網絡釣魚成為2022年最常見的攻擊手段

非營利身份與安全情報公司Identity Defined Security Alliance（IDSA）一項調查研究顯示，2022年最常見的身份相關事件類型是網絡釣魚。

這項由Dimensional Research委托進行的研究還揭示，最常見的網絡釣魚事件類型為電子郵件網絡釣魚、魚叉式網絡釣魚和語音/基于短信的網絡釣魚。

報告指出：“伴隨著數字身份的激增，針對數字身份的網絡攻擊也增加了。截至目前，這背后最重要的原因是員工無意中點擊了網絡釣魚電子郵件。”

該項調查研究采訪了529名IT安全與身份專業人員，受訪對象均來自員工規模超千人的企業。

網絡釣魚事件直接影響業務

62%的受訪者表示，在2022年經歷了網絡釣魚引起的身份相關事件。其中，93%的受訪者稱遭遇了電子郵件網絡釣魚攻擊。

近半數（49%）受訪者表示，魚叉式網絡釣魚是自家企業去年經歷的最常見網絡釣魚類型，另有27%的受訪者稱遭到了語音網絡釣魚或基于短信的網絡釣魚事件。

身份相關攻擊還有其他推動因素，比如員工的工作賬戶和個人賬戶采用同樣的密碼，這個因素占了所有此類攻擊的37%。黑客利用社會工程技術、員工使用未經授權的設備，以及用戶和同事共享其憑證也助推了身份相關攻擊，各占31%。

ESG Global分析師Jack Poller表示：“大多數攻擊者的終極目標是訪問并滲漏數據，而最簡單的數據訪問途徑就是利用可訪問敏感數據的現有身份。身份相關攻擊在數量和多樣性方面的增長均由此而生。而隨著攻擊數量的增長，身份在攻擊者戰術、技術與程序（TTP）中的作用，以及身份安全保護的重要性也越來越為人所知。”

過去一年中，超過三分之二的受訪者因基于身份的攻擊而影響業務。“最嚴重的影響是事件后恢復的成本（39%），其次是投入核心業務的精力被分散了（33%），然后是對公司聲譽造成了負面影響（25%）。”

保護身份安全仍是重中之重

86%的受訪者將管理和保護數字身份視為五大工作重點之一，其中17%將之當成第一要務。僅4%的公司未將數字身份管理與保護列入十大工作重點。

報告指出，更加重視數字身份管理與保護是因為公司看到了身份數量的顯著增加。

而推動這種增長的關鍵因素包括云應用的日益普及（52%）、遠程工作的興起（50%）、移動設備使用增加（44%），以及第三方關系增多（42%）。

為應對此類事件，58%的安全團隊啟動了現有的事件響應計劃，57%還通知了管理團隊。對偶發事件的關注度也明顯上升，大多數企業（80%）都表示對身份相關事件網絡保險感興趣，48%已經購買了此類保險。

Poller表示：“由于身份相關事件頻發，一些網絡保險承保人在提供網絡保險和確定費率時都將身份安全納入了考慮。具體來說，現在有些保單要求設置有強大的身份驗證，即抗網絡釣魚或無密碼身份驗證。”