一項新研究揭示了醫療行業對網絡釣魚的敏感程度，該研究由一組醫生進行並在JAMA網絡公開賽上發佈，研究了六家主要醫療機構的電子郵件安全實踐，發現每七封網絡釣魚郵件中就有一封最終被醫院員工打開。 這通常與醫療保健行業的傳統觀念相吻合：它的總體安全態勢很差。因此，今天我們將討論這項新研究，醫療行業的安全問題和電子郵件安全性。

這些點擊率代表了醫院的主要網絡安全風險

美國醫療保健機構的員工是否容易受到網絡釣魚攻擊？ 原來答案是肯定的。

美國醫療保健組織的網絡釣魚模擬中的當前點擊率表明存在重大的網絡安全風險。這些點擊率突出了網絡釣魚電子郵件作爲攻擊媒介的重要性，以及保護信息系統的挑戰。

研究人員從2011年至2018年開始轟炸六家不同的美國醫院，其中有近300萬（95個不同的活動共計2,971,945）模擬網絡釣魚電子郵件，並記錄了組織的點擊率。各種活動和機構的整體中位點擊率爲16.7％。

爲了更好地解釋數據，研究人員將各種模擬網絡釣魚活動分爲三類：

Office相關

個人

IT相關

雖然這些細節相當不透明，但該研究確實提供了每個類別的主題行的幾個例子。

從類別的點擊率開始：

Office相關和IT相關的網絡釣魚似乎會有相當多的重疊，但顯然當涉及到與技術相關的問題時，醫療保健行業會特別敏感。這使得很多因爲有多少設備，其中越來越多的物聯網對於運轉良好的醫院至關重要。

網絡釣魚模擬確實可行

該研究的重點是，至少在醫療保健方面，這些網絡釣魚模擬測試真的有幫助。在這項爲期八年的研究中，通過幾個不同的指標，有確鑿的證據表明網絡釣魚模擬有助於降低點擊率。 我們發現點擊網絡釣魚電子郵件的可能性隨着更多的機構經驗而降低，我們假設這可能是由於運行網絡釣魚模擬活動對員工教育和意識的好處。

然後，在結論中強調： 重複的廣告系列與提高的點擊率相關聯，這表明模擬的網上誘騙廣告系列是降低風險的主動方法的重要組成部分。讓我們來看看該研究運行的八年內未經調整的總點擊率：

最大的下降發生在2016年和2017年之間，當網絡釣魚模擬真正開始進入他們自己的時候。在研究開始時，由於缺乏醫療保健機構，“信息安全系統組織已經足夠成熟，可以進行網絡釣魚模擬，因此他們有點陷入困境”。 更有說服力的證據是，隨着員工接受更多培訓，點擊率降低。在網絡安全方面，教育是最好的防線之一。以下是員工在越來越多的網絡釣魚模擬過程中的表現：

爲什麼醫療保健行業如此重要？

在網絡安全方面，醫療保健行業在歷史上落後於其他行業。儘管有嚴格的行業合規標準，如HIPAA。其原因是多方面的。 對於初學者來說，醫療機構有大量的表面覆蓋。醫療設備，其中許多現在都在線，是額外的攻擊媒介，並且鑑於它們的功能和相互依賴性，它們的安全性甚至更加複雜。然後，需要保護並且有時轉移敏感的醫療記錄，這增加了另一種複雜程度。這些記錄很有價值。

醫療保健系統也特別容易受到網絡釣魚攻擊。醫院的員工流動率很高，並且新員工（例如，受訓人員）不斷湧入，他們可能沒有先前的網絡安全培訓，這會產生持續不斷的新易感員工。醫院系統由於顯着的終點複雜性而易受攻擊，這一術語用於描述可能在攻擊中成爲攻擊目標的大量IT設備。 請記住，91％的網絡攻擊始於電子郵件。每101封電子郵件中就有1封是惡意的。而所有需要的是感染或瞄準正確的系統，這反過來可能會影響大量的下游系統，突然之間就會出現全面的災難。

企業如何改善電子郵件安全性？

可以採用許多不同的策略來幫助防範網絡釣魚，在某些方面我們已經涵蓋了每一種策略。爲了提高企業內的安全性，大規模部署SSL證書，設置SPF和DKIM以及使用DMARC都將有助於企業的電子郵件系統的運行狀況。它們還有助於確保您的更多電子郵件也可以在組織外部交付。

還需要特別注意設置正確的電子郵件過濾器和規則。這可以防止很多這些電子郵件到達員工的收件箱。然後，如果所有其他方法都失敗了，只要IT部門中有人知道如何分析電子郵件標題，就可以根據具體情況評估特別可疑的電子郵件。

以下是該研究提出的建議： 有許多策略可以防止或最大限度地減少網絡釣魚攻擊的後果。一種策略是防止首先接收或讀取網絡釣魚電子郵件（例如，使用技術根據可疑網絡釣魚或修改電子郵件的模式過濾電子郵件以指示它們來自外部發件人）。第二種策略是通過要求多因素身份驗證（例如，必須輸入以登錄的智能手機應用程序生成的唯一代碼）或要求特定系統的特殊訪問控制來最小化用戶名和密碼的值，以便憑證更少即使獲得它們也很有用。第三個策略是培養員工的意識和培訓，調查結果也表明，將網絡釣魚模擬活動作爲員工意識或培訓的一部分可能會有所幫助。