从IBM《2025年X-Force威胁情报指数报告》看安全文化的必要性

发布于 作者:

从IBM《2025年X-Force威胁情报指数报告》看安全文化的必要性

原创 HardyXie 超安全 2025-05-01 05:38

IBM
于近期发布了《2025年
X-Force威胁情报指数
报告》,该报告
基于对
130多个国家或地区每天监控超过1,500亿个安全事件所获得的洞察分析和观察结果
。深入
了解攻击者的策略对于保护
组织
的员工、数据和基础设施至关重要。本文将透过报告探析攻击策略与防御策略的转变,建议组织从传统的安全意识培训,逐步过渡到人为因素风险管理与安全文化建设。

IBM 2025《报告》关键发现

第一:制造业连续四年成为第一大网络攻击目标
。制造业企业继续遭受严重影响,包括勒索(29%)以及以金融资产和知识产权为目标的数据盗窃(24%)。 2024 年,制造业的勒索软件案例数量最多,因为攻击者继续利用该行业过时的传统技术。

25%:2024
年,在
X-Force响应的关键行业事件中,超过四分之一的事件是攻击者利用漏洞发起的,而系统版本滞后和修补周期缓慢,仍是企业面临的长期“顽疾”

30%:2024年,滥用合法有效账户仍是网络罪犯入侵受害者环境的首要途径
,占
X-Force响应的各类安全事件的30%。

84%
:网络钓鱼已成为身份攻击的
“隐藏性”感染渠道
。尽管自
 2022年以来,成功的网络钓鱼攻击占比下降了近50%,但X-Force发现,每周
发送
钓鱼邮件的信息窃取者
(InfoStealer)
的数量却增加了
84%。

很多
组织花费
重金部署先进的安全
技术
防御,加强安全管理与制度体系建设,并且
开展了
面向员工的
安全意识
教育
活动,

为什么
网络安全防线依然不堪一击
?IBM 2025《报告》
的最新发现
再一次指向
了攻击者策略的转变。
从勒索软件、凭证滥用、漏洞利用到网络钓鱼,网络
犯罪分子
之所以屡屡成功的底层原因
很简单:选择成本最小的攻击方式,利用阻力最小的攻击途径(通常是以安全意识薄弱的员工为突破口)。

传统安全意识培训的败笔

实际上,很多组织都在一定程度上开展了员工
安全意识
宣贯与培训计划,例如:
面向员工推出
一些
安全意识培训课程和
考试
,发送一些邮件宣传海报或公众号长图文,

定期组织几场钓鱼模拟演练,开展线上线下安全日
/周/月体验活动
等等
,但是,正如许多企业后来发现的那样,按照上述业内实践年复一年地做下去,并未看到明显的收益
或难以衡量投入产出。

然而,
上述做法
有一个主要的
缺陷
:未考虑员工行为的复杂性

企业组织的安全意识培训
通常采用一刀切
式的、灌输式的、推送式的
方法,
虽然对于知识普和意识提升有一时帮助,但缺乏岗位相关性和个性化
。再加上缺乏足够的学习动机
,被动应付式的学习导致
员工的安全
知识吸
十分有限。
大部分培训内容很可能会从一只耳朵进另一只耳朵出,仅一天之后,员工就会忘记
70%以上的内容

如果培训频率不足
,很难
形成知识
保留,更谈不上知识
转移

行为养成。

长时间以来,无论是
由于
预算
有限
,还是业内实践
的惯性
,企业安全团队开展安全意识
培训
在很大程度上
是为了满足合规要求
。对于大多数员工来说,安全意识培训是一项无聊的、强加给自己的额外任务

安全意识宣贯与培训并不是有效降低人为因素风险的最佳方法
,传统的安全意识教育理念与技术需要一场新的革命,而不是简单升级

善用行为科学改善不良风险行为

事实证明,传统的以知识为中心、以合规为驱动的安全意识培训无法有效降低人为因素安全风险。
虽然
基础的
安全意识培训仍然至关重要,不应忽视,但必须使教育方

多样化
,结合个性化、体验化与游戏化。

另外,
员工
在工作环境中的行为
会受到诸多因素的影响,如年龄、性别、职务、个性、心理、情绪、
周围同事、
社会认同

外界环境等


想要解决“人的问题”,必须充分
考虑到人是一种社会性动物,习惯性动物,

用社会心理学、教育学、组织行为学

巧用认识理论、成人学习理论、变更
/项目管理、沟通的艺术、激励的艺术等等。

以下是巧用行为科学影响员工行为的一些实用做法:

奖励安全行为(正向强化)
– 策略:认可和奖励安全行为,增强员工的成就感。

  • 示例:通过公司即时通讯工具、内网公告或邮件通知,公开表扬表现突出的员工,比如“非常感谢XXX部门员工张三成功阻止了一次鱼叉式网络钓鱼攻击,大家为他点赞!”。让安全成为一种身份象征,使员工感受到自己的贡献是被认可的,其它同事更有可能被鼓励,从而提升安全警惕性和积极上报风险。

使用基于信心的信息传递(框架效应)
– 策略:将安全行为视为职业技能和专业精神的表现,而不是基于恐惧的警告。

  • 示例:与其说“不要陷入网络钓鱼的圈套!”,不如说“成功识破钓鱼邮件彰显了您的数字安全专业素养!”。与其说“不要泄漏敏感信息!”,不如说“作为敏感信息处理者,您在防止数据泄漏方面扮演着至关重要的角色”

鼓励社会影响(社会认同)
– 策略:当员工看到他们的同事都在遵守安全规范时,他们更有可能保持一致。

  • 示例:提升员工学习完成率不必一遍遍地催,可以发一条通知如“您部门90%的员工已完成安全培训!”,其它尚未完成的同事很可能会为避免拖后腿或与大家保持同步,尽快完成培训。

增加良性竞争和趣味性(游戏化)
– 策略:利用良性竞争、趣味性和激励认可来激发安全行为。

  • 示例:为钓鱼模拟演练或安全培训创建一个排行榜,标题为“月度十大反钓鱼卫士/安全学习达人”,并提供奖励证书、徽章或小奖品等,让安全成为一种乐趣,而不是一种强制任务。

安全沟通传播定制化(与我有关)
– 策略:根据员工的角色和职责发送更具岗位针对性的安全信息。

  • 示例:鼓励销售团队:“作为客户敏感数据的保护者,你的安全行为可以增强客户对我们的信任”。以自我为导向的激励使得安全行为更有吸引力,从而提高员工对保护公司数据的自信心和责任感。

知识和意识是改变行为的先决条件,但不一定是充分条件,还需要与行为影响与说服策略,个人、文化与环境因素等一起考虑。一旦员有了改变风险行为的意愿,还需要通过针对性培训、持续性评估和激励机制等,来支持、鼓励他们度过行为改变期。

安全行为背后的文化影响因素

人是环境的产物,环境对人们的行为有着深远的影响,人们在环境中塑造自己的行为,而这些行为反过来又影响着环境的发展。在不同的组织环境和背景下,人们的思维方式和行为方式会呈现显著差异。

安全文化是全体员工对待网络安全的共同态度、价值观、信念和行为方式,潜移默化地影响和指导员工如何做出正确的安全决策,它决定了安全行为是一种“第二天性”,还是一项额外的负担。安全文化影响着员工面对网络威胁时的自然反应和自信程度,决定了网络钓鱼、弱口令、影子IT/影子AI等人为风险因素在组织中的表现方式。

不断变化的网络安全形势需要一种全面的方法来解决关键的人为因素
风险
。组织需要培养一种积极的网络安全文化,以
管理层承诺与
参与
、人为因素风险管理
创新举措为支撑
,并结合
有效的度量
指标体系

持续衡量进展
并展示价值。
超安全的核心理念是:不止于安全合规、更致于行为与文化变革。超安全
提供了一系
人为因素风险管理服务
,帮助我们的客户
不断提升组织安全文化成熟度及组织网络弹性,
使
组织内的

一名员工
都成为网络安全的积极守护者。
欲探索更多网络安全文化建设的道、法、术,
欢迎
联系:超安全!

注:IBM《
2025年
X-Force威胁情报指数
报告》内容详实,极具参考价值,请至官网下载完整版报告,或加入超安全文化私享群直接获取报告。

欢迎加入超安全文化进化私享群!

  • 私享群定位:超安全文化进化私享群是安全圈唯一一个面向网络安全意识宣贯与培训、人为因素安全风险管理、网络安全文化建设专业人士/研究者/兴趣爱好者的高端社群。

  • 私享群愿景:让“人的因素”不再成为安全短板,让员工成为“最强大”的一道防线,让网络安全文化入脑、入心、入行!

入群方式详见:欢迎加入超安全文化进化私享群,一步领先,步步领先!