就目前来看，任何企业都无法完全脱离网络。员工需要网络来办公，企业之间需要网络来进行联络。然而，从人们开始拥抱互联网的时刻起，网络钓鱼已经成为了网络里一种威胁深刻、最可恶的黑客手段，而且其手段日益多样化且越来越成功。

网络钓鱼就像在一个木桶里钓鱼一样——只要有足够的时间，黑客100%可以成功的将目标钓上线，而且如果黑客认识到目标企业会习惯性的遭到社工攻击，那么他们就会继续以目标企业为目标，这样的攻击就会持续恶性循环下去。

古语云：”不怕贼偷、就怕贼惦记“。用在这里再合适不过了，黑客时间充足、资金充足、目标明确，他可以长时间针对目标。黑客的唯一目的就是利用社工技巧成功吸引到一名“幸运儿”，而这个幸运儿很有可能就是黑客打开企业数据大门的金钥匙。而作为企业本身的任务之一就是保护所有潜在的“幸运儿”。

注意：利用网络进行办公、联络，在上述文字中特指例如：电子邮件、即时沟通软件、社交媒体软件、论坛等。

而大部分企业在面对网络钓鱼时，要么过度依赖技术解决方案，以至于令人困惑，要么使用不够有效的培训手段，以至于令人反感。不过，即使在企业中，为员工提供培训，反复提醒员工核实可疑通信，持续更新钓鱼手段来模拟钓鱼。企业依旧容易受到社工攻击。

下面我将列出在企业中反网络钓鱼策略不起作用的六个原因：

1、网络钓鱼攻击变得更加可信和复杂

当今互联网时代，信息泄露事件层出不穷，而网络分子还在不断开发新的手段和方式来诱骗人们泄露敏感信息，随着可利用的信任信息越来越多，新的技术手段越来越多，网络钓鱼攻击也变得越来越复杂。

就目前市场上的邮件网关来看，虽然技术上做到如火纯青，可以说是滴水不漏，一旦监测到邮件内容带附件、带超链接、带关键词、伪造域名等，就会直接将其拦截。

但就成功的钓鱼案例来看，邮件网关无法防止企业内部员工邮箱向其他内部员工发送钓鱼邮件，也无法检测邮件内容图片是否存在危害(可以放置一个二维码，诱骗目标扫码从而进行攻击)，对于在邮件内容上留一个联系方式，将目标引流至其他社交平台上进行钓鱼的攻击也无法检测了。当然，这其中是现有技术暂时无法解决的亦或者就不是邮箱网关该做的事情。

而有了chatgpt这类的聊天软件+泄露的大量敏感信息。攻击者可以针对特定的目标制定一个天衣无缝且精美吸引人的钓鱼场景及内容来诱骗受害者。当然，这都是在网络钓鱼。

你不必担心，如果在现实中这样的攻击，就不叫网络钓鱼了，而是商业间谍了。

2、把所有鸡蛋都放进技术篮子里

可以知道的是，企业在知道“网络钓鱼是企业最大网络威胁之一”、“人是最大的威胁风险”后，也会采取一些防御和补救措施。但目前来看，大部分企业会将企业90%的资源，甚至100%的资源放到技术手段上。虽然技术是根基，是不可或缺的手段，最新的技术会提供一些好的方法，可以监控可疑电子邮件。但越来越高端的技术只会让坏人变得越来越老练。

如果我们拥有最好的工具，但没有培训员工的安全意识。那糟糕的事情还是会发生。

就我目前就职的企业来看，当我的邮箱在接收到可疑的邮件时，会在邮件标题上打上[疑似钓鱼邮件]xxxx通知，也可以设置策略，对此类邮件进行自动阻止。同时现有技术手段完全可以做到SIEM[安全信息和事件管理]和SOAR[安全编排，自动化响应]。我觉得非常不错，但依旧会出现有员工被成功钓鱼的情况，这是员工安全意识不够。

3、没有采取全面的纵深防御策略

企业可以采购最新的工具和技术来加固企业网络安全防火墙以及采取持续性的安全意识培训来加固企业员工人脑防火墙。但依旧会失败的点在于企业没有采取全面纵深的防御策略

企业可能关注一些特定的技术：反邮件钓鱼、多因素身份验证、数据加密、端点/移动安全，但可能会忽略其他能够降低网络杀伤链的技术，例如：检测企业内部弱口令帐户、监测企业外部泄露的信息资产面等。

如果不实施全面的深度防御策略而仅仅依赖一些反网络钓鱼的技术就会出现一种情况：黑客只需要一次成功的攻击，就可以摧毁整个系统。不论是信任基于技术手段还是依赖培训用户本质上是有缺陷的。因为人很容易犯错，而攻击者只需要利用这一个错误就可以攻击成功。

防御网络钓鱼的最佳方式是采用分层防御方法，这包括在每个工作站上安装EDR，拥有强大的漏洞管理程序、为每个用户以及管理员帐户启用多重身份验证以及跨网络实施分段以限制漏洞传播。

“通过采取这些预防措施并实施多层防御，企业可以最好地防范网络钓鱼攻击，“我们必须假设攻击者会在某个时候成功。因此，我们需要牢记这一假设，采用全面、分层的防御方法来进行防御。”

4、没有持续培训员工识别/防范网络钓鱼

前提：如果想要在企业中实现网络钓鱼电子邮件零点击是不可能不切实际的目标。

就我所知而言，大多数企业对于网络安全意识培训做的并不好，一方面这是一个吃力不讨好的活儿，没有人会愿意在企业内部得罪不同部门的同事，也没有人会愿意一年365天不是在培训的路上就是在准备培训。而且培训的内容大多是让员工不要点击未知发件人发来的邮件中的链接或附件，但都是千篇一律的培训内容，根本没有考虑到不同年龄、不同岗位的人需要不同培训方式，最关键是还需要教会员工如何识别钓鱼邮件。

一个成功的反网络钓鱼策略需要首先提高员工对如何识别网络钓鱼并了解如何报告网络钓鱼的认识。这种方法是对许多公司单纯使用“不点击”的培训策略一种转变。教会员工如何报告可疑电子邮件可以让安全团队快速评估潜在威胁并减轻遭受类似攻击的其他人的影响。比如可以在电子邮件平台中嵌入工具，以便员工可以更轻松的报告可疑电子邮件，Outlook就有Report phishing功能。

还有个不能忽略的重要因素，除了培训员工以外，企业的领导者需要在顶层制度上进行更加科学的设计。最大限度的减少员工在合理的工作流程上被网络钓鱼的风险。例如在与第三方进行互动沟通时，遵循公司的安全通信标准和网络安全办公原则，以避免出现被网络钓鱼的可能性。

5、缺乏执行/缺乏激励

即使公司制定了强有力的培训计划和制度，如果不遵守的制度的员工不需要承担任何后果，那培训计划和制度可能会失去有效性和约束性。但如果有员工及时的发现了可疑的网络钓鱼情况，但没有加以奖励，那员工也会失去积极性。

比如当员工被网络钓鱼攻击后，员工必须要重新参加安全考试，并且取得一定的成绩才能继续正常办公，当然具体的奖惩制度需要根据企业的实际情况来具体制定。同时奖惩制度也不是像法律一样铁面无私，也需要根据实际情况来具体执行。我一直认为我做的事情的本质是教育员工，不是让员工出丑或蒙羞。

6、过度依赖模拟网络钓鱼测试

如前文所言，当前反网络钓鱼策略的一个致命弱点是：一些公司的目标是培训用户100%无失误。并且认为：用户在遭受网络钓鱼攻击时应该受到指责。我想反问：企业既然目标是培训用户100%无失误，那有没有真正的以这个目标来进行模拟的网络钓鱼测试呢？

如果测试很复杂，那么测试就会不尽人意。但如果测试很简单，那么每个人都会出色的通过。对于领导而言，在向上汇报时，展示通过培训后，测试得到的数据的确很好看。但是领导者必须承认，无论公司对员工进行多少培训，一小部分员工都会点击链接，而在一些特殊时期，这个数字还会增加。

更糟糕的是，许多企业在组织模拟钓鱼测试时，将链接正常化，你点击一个链接，跳转到一个与正常办公网站一模一样的网站，页面提示：“对不起。你已经被钓鱼了”。如果强迫用户在点击链接后需要进行培训，反而可能会产生负面效果——导致他们更加会在下一次点击链接。员工在繁忙、压力很大的一天中因为点击了链接而需要被迫接受培训，这让大多数员工讨厌培训课程，并在不加注意的情况下尽快敷衍了事的完成培训课程。这不仅会产生这种效果，还会影响用户对网络钓鱼电子邮件的反应方式。他们在未来点击一些钓鱼邮件的链接，在他们看来可能就是一次测试，所以他们也不会报告。

最后我们要明白，在与反网络钓鱼对抗中，失败是主旋律

尽管培训尽了最大努力，但人还是会犯错误。“人也很情绪化，通常会对网络钓鱼电子邮件产生本能反应，从而产生一种紧迫感或必要性，这些情况不会改变。至少在可预见的未来，网络钓鱼电子邮件仍将继续存在。”