医疗行业的安全问题和电子邮件安全性

一项新研究揭示了医疗行业对网络钓鱼的敏感程度，该研究由一组医生进行并在JAMA网络公开赛上发布，研究了六家主要医疗机构的电子邮件安全实践，发现每七封网络钓鱼邮件中就有一封最终被医院员工打开。 这通常与医疗保健行业的传统观念相吻合：它的总体安全态势很差。因此，今天我们将讨论这项新研究，医疗行业的安全问题和电子邮件安全性。

这些点击率代表了医院的主要网络安全风险

美国医疗保健机构的员工是否容易受到网络钓鱼攻击？ 原来答案是肯定的。

美国医疗保健组织的网络钓鱼模拟中的当前点击率表明存在重大的网络安全风险。这些点击率突出了网络钓鱼电子邮件作为攻击媒介的重要性，以及保护信息系统的挑战。

研究人员从2011年至2018年开始轰炸六家不同的美国医院，其中有近300万（95个不同的活动共计2,971,945）模拟网络钓鱼电子邮件，并记录了组织的点击率。各种活动和机构的整体中位点击率为16.7％。

为了更好地解释数据，研究人员将各种模拟网络钓鱼活动分为三类：

Office相关

个人

IT相关

虽然这些细节相当不透明，但该研究确实提供了每个类别的主题行的几个例子。

从类别的点击率开始：

Office相关和IT相关的网络钓鱼似乎会有相当多的重叠，但显然当涉及到与技术相关的问题时，医疗保健行业会特别敏感。这使得很多因为有多少设备，其中越来越多的物联网对于运转良好的医院至关重要。

网络钓鱼模拟确实可行

该研究的重点是，至少在医疗保健方面，这些网络钓鱼模拟测试真的有帮助。在这项为期八年的研究中，通过几个不同的指标，有确凿的证据表明网络钓鱼模拟有助于降低点击率。 我们发现点击网络钓鱼电子邮件的可能性随着更多的机构经验而降低，我们假设这可能是由于运行网络钓鱼模拟活动对员工教育和意识的好处。

然后，在结论中强调： 重复的广告系列与提高的点击率相关联，这表明模拟的网上诱骗广告系列是降低风险的主动方法的重要组成部分。让我们来看看该研究运行的八年内未经调整的总点击率：

最大的下降发生在2016年和2017年之间，当网络钓鱼模拟真正开始进入他们自己的时候。在研究开始时，由于缺乏医疗保健机构，“信息安全系统组织已经足够成熟，可以进行网络钓鱼模拟，因此他们有点陷入困境”。 更有说服力的证据是，随着员工接受更多培训，点击率降低。在网络安全方面，教育是最好的防线之一。以下是员工在越来越多的网络钓鱼模拟过程中的表现：

为什么医疗保健行业如此重要？

在网络安全方面，医疗保健行业在历史上落后于其他行业。尽管有严格的行业合规标准，如HIPAA。其原因是多方面的。 对于初学者来说，医疗机构有大量的表面覆盖。医疗设备，其中许多现在都在线，是额外的攻击媒介，并且鉴于它们的功能和相互依赖性，它们的安全性甚至更加复杂。然后，需要保护并且有时转移敏感的医疗记录，这增加了另一种复杂程度。这些记录很有价值。

医疗保健系统也特别容易受到网络钓鱼攻击。医院的员工流动率很高，并且新员工（例如，受训人员）不断涌入，他们可能没有先前的网络安全培训，这会产生持续不断的新易感员工。医院系统由于显着的终点复杂性而易受攻击，这一术语用于描述可能在攻击中成为攻击目标的大量IT设备。 请记住，91％的网络攻击始于电子邮件。每101封电子邮件中就有1封是恶意的。而所有需要的是感染或瞄准正确的系统，这反过来可能会影响大量的下游系统，突然之间就会出现全面的灾难。

企业如何改善电子邮件安全性？

可以采用许多不同的策略来帮助防范网络钓鱼，在某些方面我们已经涵盖了每一种策略。为了提高企业内的安全性，大规模部署SSL证书，设置SPF和DKIM以及使用DMARC都将有助于企业的电子邮件系统的运行状况。它们还有助于确保您的更多电子邮件也可以在组织外部交付。

还需要特别注意设置正确的电子邮件过滤器和规则。这可以防止很多这些电子邮件到达员工的收件箱。然后，如果所有其他方法都失败了，只要IT部门中有人知道如何分析电子邮件标题，就可以根据具体情况评估特别可疑的电子邮件。

以下是该研究提出的建议： 有许多策略可以防止或最大限度地减少网络钓鱼攻击的后果。一种策略是防止首先接收或读取网络钓鱼电子邮件（例如，使用技术根据可疑网络钓鱼或修改电子邮件的模式过滤电子邮件以指示它们来自外部发件人）。第二种策略是通过要求多因素身份验证（例如，必须输入以登录的智能手机应用程序生成的唯一代码）或要求特定系统的特殊访问控制来最小化用户名和密码的值，以便凭证更少即使获得它们也很有用。第三个策略是培养员工的意识和培训，调查结果也表明，将网络钓鱼模拟活动作为员工意识或培训的一部分可能会有所帮助。