowBe4 助力企業規避人為風險- 虹科電子有限公司

Hongke's latest articles

HongKe

【虹科方案】員工才是最大的安全資產：KnowBe4 助力企業規避人為風險

網絡釣魚攻擊正以空前速度演化。KnowBe4 作為全球最大的安全意識培訓平台，長期跟蹤釣魚趨勢，透過 1,450 萬用戶、62,400 家組織和 6,770 萬次模擬釣魚測試 的數據，為企業提供最具權威的釣魚中率（Phish-Prone Percentage，PPP）和風險洞察。

今年的報告顯示，全球平均首測失敗率高達 33.1%，行業劃分顯示：醫療、保險、零售等行業最易受攻擊。同時，AI 生成的釣魚電郵和來自內部帳號的仿冒郵件手法更加隱蔽，令傳統技術防禦面臨更嚴峻挑戰。

對企業而言，員工培育不足、跨境因子增加以及本地化釣魚模擬缺失等問題，進一步增加風險。企業面臨的挑戰不僅是技術問題，更是員工行為和安全文化的議題。掌握關鍵數據和趨勢，是制定培訓策略的第一步。

核心數據洞察

全球整體 PPP 與行業對比

在第一階段，當進行任何 SAT 測試之前，全球企業的網絡釣魚易受害率（PPP）基線為 33.1%，也就是說，每三名員工中就有一名容易受到網絡釣魚電郵和社交工程攻擊。

全球數據 PPP：33.1%，約三分之一員工處於易受害中。

深入研究後，我們發現超過一半的行業（19個行業中的10個）的 PPP 首測平均值均高於這一基線。對於各種規模的組織而言，以下行業風險最高：

行業對比（首測失敗率）::
醫療與保健：41.9%
保險：39.2%
零售與批發：36.5%

數據顯示，高敏感信息行業和面向客戶交互業務作業員工更容易成為攻擊目標，其首測失敗率明顯高於平均水平。只有五個行業的 PPP 低於30%。即便如此，仍有超過四分之一的員工容易遭受網絡釣魚攻擊：交通運輸（29.9%）、商業服務（29.6%）、消費者服務（29.5%）、法律（28.5%）和政府（28.2%）。

企業越大，風險越大

平均而言，擁有 10,000 名以上員工 的企業，其 PPP 高達 40.5%；擁有 1,000–9,999 名員工 的企業 PPP 為 33.7%；而擁有 250–999 名員工 的企業 PPP 為 28.7%；相對地，僅有 1–250 名員工 的企業 PPP 為 24.6%The

這一現象說明：人愈多，郵件數愈多，點擊連結的手指也就愈多。而且，在更多人中提升集體意識也會更加困難。不同產業與組織規模的風險狀況雖有所不同，但綜合而言，最大的風險仍集中於較大型的企業。

網絡釣魚風險可能會下降，並且保持較低水平

好消息是，經過僅僅 90 天的最佳實踐培訓，各行各業的網絡釣魚風險都能顯著降低。全球平均每五名員工（19.8%）點擊鏈接的機率可降低 超過 40%The

情況持續好轉：12 個月後，平均 PPP 下降 86% 至 4.1%，而且這一下降趨勢將持續。若持續培訓，平均 PPP 在兩年後可降至 3.7%，三年後更可降至 2.6%。各行各業均已呈現出這種下降趨勢。

企業培訓效果分析

企業規模	員工人數	基線 PPP（首測失敗率）	平均改進率（SAT 一年後）	高風險行業（基線 PPP ≥30%）	培訓效果最突出行業及數據
Large Enterprises	1,000–10,000	33.7%	87%	醫療與製藥（41.1%）、銀行（39.5%）、金融服務（38.4%）、能源與公用事業（37.2%）	醫療與製藥、酒店、法律：改進率 91%；法律行業 SAT 一年後點擊率最低 3.1%
中型企業	250–999	28.7%	86%	非營利（31.7%）、保險（31.6%）、醫療與製藥（31.4%）、零售（31.5%）、銀行（30.4%）、消費服務（30.1%）	銀行業點擊率下降 91.8%（至 2.5%）、運輸 89%、能源與公用事業 88%、製造 87%、運輸 87%、金融服務 87%
小型企業	1–249	24.6%	85%	非營利（27.5%）、保險（26.9%）、醫療與製藥（26.6%）、零售（26.5%）	銀行業點擊率降至 2%（下降 90%）；能源與公用事業、運輸、建築、教育皆達 87%

表格說明：

基線 PPP 越高，表示首測點擊釣魚鏈接的風險越大。
平均改進率為持續 12 個月培訓的整體效果。
高風險行業指基線 PPP 較高的行業。
培訓效果最突出行業展示了 SAT 後風險下降最大或點擊率最低的數據。

大型企業培訓資源豐富，改進幅度更為顯著；中小型企業則需要依靠工具和自動化模版來彌補培訓覆蓋不足。

亞太地區數據

首測失敗率：28.6%
12 個月持續培訓後：下降至 5.2%
培訓效果：點擊率下降 81.8%

亞太地區數據驗證了持續培訓和模擬釣魚的顯著效果；同時也提醒企業不要忽視區域差異和本地化需求。

釣魚攻擊趨勢

釣魚電郵總量增長 17.3%
綜觀 Microsoft 原生防禦和安全郵箱閘道的攻擊量增長 47%
82.6% 的釣魚郵件使用 AI 內容生成
攻擊手法日益隱蔽，包括假冒內部郵件、仿造高層審批或財務審計請求

AI 的介入讓釣魚郵件更加逼真，即便經過培訓的資安專業人員也難以識別。在未來兩年，一些傳統檢測機制可能會失效。

解決方案方向：KnowBe4 的價值體現

持續培訓與模擬釣魚

透過持續 12 個月的培訓，全球 PPP 由 33% 降至 6%
亞太地區 PPP 由 28.6% 降至 5.2%
大幅度降低員工點擊惡意鏈接的風險，提高整體資安防護水平

多語言與自動化模版更新

支持跨境因應多語言培訓，覆蓋多種表達形式與多安全場景
自動生成最新釣魚場景模版，快速覆蓋新興攻擊手法

AI 場景生成

生成更真實、更具針對性的釣魚模擬
提升員工識別能力，使培訓更貼近真實攻擊場景

KnowBe4 的優勢，不止是「培訓」

覆蓋 35+ 種語言內容，聚焦合規、攻擊識別與風險應對
內置 AI 智能模擬釣魚系統，自動生成定制測試場景
強大的行為分析機制，實現個性化反饋與再培訓
全自動化培訓流程，極大簡化管理流程
可與 HRIS、安全網關等系統無縫集成

Enterprise Cloud IT Solutions

Test Measurement

Automotive Electronics

Biomedicine

Industrial AR

Optical Inspection

Industrial Internet of Things

Visual Inspection

Industrial Measurement

Autopilot