網絡釣魚攻擊正以空前速度演化。KnowBe4 作為全球最大的安全意識培訓平台,長期跟蹤釣魚趨勢,透過 1,450 萬用戶、62,400 家組織和 6,770 萬次模擬釣魚測試 的數據,為企業提供最具權威的釣魚中率(Phish-Prone Percentage,PPP)和風險洞察。
今年的報告顯示,全球平均首測失敗率高達 33.1%,行業劃分顯示:醫療、保險、零售等行業最易受攻擊。同時,AI 生成的釣魚電郵和來自內部帳號的仿冒郵件手法更加隱蔽,令傳統技術防禦面臨更嚴峻挑戰。
對企業而言,員工培育不足、跨境因子增加以及本地化釣魚模擬缺失等問題,進一步增加風險。企業面臨的挑戰不僅是技術問題,更是員工行為和安全文化的議題。掌握關鍵數據和趨勢,是制定培訓策略的第一步。
在第一階段,當進行任何 SAT 測試之前,全球企業的網絡釣魚易受害率(PPP)基線為 33.1%,也就是說,每三名員工中就有一名容易受到網絡釣魚電郵和社交工程攻擊。
深入研究後,我們發現超過一半的行業(19個行業中的10個)的 PPP 首測平均值均高於這一基線。對於各種規模的組織而言,以下行業風險最高:
數據顯示,高敏感信息行業和面向客戶交互業務作業員工更容易成為攻擊目標,其首測失敗率明顯高於平均水平。只有五個行業的 PPP 低於30%。即便如此,仍有超過四分之一的員工容易遭受網絡釣魚攻擊:交通運輸(29.9%)、商業服務(29.6%)、消費者服務(29.5%)、法律(28.5%)和政府(28.2%)。
平均而言,擁有 10,000 名以上員工 的企業,其 PPP 高達 40.5%;擁有 1,000–9,999 名員工 的企業 PPP 為 33.7%;而擁有 250–999 名員工 的企業 PPP 為 28.7%;相對地,僅有 1–250 名員工 的企業 PPP 為 24.6%。
這一現象說明:人愈多,郵件數愈多,點擊連結的手指也就愈多。而且,在更多人中提升集體意識也會更加困難。不同產業與組織規模的風險狀況雖有所不同,但綜合而言,最大的風險仍集中於較大型的企業。
好消息是,經過僅僅 90 天的最佳實踐培訓,各行各業的網絡釣魚風險都能顯著降低。全球平均每五名員工(19.8%)點擊鏈接的機率可降低 超過 40%。
情況持續好轉:12 個月後,平均 PPP 下降 86% 至 4.1%,而且這一下降趨勢將持續。若持續培訓,平均 PPP 在兩年後可降至 3.7%,三年後更可降至 2.6%。各行各業均已呈現出這種下降趨勢。
| 企業規模 | 員工人數 | 基線 PPP(首測失敗率) | 平均改進率(SAT 一年後) | 高風險行業(基線 PPP ≥30%) | 培訓效果最突出行業及數據 |
|---|---|---|---|---|---|
| 大型企業 | 1,000–10,000 | 33.7% | 87% | 醫療與製藥(41.1%)、銀行(39.5%)、金融服務(38.4%)、能源與公用事業(37.2%) | 醫療與製藥、酒店、法律:改進率 91%;法律行業 SAT 一年後點擊率最低 3.1% |
| 中型企業 | 250–999 | 28.7% | 86% | 非營利(31.7%)、保險(31.6%)、醫療與製藥(31.4%)、零售(31.5%)、銀行(30.4%)、消費服務(30.1%) | 銀行業點擊率下降 91.8%(至 2.5%)、運輸 89%、能源與公用事業 88%、製造 87%、運輸 87%、金融服務 87% |
| 小型企業 | 1–249 | 24.6% | 85% | 非營利(27.5%)、保險(26.9%)、醫療與製藥(26.6%)、零售(26.5%) | 銀行業點擊率降至 2%(下降 90%);能源與公用事業、運輸、建築、教育皆達 87% |
表格說明:
大型企業培訓資源豐富,改進幅度更為顯著;中小型企業則需要依靠工具和自動化模版來彌補培訓覆蓋不足。
亞太地區數據驗證了持續培訓和模擬釣魚的顯著效果;同時也提醒企業不要忽視區域差異和本地化需求。
AI 的介入讓釣魚郵件更加逼真,即便經過培訓的資安專業人員也難以識別。在未來兩年,一些傳統檢測機制可能會失效。
Anglo-Eastern Ship Management 是一家管理超過750艘船舶的全球船舶管理公司。面對分布在世界各地的32000多名海員和不斷增長的網絡攻擊風險,公司通過部署 KnowBe4 HRM+ 安全意識培訓平台,實施持續的員工網絡安全教育和模擬釣魚測試。僅用一年時間,員工釣魚攻擊易感率從60%降至5%,培訓完成率超過90%,員工每天主動上報約200封可疑郵件。
隨著《歐盟人工智能法案》(EU AI Act)逐步落地,AI治理正在從企業自律走向強制合規。根據法案第4條要求,AI系統的提供者和使用者必須采取措施確保員工具備足夠的AI素養(AI Literacy)。企業需要通過分層培訓體系、角色化課程設計以及持續追蹤機制,將AI知識轉化為可執行的合規流程。
隨著香港《保護關鍵基礎設施(計算機系統)條例》實施,核心功能持續性與恢復時間目標(RTO)成為法定責任。Redis Enterprise 透過 99.999% 高可用架構、單秒級自動故障轉移與 Active-Active 多活技術,將恢復時間與恢復點目標趨近於零,在高負載下仍維持毫秒級延遲,幫助金融、電信與能源行業實現真正的零中斷數據合規。
