防范网络钓鱼
89% 的恶意邮件会规避电子邮件安全措施
当今的现实是由数字交互主导并且依赖于数字交互。首当其冲的 IT 和安全风险是网络钓鱼攻击,每 10 次网络攻击中有 9 次的初始攻击手段是网络钓鱼。仅在过去一年,网络钓鱼攻击者冒充 1000 多个不同企业,发起了近 4000 万次身份欺骗威胁和超过 10 亿次品牌假冒尝试,给全球企业造成了超过 500 亿美元的损失。网络钓鱼屡试不爽,就是这样。威胁行为者永远不会停止利用各种方法,从而成功利用漏洞发起攻击。
为什么?这些攻击的主要目标是人,大家都喜欢听好消息。事实上,有人认为,所有人性皆因故事驱动。为了让攻击得逞,网络攻击者只有一种策略,那就是保持真实。视觉真实与品牌假冒网络钓鱼最直接相关,而企业真实则与商业电子邮件泄露 (BEC) 网络钓鱼最紧密相关。
首要目标是达到真实,例如,针对众所周知的品牌发起攻击,让人们越来越难以分辨真假。举例来看:电子邮件攻击者最常 (51.7%) 假冒 20 个全球知名品牌之一。这些品牌在企业中很受欢迎且互动频繁,其中 Microsoft 排名第一,Google、Amazon、Facebook 和世界卫生组织等其他企业/机构也榜上有名。
威胁行为者还会利用并抓住与品牌相关的大型全球事件或趋势来获利。例如,在举办世界杯期间,会出现利用世界杯相关资产的宣传活动。每当召开 G20 峰会时,会出现利用与 G20 相关资产的宣传活动。在新冠疫情期间,曾出现了大量利用疫情相关趋势的攻击。从某种程度上来说,威胁行为者的行为高度可预测,实体事件会延伸到网络空间。这最终凸显了网络钓鱼与任何其他类型的攻击一样,都会利用最薄弱的环节,在这些情况下,是指人类与生俱来的信任倾向。
当威胁行为者伪装成合法的威胁行为者时,可以轻松实现其第二个主要目标,也就是诱骗受害者单击链接或下载有害文件。想要与自认为认识的人发送的链接或文件及时互动,这是一种自然的本能反应。今年早些时候,威胁行为者利用硅谷银行 (Silicon Valley Bank) 破产倒闭引发的混乱欺骗该银行的客户。在一次大规模网络钓鱼活动中,威胁行为者冒充 SVB 发送了以 DocuSign 为主题的“链接”,用户单击这些链接之后,访问一个复杂的、由攻击者控制的重定向链。
抵御网络钓鱼攻击风险的代价空前高昂。虽然这个问题似乎无法克服,但任何企业都可以采取三项关键措施来增强安全态势:
1. 部署现代防护工具
一封欺诈性电子邮件足以让组织遭受重大损害,而标准的电子邮件收件箱安全工具无法抵御这些攻击。2013 年至 2015 年期间,Facebook 和 Google 成为欺诈性发票骗局的受害者,损失了 1 亿美元。在这起骗局中,威胁行为者通过复制两大科技巨头的供应商,发送了一系列价值数百万美元的发票。2016 年,奥地利飞机零件制造商 FACC 损失了 4700 万美元,在这起网络钓鱼事件中,该公司一名员工误以为转账请求来自首席执行官,于是转入了资金。
威胁行为者经常使用热门提供商(例如,Microsoft 和 Google)的服务来发起攻击,这让他们能够规避常见的身份验证检查。如今的电子邮件安全细则,要求在邮件到达收件箱之前、期间和之后设置多重保护措施。虽然 SPF、DKIM 和 DMARC 身份验证标准是至关重要的保护,但仅凭这些标准无法提供针对网络钓鱼攻击的全面防护。这些标准并非旨在检测是否存在危险的电子邮件和/或典型的网络钓鱼攻击,事实证明,89% 的垃圾邮件均可通过这些工具清除。
对抗和应对现代网络钓鱼手段的关键策略是树立一种假定数据泄露的思维方式:从不信任,始终验证。企业必须为每一封电子邮件实施 Zero Trust 安全模型。实施防网络钓鱼的多因素身份验证、通过多种反钓鱼措施来增强云电子邮件,以及为员工配备安全的工具,这些都是实现目标的关键步骤。
2. 直面问题
当流程和工具失效时,人们自然会投入更多资源来解决问题,包括增加人员、时间和金钱。但这种做法是错误的,因为被动应对意味着为时已晚。以垃圾邮件过滤为例,虽然这曾经是电子邮件安全的主要关注点,但如今却只是主动抵御网络钓鱼攻击所需措施的冰山一角。
虽然在某些情况下将网络钓鱼威胁划分为不同的类别可能有效,但当从整体角度审视网络钓鱼并解决问题时,这种分类方法并不奏效。许多行业网络钓鱼报告将网络钓鱼威胁划分得非常精细,仿佛要理清并解决 100 个不同的问题,但以 100 种不同的方式讨论同一类威胁,这种过于碎片化的方法可能会让人难以找到解决方案。非常有必要采用全面的方法,而且攻击数量的不断增加证明了数据拼接无法带来解决方案。鉴于 90% 的安全决策者均认为,网络钓鱼威胁的类型和范围正在不断扩大,很显然,我们需要采用一套精简、全面的战略来保护数字环境。
3. 将情报转化为战术成功
网络安全领域充斥着各种声称能够增强安全性的解决方案,然而,很少有解决方案能够有效解决日益严重的网络钓鱼问题,这类问题任何企业都无法幸免。仅 2022 年,Cloudflare 检测到超过 140 万次 BEC 威胁,数量是 2021 年的两倍,其中 71% 的企业遭遇过企图或实际的商业电子邮件泄露攻击。
这些数据表明,网络钓鱼已渗透到各行各业,只需一键单击链接,就能有效瓦解传统的安全投资。与下载文件相比,用户更容易单击链接,因为他们认为链接是一种更加真实的通信方式。威胁行为者反复利用这一人性的弱点,导致恶意链接成为最常见的威胁类别,占所有检测到的威胁的 35.6%。这些链接和文件可能导致凭据收集、远程代码执行(让攻击者借此安装恶意软件或勒索软件)、窃取数据或采取其他行动,最终仅通过控制一个工作站即可全面入侵网络。
随着网络钓鱼攻击的持续激增,企业领导者必须利用数据点来制定解决方案。这将确保合理分配资源,从而主动防御因网络钓鱼攻击得逞而导致的数据泄露。数据清楚地表明,网�络钓鱼对于各种规模的企业来说都是难以应对的问题,但关于如何运用各种资源来防范网络钓鱼攻击造成不可逆的损害,已经有一些明确的答案。
并非一片黯淡前景:采用现代策略,抵御网络钓鱼攻击
数字生态系统持续演变,若要领先一步防范网络钓鱼攻击,必须采用直接、主动的方法。企业可以使用 Zero Trust 安全模型保护电子邮件,这样任何用户或设备都无法完全、受信任地访问电子邮件或其他网络资源。企业可以将多种反网络钓鱼控制措施集成到云电子邮件安全中,以解决遭受攻击的高风险区域,并实施防范网络钓鱼的 MFA 安全工具。
解决技术栈与自身企业文化建设一样重要:大型企业中的团队都有各自的首选工具,因此,通过提高员工当前使用工具的安全性来满足其需求,将有助于防范潜在的网络钓鱼攻击。鼓励以“发现问题,立即报告”的免责、透明方式报告可疑活动是关键,因为从报告可疑活动到采取行动,这期间的每分每秒都至关重要。
通过实施现代技术解决方案、直面问题,以及利用数据驱动型解决方案,企业可以摆脱权宜之计,全面保护自身及其数据免受网络钓鱼攻击。此类解决方案需要采取跨职能方法,将技术措施与企业安全意识相结合来构建强大的防御体系,抵御潜在的网络钓鱼威胁。
本文来自有关影响当今技术决策者的最新趋势和主题的系列文章。
深入探讨这个话题
如需进一步了解最新的网络钓鱼趋势,请获取最新的《网络钓鱼威胁报告》!
作者
Oren Falkowitz — @orenfalkowitz
Cloudflare 安全官
关键要点
阅读本文后,您将能够了解:
每 10 次网络攻击中有 9 次的初始攻击手段是网络钓鱼
89% 的有害邮件绕过了 SPF、DKIM 和 DMARC
加强企业安全态势的三个关键举措