艾体宝洞察 | 2025 网络安全回顾与启示：当 “人” 成为企业最大风险与最强防线

摘要：香港生产力促进局（HKPC）辖下 HKCERT 发布的《香港网络安全展望 2025》揭示了企业管治的一大警号：网络威胁已由单纯的技术攻击，演变为针对 “员工行为” 的精准猎杀。数据显示 2024 年网络钓鱼事故创五年新高，反映企业在技术防御上的投资出现边际效应递减。在 AI 深伪技术（Deepfake）与供应链风险夹击下，企业必须重新审视风险管理策略，从传统的 “技术主导” 转向 “人本防御”，构建具备抗逆力的安全文化。

一、威胁演变：企业面临的 “非技术性” 风险传统上，管理层常误以为网络安全仅是 IT 部门的责任。然而，HKCERT 最新数据表明，攻击者已绕过昂贵的防火墙，直接锁定企业最难以修补的漏洞 —— 员工。

失控的数据：网络钓鱼已成 “头号公敌”

规模惊人：HKCERT 在 2024 年处理的 12,536 宗保安事故中，网络钓鱼相关事件多达 7,811 宗，占比高达 62%，较 2023 年飙升 108%。与之相关的恶意链接更超过 48,000 条。
行业重灾区：攻击主要集中在银行、金融及电子支付行业，其次是社交媒体、即时通讯软件、电子商务、科技企业及公共服务。这显示攻击者高度聚焦于资金密集和数据密集的领域。

进化的攻击：从 “广撒网” 到 “精准猎杀”今天的网络钓鱼已告别了早年充斥语法错误的粗制滥造阶段，进化为高度定制化、社交工程化的精密攻击：

深度伪装：攻击者会冒充银行、物流公司、人力资源部门、财务同事甚至高层管理人员，内容高度本地化，并结合真实业务场景（如紧急付款、合同审阅、账户更新）。
AI 武器化：HKCERT 特别警告，人工智能（AI）生成内容被 “骑劫” 已成为主要网络风险。攻击者利用生成式 AI 批量制作语法完美、风格逼真、真假难辨的钓鱼内容，甚至模仿特定人士的写作习惯。这使得传统依靠识别 “错别字” 或 “格式异常” 的防御方法彻底失效。

叠加的风险：供应链攻击与 “人为失误” 的致命结合另一个被 HKCERT 列为 2025 年五大风险之一的 “第三方风险上升”，与网络钓鱼产生了危险的化学反应。攻击者不再直接攻击目标企业，而是先入侵其供应商、承包商或服务提供者，再利用已建立的信任关系，向目标企业员工发送看似来自 “熟悉伙伴” 的恶意邮件。这意味着，即使企业自身的技术防护十分完善，只要供应链中的任何一环被攻破，风险就会通过 “人” 这个通道长驱直入。

二、投资迷思：为何合规培训未能转化为防御力？许多企业每年投入大量预算于资讯科技保安，但事故率不跌反升。根本原因在于资源错配：过度依赖硬件防御，却忽视了 “人” 的因素。

形式主义的代价：许多企业仍将网络安全预算和注意力过度倾斜于硬件和软件解决方案，而对 “人的因素” 投资不足。隐私专员公署的调查显示，仅有 35% 的受访企业有为员工进行网络安全意识培训，进行相关演习的企业更只有 24%。HKCERT 发言人陈仲文工程师指出，员工缺乏意识可能成为企业网络安全的最大漏洞。
失效的培训：形式主义无法铸就 “安全肌肉”许多企业现有的 “安全教育” 流于形式，如每年一次的 PPT 讲座、偶尔发送的安全提醒邮件，其效果微乎其微。国际电机电子工程师学会（IEEE）的研究表明，传统的反钓鱼培训对提升员工识别能力的帮助非常有限，平均仅比未受训者好 1.7%。专家指出，单纯的点击模拟测试和线上课程，容易导致员工产生 “警惕疲劳”，无法将知识转化为面对真实、复杂攻击时的本能反应。

三、策略转型：构建 “安全文化” 作为核心竞争力既然攻击者的战场已从 “系统层” 转移至 “认知层”，企业的防御思维亦必须转型 —— 从单纯依赖硬件防护，转向系统性地装备每一位员工，让他们成为能识别风险的 “人类防火墙”。这并非否定技术投资，而是强调 “技术防御” 与 “人员意识” 的协同效应。透过引入如 KnowBe4 这类专注于安全意识培训的平台，企业能更有效地构建主动防御机制。

技术为基：自动化与智能化的周边防护

智能邮件网关与 AI 过滤：部署能深度分析语义、发送者行为及邮件上下文的新一代安全解决方案，在第一时间拦截大量已知威胁，为员工减负。
强制多重因素验证：在关键系统全面推行 MFA，确保即使个别凭证因钓鱼而外泄，攻击者也难以得逞，为事件响应赢得宝贵时间。
集成化安全运营：将端点侦测与回应系统、安全资讯与事件管理平台等技术工具产生的告警，与 KnowBe4 平台收集的员工行为风险数据（如钓鱼模拟点击率、培训完成度）进行关联分析，从而更精准地定位整体安全态势中的薄弱环节与高风险个人。

以人为本：建立持续性的安全直觉技术只能拦截已知威胁，KnowBe4 则致力于改变员工行为。将抽象的安全政策，转化为员工日常的防御直觉。

真实威胁模拟，化 “被动告知” 为 “主动体验”KnowBe4 拥有庞大的本地化钓鱼范本库（如假冒香港本地银行、强积金公司或速递公司的通知）。透过发送高度仿真的模拟钓鱼邮件，让员工在受控环境中 “中招”，其教育效果远胜于传统讲座。系统会在员工点击的当下提供即时指导（Teachable Moment），加深记忆。
微学习与情境化培训，实现 “精准培训”不同于枯燥的长篇培训，KnowBe4 提供海量短小精悍（通常 3–5 分钟）、生动有趣的互动式微学习模组。这些内容可根据员工所属部门（财务、人力资源、IT）及其在模拟钓鱼测试中的具体弱点进行智能推送。例如，对频繁点击财务类钓鱼邮件的员工，系统会自动安排相关的 BEC 防御课程。这种 “因材施教” 的模式，大幅提升了培训的针对性和效率，真正将安全知识融入具体业务场景。
数据驱动的文化塑造，让安全进步 “看得见”KnowBe4 强大的数据分析与报告功能，能将抽象的 “员工安全意识” 转化为直观的指标与趋势图。管理层可以清晰看到全公司的钓鱼邮件点击率如何随时间下降，哪些部门是 “标兵”，哪些需要额外关注。平台支持设定目标、开展部门间竞赛，并对表现优异的个人或团队给予表彰。这种可视化、游戏化的方式，能有效驱动企业从上至下建立起积极的网络安全文化，让安全从合规负担转变为集体荣誉。

KnowBe4 提供的远不止一个培训平台，而是一套经过全球验证的、系统性的行为改变方法论。在 AI 培训攻击、供应链风险环环相扣的今天，仅靠技术堆叠已无法筑起高墙。KnowBe4 帮助您将最大的潜在风险 —— 员工 —— 转化为最可靠的主动防线。通过持续的模拟、教育与培训，您的组织将能显著降低社交工程攻击的成功率，减少因内部失误导致的数据泄露与财务损失，最终在 “人” 的层面建立起竞争对手难以模仿的独特安全优势。

四、结语：安全竞争的下半场，始于对 “人” 的投资HKCERT 的报告传递出一个明确无误的信号：网络安全的竞争，已从单纯的 “技术军备竞赛”，转变为 “人的意识与韧性之争”。在 AI 培训攻击、供应链风险环环相扣的今天，任何忽视 “人的风险” 的企业，实质上已在安全防线上默认敞开了大门。

将每一位员工从潜在的 “风险点” 转变为主动的 “防御节点”，已不再是可选项，而是企业在数字化时代生存与发展的必修课。这要求企业决策层真正将 “人” 置于安全体系的核心，投入资源，创新方法，最终构建起一道技术与人性智慧相结合的、难以被攻破的综合防线。

参考资料：