艾体宝干货 | 从33.1%到4.1%：KnowBe4如何通过培训将钓鱼易中率降低86%？

网络钓鱼攻击正以前所未有的速度演化。AI 武装下的钓鱼攻击正在让传统防御失效，人为漏洞成为核心症结，企业面临的挑战不仅是技术问题，更是员工行为和安全文化问题。

KnowBe4 发布的《 2025 年网络钓鱼行业基准报告》显示，通过 KnowBe4 的持续安全培训与模拟钓鱼， 企业钓鱼易中率从33.1%下降至4.1%，极大提高员工安全意识，将“人”打造成企业最强“防火墙”。

数据概览

“全球三分之一的员工仍在点击钓鱼链接”

作为全球最大安全意识培训平台，KnowBe4 长期跟踪钓鱼趋势，通过 1451 万用户、62,460 家组织和 6770 万次模拟钓鱼测试 的数据生成《2025 年网络钓鱼行业基准报告》，为企业提供最权威的钓鱼易中率（Phish-Prone Percentage, PPP）和风险洞察。

报告显示，全球平均首测失败率仍高达 33.1%。面对AI武装的钓鱼攻击，传统技术防线频频失守。安全问题的薄弱环节在于“人”，破局之道同样在于“人”。

一、严峻挑战：AI 武装下的钓鱼攻击

正在让传统防御失效

钓鱼邮件包括假冒内部邮件、伪装为重要通知或财务审批等类型，随着 AI 的加入，钓鱼软件更加逼真、更难检测。此外，商业电子邮件泄露（BEC）、数字化转型等问题，进一步增加了企业面临的钓鱼风险。

KnowBe4 最新网络钓鱼威胁趋势报告指出，网络钓鱼攻击的规模和复杂程度持续增加，部分传统防御机制在未来2年内可能失效。

• 数量激增：网络钓鱼邮件总量增长17.3%。
• 速度极快：员工从收到邮件到点击恶意链接，平均仅需 21 秒。
• 穿透力强：绕过 Microsoft 原生防御和安全邮箱网关 (SEG) 的攻击增长 47%。
• AI 武装：在最近六个月，82.6% 的钓鱼邮件使用了 AI 技术。

二、核心洞察：触目惊心的首测失败率

基于首轮模拟钓鱼测试，全行业的网络钓鱼易中率 （PPP） 基线为 33.1%，这意味着，未经任何安全意识培训（SAT）之前，每3名员工中就有1名可能受到网络钓鱼和社会工程攻击。其中，医疗、保险、零售等高风险行业和大规模企业的首测失败率远远高于平均值，员工安全意识亟待提高。

高危行业凸显：信息敏感与交互密集行业风险最高

• 医疗与制药：41.9%
• 保险：39.2%
• 零售与批发：36.5%

企业规模效应：组织越大，集体安全意识提升越难

• 超大型企业（员工数＞10,000名）：40.5％
• 大型企业（员工数1,000-9,999名）：33.7%
• 中型企业（员工数250-999名）：28.7%
• 小型企业（员工数＜250名）：24.6%

三、破局之道：持续培训+AI 反制，

KnowBe4 打造坚不可摧的“人防火墙”

通过持续的模拟钓鱼培训，KnowBe4 发现钓鱼风险不仅可以显著降低，还能长期维持在低位。以亚太地区为例，KnowBe4 《2025 年网络钓鱼行业基准报告》指出，亚太地区首测失败率高达28.6%，然而经过1年的培训后下降至5.4%，钓鱼邮件的点击率降低了81.8%。

培训效果在全球范围内也得到了证实：12个月的安全意识培训后，各行业的平均PPP下降86%至4.1%。可喜的是，这种下降趋势还将长期持续——持续培训2年后，平均PPP下降至3.7%，三年后下降至3.6%。各行各业都出现了这种下降趋势（联系我们获取完整报告）。

企业培训效果

超大型企业（10,000+人）

• 基线 PPP（首测失败率）：

40.5%

• 平均改进率（SAT 一年后）：

87%

• 高风险行业（基线 PPP≥30%）：

医疗与制药（53.6%）、保险（53%）、非盈利（49.2%）、零售与批发（47%）

• SAT 一年后高风险行业 PPP：

医疗与制药（5.3%）、保险（7%）、非盈利（6%）、零售与批发（4.7%）

大型企业（1,000-10,000人）

• 基线 PPP（首测失败率）：

33.7%

• 平均改进率（SAT 一年后）：

87%

• 高风险行业（基线 PPP≥30%）：

医疗与制药（41.1%）、银行（39.5%）、金融服务（38.4%）、能源与公用事业（37.2%）

• SAT 一年后高风险行业 PPP：

医疗与制药（3.7%）、银行（4.1%）、金融服务（4.8%）、能源与公用事业（3.9%）

中型企业（250-999人）

• 基线 PPP（首测失败率）：

28.7%

• 平均改进率（SAT 一年后）：

86%

• 高风险行业（基线 PPP≥30%）：

非营利（31.7%）、保险（31.6%）、医疗与制药（31.4%）、建筑（31.5%）

• SAT 一年后高风险行业 PPP：

非营利（4.5%）、保险（5.1%）、医疗与制药（4.5%）、建筑（3.5%）

小型企业（1-249人）

• 基线 PPP（首测失败率）：

24.6%

• 平均改进率（SAT 一年后）：

85%

• 高风险行业（基线 PPP≥30%）：

非营利（27.5%）、医疗与制药（26.9%）、教育（26.6%）、零售与批发（26.5%）

• SAT 一年后高风险行业 PPP：

非营利（4.3%）、医疗与制药（4.5%）、教育（3.5%）、零售与批发（3.9%）

数据说明

大型企业培训资源丰富，改进幅度显著；中小型企业则需要依靠工具和自动化模板来弥补培训覆盖不足。

• 基线 PPP 越高，表示首测（未经培训）时点击钓鱼链接的风险越大

平均改进率为持续 12 个月培训后的整体效果

高风险行业指基线PPP较高的行业，小型企业以25%为准

KnowBe4 解决方案的价值体现

01 持续培训与模拟钓鱼

• 通过持续 12 个月的培训，全球 PPP 从 33% 降至 6%
• 亚太地区 PPP 从 28.6% 降至 5.2%
• 大幅度降低员工点击恶意链接的风险，提高整体安全防护水平

02 多语言与自动化模板更新

• 支持跨境团队多语言培训，覆盖多种表达形式与安全场景
• 自动生成最新钓鱼场景模板，快速覆盖新兴攻击手法

03 AI 场景生成

• 生成更逼真、更具针对性的钓鱼模拟
• 提升员工识别能力，使培训与现实攻击高度匹配

四、KnowBe4 使“最大风险”变成“最强防线”

降低网络钓鱼风险不仅是技术问题，更是有效的人力风险管理 (HRM) 的核心。KnowBe4 总结出高首测失败率背后的4大“人为漏洞”：

1 员工安全意识参差不齐

很多员工未经过系统化培训，面对网络钓鱼和社会工程攻击手法缺乏警惕性。

2 培训周期与覆盖率不足

新入职员工和跨境团队容易被遗漏，安全意识培训无法形成闭环。

3 高风险行业特点明显

• 制造业：供应链环节复杂，内部流程容易被利用
• 金融业：合规压力大，员工频繁处理敏感信息

4 国内企业的特有挑战

• 信创替代系统下培训适配问题
• 跨境员工和多语言团队培训难度大
• 缺少本地化钓鱼模板和场景案例

然而，正是这些“人为漏洞”，揭示了网络安全投资的最高回报所在。 当您为员工安全意识投资，正是在将企业安全链条中最不可控的一环，转化为一道能够动态进化、自主判断的“人防火墙”。即使在高超的技术攻击面前，这道防线也能凭借警惕性、判断力和规范的处置流程，让攻击功亏一篑。

安全从意识开始，治理从员工行为入手

想进一步了解各行业数据，或申请 KnowBe4 《2025 年网络钓鱼行业基准报告》报告和演示，请联系艾体宝团队。我们将提供本地化技术支持与专业部署建议，助力企业建立坚实的网络安全防线。

KnowBe4

KnowBe4 是世界上最大的安全意识培训和模拟网络钓鱼平台，全球有65000多家组织在使用该平台。艾体宝 KnowBe4 将“人的因素”加入企业安全体系，利用持续的安全意识培训和真实钓鱼模拟，帮助员工建立主动防范意识，降低因人为失误带来的风险，全面提升网络安全水平。