.png)
摘要
网络钓鱼攻击正以前所未有的速度演化。AI 武装下的钓鱼攻击正在让传统防御失效,人为漏洞成为核心症结,企业面临的挑战不仅是技术问题,更是员工行为和安全文化问题。KnowBe4 发布的《2025 年网络钓鱼行业基准报告》显示,通过 KnowBe4 的持续安全培训与模拟钓鱼,企业钓鱼易中率从33.1%下降至4.1%,极大提高员工安全意识,将“人”打造成企业最强“防火墙”。
全球三分之一的员工仍在点击钓鱼链接,您的企业是否也在其中?
作为全球最大安全意识培训平台,KnowBe4 长期跟踪钓鱼趋势,通过 1451 万用户、62,460 家组织和 6770 万次模拟钓鱼测试 的数据生成《2025 年网络钓鱼行业基准报告》,为企业提供最权威的钓鱼易中率(Phish-Prone Percentage, PPP)和风险洞察。
报告显示,全球平均首测失败率仍高达 33.1%。面对AI武装的钓鱼攻击,传统技术防线频频失守。安全问题的薄弱环节在于“人”,破局之道同样在于“人”。
一、严峻挑战:AI武装下的钓鱼攻击正让传统防御失效
钓鱼邮件包括假冒内部邮件、伪装为重要通知或财务审批等类型,随着 AI 的加入,钓鱼软件更加逼真、更难检测。此外,商业电子邮件泄露(BEC)、数字化转型等问题,进一步增加了企业面临的钓鱼风险。
KnowBe4 最新网络钓鱼威胁趋势报告指出,网络钓鱼攻击的规模和复杂程度持续增加,部分传统防御机制在未来2年内可能失效。
🚫数量激增:网络钓鱼邮件总量增长 17.3%。
🚫速度极快:员工从收到邮件到点击恶意链接,平均仅需 21 秒。
🚫穿透力强:绕过 Microsoft 原生防御和安全邮箱网关 (SEG) 的攻击增长 47%。
🚫AI武装:在最近六个月,82.6% 的钓鱼邮件使用了 AI 技术。
二、核心洞察:触目惊心的首测失败率
基于首轮模拟钓鱼测试,全行业的网络钓鱼易中率 (PPP) 基线为 33.1%,这意味着,未经任何安全意识培训(SAT)之前,每3名员工中就有1名可能受到网络钓鱼和社会工程攻击。其中,医疗、保险、零售等高风险行业和大规模企业的首测失败率远远高于平均值,员工安全意识亟待提高。
高危行业凸显:信息敏感与交互密集行业风险最高
- 医疗与制药:41.9%
- 保险:39.2%
- 零售与批发:36.5%
企业规模效应:组织越大,集体安全意识提升越难
- 超大型企业(员工数>10,000名):40.5%
- 大型企业(员工数1,000-9,999名):33.7%
- 中型企业(员工数250-999名):28.7%
- 小型企业(员工数<250名):24.6%
三、破局之道:持续培训+AI 反制,KnowBe4 打造坚不可摧的“人防火墙”
通过持续的模拟钓鱼培训,KnowBe4 发现钓鱼风险不仅可以显著降低,还能长期维持在低位。以亚太地区为例,KnowBe4 《2025 年网络钓鱼行业基准报告》指出,亚太地区首测失败率高达28.6%,然而经过1年的培训后下降至5.4%,钓鱼邮件的点击率降低了81.8%。
培训效果在全球范围内也得到了证实:12个月的安全意识培训后,各行业的平均PPP下降86%至4.1%。可喜的是,这种下降趋势还将长期持续——持续培训2年后,平均PPP下降至3.7%,三年后下降至3.6%。各行各业都出现了这种下降趋势(联系我们获取完整报告)。
企业培训效果
| 企业规模 | 员工人数 | 平均基线 PPP(首测失败率) | 平均改进率(SAT 一年后) | 高风险行业(基线 PPP ≥30%) | SAT一年后高风险行业的PPP |
| 超大型企业 | 10,000+ | 40.50% | 87% | 医疗与制药(53.6%)、保险(53%)、非盈利(49.2%)、零售与批发(47%) | 医疗与制药(5.3%)、保险(7%)、非盈利(6%)、零售与批发(4.7%) |
| 大型企业 | 1,000–10,000 | 33.70% | 87% | 医疗与制药(41.1%)、银行(39.5%)、金融服务(38.4%)、能源与公用事业(37.2%) | 医疗与制药(3.7%)、银行(4.1%)、金融服务(4.8%)、能源与公用事业(3.9%) |
| 中型企业 | 250–999 | 28.70% | 86% | 非营利(31.7%)、保险(31.6%)、医疗与制药(31.4%)、建筑(31.5%) | 非营利(4.5%)、保险(5.1%)、医疗与制药(4.5%)、建筑(3.5%) |
| 小型企业 | 1–249 | 24.60% | 85% | 非营利(27.5%)、医疗与制药(26.9%)、教育(26.6%)、零售与批发(26.5%) | 非营利(4.3%)、医疗与制药(4.5%)、教育(3.5%)、零售与批发(3.9%) |
✅ 表格说明:
- 基线 PPP 越高,表示首测(未经培训)时点击钓鱼链接的风险越大
- 平均改进率为持续 12 个月培训后的整体效果
- 高风险行业指基线PPP较高的行业,小型企业以25%为准
大型企业培训资源丰富,改进幅度显著;中小型企业则需要依靠工具和自动化模板来弥补培训覆盖不足。同时,企业在培训设计中必须优先考虑高风险岗位、跨境团队以及核心系统操作流程,并持续优化培训策略。
KnowBe4 解决方案的价值体现
持续培训与模拟钓鱼
- 通过持续 12 个月的培训,全球 PPP 从 33% 降至 6%
- 亚太地区 PPP 从 28.6% 降至 5.2%
- 大幅度降低员工点击恶意链接的风险,提高整体安全防护水平
多语言与自动化模板更新
- 支持跨境团队多语言培训,覆盖多种表达形式与安全场景
- 自动生成最新钓鱼场景模板,快速覆盖新兴攻击手法
AI 场景生成
- 生成更逼真、更具针对性的钓鱼模拟
- 提升员工识别能力,使培训与现实攻击高度匹配
通过这些措施,企业不仅降低钓鱼攻击风险,还能形成可量化的培训效果评估,建立坚实的“人防火墙”。
四、KnowBe4 使“最大风险”变成“最强防线”
降低网络钓鱼风险不仅是技术问题,更是有效的人力风险管理 (HRM) 的核心。KnowBe4 总结出高首测失败率背后的4大“人为漏洞”:
🛡️员工安全意识参差不齐
很多员工未经过系统化培训,面对社会工程攻击手法缺乏警觉性。
🛡️培训周期与覆盖不足
新入职员工和跨境团队容易被遗漏,培训无法形成闭环。
🛡️高风险行业特点明显
制造业:供应链环节复杂,内部流程容易被利用
金融业:合规压力大,员工频繁处理敏感信息
🛡️中国企业特有挑战
信创替代系统下培训适配问题
跨境员工和多语言团队培训难度大
缺少本地化钓鱼模板和场景案例
然而,正是这些“人为漏洞”,揭示了网络安全投资的最高回报所在。 当您为员工安全意识投资,正是在将企业安全链条中最不可控的一环,转化为一道能够动态进化、自主判断的“人防火墙”。即使在高超的技术攻击面前,这道防线也能凭借警惕性、判断力和规范的处置流程,让攻击功亏一篑。
安全从意识开始,治理从员工行为入手
想进一步了解亚太/全球数据,或申请 KnowBe4 《2025 年网络钓鱼行业基准报告》报告和演示,请联系艾体宝团队。我们将提供本地化技术支持与专业部署建议,助力企业建立坚实的网络安全防线。
