2025 年网络钓鱼威胁“狂飙”：如何筑牢防线？

网络安全专业人员正面临日益严峻的网络钓鱼威胁。《2025 年 KnowBe4 网络钓鱼行业基准报告》 明确指出：将最大的攻击面——员工——转变为最大的安全资产至关重要。

灾难49 秒

根据 Verizon 的《数据泄露调查报告 (DBIR)》，用户点击恶意链接的时间中位数仅为惊人的 21 秒。如果网络钓鱼邮件要求员工输入数据（如凭证），整个过程仅需 49 秒。

这意味着，在员工打开网络钓鱼邮件后，安全团队只有不到一分钟的时间来阻止潜在的灾难性后果。

网络钓鱼数量和复杂性的激增加剧了这一紧迫性。KnowBe4 的《网络钓鱼威胁趋势报告》发现，网络钓鱼邮件总量增加了 17.3%，而能绕过安全电子邮件网关 (SEG) 和原生安全防护的攻击数量则飙升了 47%。传统防御手段正艰难应对，攻击者愈发擅长寻找并利用漏洞。

AI 正在改变游戏规则

不出所料，人工智能 (AI) 是这一转变的主要推手。事实上，KnowBe4 威胁研究团队分析的网络钓鱼邮件中，82.6% 都运用了某种形式的 AI。这些邮件更具说服力、更难以检测，且生成速度更快。AI 驱动的钓鱼邮件能够调整语气、精准模仿个人身份并规避基于模式的检测，正使部分现有邮件防御体系面临失效风险。

除 AI 外，加剧网络钓鱼风险的因素还包括：供应链中商业电子邮件泄露 (BEC) 威胁的日益严重，以及数字化转型不均衡带来的风险敞口。但最核心的因素始终未变：人类行为。

脆弱窗口

KnowBe4 对钓鱼易感性百分比 (Phish-prone Percentage, PPP) ——即可能被钓鱼邮件欺骗的用户比例——的分析揭示了一个令人担忧的趋势。所有组织在任何培训前的平均 PPP 高达 33.1%。这意味着超过三分之一的员工会点击具有潜在危险的链接。

部分行业情况更为严峻。医疗保健与制药业以 41.9% 的 PPP 位居榜首，其次是保险业 (39.2%) 和零售与批发业 (36.5%)。相比之下，政府 (28.2%)、法律 (28.5%) 和运输业 (29.9%) 的表现稍好，但仍危险地接近三分之一的门槛。

组织规模越大，风险越高

公司规模是影响钓鱼漏洞的关键因素。大型组织不仅拥有更多可被攻击的邮箱，在数千名员工中建立一致的安全意识也面临更大挑战。因此，员工数超过 10,000 人的公司基线 PPP 最高，达 40.5%。员工数为 1,000-9,999 人的组织 PPP 降至 33.7%，250-999 人的企业降至 28.7%，而最小的组织 (1-249 人) PPP 最低，为 24.6%。

尽管风险较高，但数据带来了一线希望：有针对性的安全意识培训 (SAT) 效果显著。

培训效果：全球 PPP 显著下降

实施最佳实践培训仅 90 天后，全球平均 PPP 下降了 40%，降至 19.8%。而真正的成效体现在长期投入上。经过一年的持续培训，平均 PPP 大幅降低了 86%，降至仅 4.1%。持续两年和三年的强化训练后，该数字进一步优化至 3.7% 和 3.6%。

这一成效并非个例或行业特例——每个行业都实现了显著且持续的改善。

大型企业 (10,000+ 名员工)：从 40.5% 降至个位数

基线状态下，大型企业风险最高，特定行业尤甚。医疗保健与制药业和保险业初始 PPP 均超过 53%。非营利组织 (49.2%) 和零售与批发业 (47%) 紧随其后。

但这些行业在培训后进步最大。平均而言，大型组织的钓鱼抵御能力提升了 86.8%。酒店业表现最佳，PPP 下降 93% 至仅 2.4%。咨询业和制造业均实现了 92% 的降幅，金融服务业和银行业均达到 91%。即使是高风险的医疗保健业，其 PPP 也降低了 90%——成效斐然！

大型组织 (1,000–9,999 名员工)：持续进步

员工数在 1,000 至 9,999 人的组织，基线 PPP 为 33.7%。其中医疗保健 (41.1%)、银行业 (39.5%)、金融服务业 (38.4%) 和能源与公用事业 (37.2%) 风险较高。

经过一年培训，该组别取得了与最大型企业相当的成效，平均降幅达 87%。法律行业培训后点击率最低 (3.1%)，而医疗保健与制药、酒店业和法律业均实现了 91% 的提升。银行业和能源业等初始高风险行业也取得重大进展，证明培训在中型企业同样有效。

中型组织 (250–999 名员工)：以较少资源构建韧性

即使规模较小，钓鱼风险依然显著。该组平均基线 PPP 为 28.7%，多个行业（如非营利组织、保险和建筑业）超过 30%。

尽管资源有限，这些组织在培训上也取得了强劲进步，平均风险降低率达 85.6%。银行业再次领先，PPP 降低 91.8% 至仅 2.5%。其他表现突出的行业包括建筑业 (降幅 89%)、能源与公用事业 (88%) 和制造业 (87%)。

最小组织 (1-249 名员工)：低起点，高回报

表面看，最小组织似乎最安全，基线 PPP 为 24.6%。但这仍意味着四分之一的员工易受攻击——攻击者深谙此道。

该组中基线 PPP 最高的是非营利组织 (27.5%)、医疗保健与制药业 (26.9%) 和教育业 (26.6%)。然而，持续培训同样带来显著改变。银行业将 PPP 削减了 90%，最终仅 2% 的员工点击钓鱼链接。运输业、建筑业和教育业平均进步率也达 87%。

核心结论：人即边界

在当今世界，网络钓鱼邮件常被设计为绕过传统检测机制，并能在数秒内诱使用户交互，您的员工已成为最后一道防线。KnowBe4 网络钓鱼报告的发现强调：旧有方法已然不足。AI 驱动的攻击与人为失误的结合，意味着传统防御措施已力不从心。

但好消息是：行为可以改变。通过战略性、持续性的安全意识培训，不同行业和规模的组织均已证明，能在一年内将钓鱼风险降低 85% 以上。更重要的是，这种成效会随时间累积放大。

此外，作为有效的人为风险管理 (HRM) 的一部分，此类培训可与基于行为的威胁检测（如 AI 驱动的邮件安全）相结合。后者利用最新威胁情报和深入的行为分析，能检测并阻止比传统安全方案更广泛的威胁。这些解决方案提供实时检测与指导，赋能员工更安全地工作。

若您致力于构建安全文化，请摒弃将钓鱼韧性视为一次性解决方案的观念。将其视为一项长期承诺——它不仅提升关键指标，更能减少实际违规、提供更强防护，并最终带来更大的安全保障信心。

来源：The Clock Is Ticking: Why Phishing Remains The Fastest-Moving Cyber Threat in 2025

部分图片来自freepik