网络钓鱼依然是当今企业面临的头号网络安全威胁,从凭证泄露到恶意软件投放,超过八成的网络攻击都将网络钓鱼作为初始攻击媒介。根据APWG最新发布的网络钓鱼活动趋势报告,2022年第一季度共检测到1,025,968次网络钓鱼攻击,创下季度历史新高。2022年3月发生了384,291次攻击,创下月度攻击次数的纪录。
根据OpSec Security最新发布的报告,2022年第一季度网络钓鱼攻击显著增加,其中针对包括银行在内的金融机构的网络钓鱼攻击最多,占所有网络钓鱼的23.6%。针对网络邮件和软件即服务(SaaS)提供商的攻击仍然猖獗。
近日,CSOonline整理了国外众多网络安全人士对网络钓鱼防御的九大关键措施建议,内容涵盖工具、政策和最佳实践,可以帮助企业和个人提高网络钓鱼攻击的“免疫力”,具体内容如下:
1
不要对情绪触发做出应激反应
网络钓鱼会运用各种社会工程技巧,最常见的就是利用人员的情绪冲动和应激反应。网络数据科学公司Cybeta的首席顾问Armond Caglar表示,用户必须了解网络钓鱼电子邮件背后的心理游戏规则,才能真正抵制它们。
“最常见和最成功的网络钓鱼电子邮件通常会精心设计诱饵,其中包含鼓励用户快速行动的心理触发器,通常是出于对错过的恐惧,”他解释道。“这可能包括冒充快递公司的电子邮件,谎称包裹投递失败、无人认领;或人力资源部门对各种公司政策的重要更改。其他诱饵可能包括利用社会热点事件鼓励用户出于道德感、贪婪或无知采取行动的触发器。”
Caglar补充说,“在如何识别和避免被网络钓鱼诈骗方面,用户必须问自己,‘我是否被迫迅速采取行动?’或‘我被操纵了吗?’”
用户需要对触发焦虑的电子邮件保持高度警惕和冷静,不要急于采取行动。如果一封电子邮件看起来很奇怪,并且它正在促使你做某事(或增加你的血压),那么它很可能是一封网络钓鱼电子邮件,而IT同事或专业人员可以快速为您检查该电子邮件。
2
制定高管紧急请求的处置政策和程序
网络钓鱼者经常会伪造高级管理层的“紧急请求”邮件或语音通话来诱使员工忙中出错,未经核实就转账资金或泄露账号密码。Cloudways工程副总裁Paul Haverstock表示,为了解决这个问题,企业应该制定明确的应急程序。“当员工认为他们收到了雇主的紧急要求时,他们会感受到立即采取行动的巨大压力,”他解释道:“企业需要明确说明为什么以及何时会向员工发出紧急请求,以及如何验证请求的合法性。企业还需要强调他们永远不会提出哪些请求,例如不使用标准支付流程立即进行银行转账付款。”
网络安全培训专家Scott Lieberman指出:“如果你收到主管发来的电子邮件,要求你输入公司网站后端的密码,请不要急于操作,先使用企业内部协作工具或者拿起电话给你的主管打电话询问一下。”
“企业可以采取的一项重要预防措施是制定有关共享敏感数据的基本政策,”One Identity全球IAM战略副总裁Larry Chinski补充道:“这可以像确保只有一小部分员工被告知财务信息和登录凭据一样简单,这可以最大限度地减少人为错误的机会。您可以通过为高度敏感的数据创建层次分析流程来确保更高的安全性请求。这意味着更长的批准时间,可对可疑请求进行更深入的审查。”
全球独立安全和隐私合规评估机构Schellman的安全倡导者和新兴网络趋势分析师Jacob Ansari表示,企业在日常工作流程中需要注意不要让内部通信看起来像是网络钓鱼。例如,与其在电子邮件中发送链接供员工点击,不如指示登录公司内部网。公司领导层应停止通过电子邮件附件发送Office文档,而是将文档放在适当的文件存储库中并将其传达给员工。链接和附件是网络钓鱼攻击的主要工具,最大限度地减少其合法使用增加暴露网络钓鱼攻击的机会。
3
培训和测试员工发现网络钓鱼电子邮件的能力
许多(如果不是大多数)员工自以为能够发现网络钓鱼电子邮件,他们可能过于自信了。CyZen的高级网络安全顾问Michael Schenck说:我们都听说过如何鉴别钓鱼邮件的基本特征,例如不按姓名称呼您或在电子邮件正文中出现的语法错误。不幸的是,越来越多的黑客开始通过自然语言AI机器人来改进邮件内容,使其更加难以识破。
企业需要持续对员工培训和测试,让员工安全意识保持在最前沿,最好聘请第三方测试公司定制网络钓鱼攻击。HelpSystems的Digital Defense产品管理副总裁Mieng Lim建议:“定制攻击通常会使用各种工具,并且可以以‘低速且缓慢’的方式进行,尽可能隐蔽,这样才能测试出员工抵御网络钓鱼的真正能力。”
培训还应针对特定的受众量身定制。Expel安全运营副总裁Jonathan Hencinski说:“安全团队可以针对最有可能面对的网络钓鱼活动对特定业务部门进行培训。”“例如,开发人员可能会看到以云计算厂商为主题的活动,而招聘人员可能会看到以简历为主题的网络钓鱼诱饵。”
4
鼓励用户举报钓鱼邮件
企业还可以考虑设置一个钓鱼邮件举报的奖励系统,游戏化可以让每个员工都保持警觉,同时让事情变得有趣。它还可以保持对话的进行,对用户和IT部门来说是个双赢的选择。
Carvalho建议为潜在的网络钓鱼创建一个内部报告系统。如果IT安全团队核实电子邮件是网络钓鱼邮件,就将发现者放入一个奖池中,每月抽奖1000美元。“企业很快就会拥有一支积极主动的员工安保队伍,”他说。“通过将网络钓鱼防御机制从恐惧驱动转变为赏金驱动,企业每年支出1.2万美元的成本就能降低数百万美元的风险——这只是企业网络风险缓解预算的一小部分,性价比非常高。”
就动机而言,胡萝卜比大棒更有效。“永远不要排斥或惩罚成为猎物的用户,”Nuspire网络威胁分析师Josh Smith强调:“大棒只会让网络钓鱼受害者受到二次伤害。”
Netacea首席安全研究员Cyril Noel-Tagoe表示,如果您希望人们举报电子邮件,那么您应该让事情变得简单。“繁琐的报告流程(例如,将可疑电子邮件的副本附加到新电子邮件并将其发送给IT)——应该被用户友好的替代方案代替,例如集成到电子邮件客户端中的报告按钮,”他说。“这将有助于促进一种规范地报告可疑电子邮件的文化。”
5
监控暗网
“监控暗网应该是任何企业在网络钓鱼电子邮件到达员工收件箱之前的核心防御策略,因为许多网络钓鱼操作都是从在暗网市场或论坛上泄露或出售的公司凭据开始的,”Searchlight Security首席技术官Gareth博士指出:“持续监控暗网中的公司名称和公司电子邮件地址可以在犯罪分子侦察阶段及时发现企业是否即将成为网络钓鱼活动的目标。”
最难防范的网络钓鱼是那些从被入侵的合法企业电子邮件地址发出的邮件,因此企业需要通过暗网监控及时发现邮件账户密码是否已经泄露,并要求受影响的个人立即更新密码。
6
了解哪些类型的信息会让你成为目标
当然,每个人都应该意识到潜在的网络钓鱼危险,但新员工尤其需要保持警惕,Schellman的Ansari说:“网络钓鱼者在LinkedIn或类似的职业社交网站上寻找新入职人员,然后通过邮件或短信来发动针对性攻击,因为新人是最脆弱的。安全团队需要注意警告新员工注意防范这些潜在的攻击。”
另一个需要时刻保持警惕的群体是高级管理层。“最近出现了针对高价值个人的捕鲸攻击,”安全测试公司Lumu的创始人兼首席执行官Ricardo Villadiego说:“企业需要为高级领导者制定专门的数据隐私政策和预案。企业应鼓励高管和高级员工在社交媒体上减少隐私暴露,并确保尽可能从公共档案中清除或减少个人信息。”
7
使用正确的工具和技术来防止网络钓鱼
完全杜绝员工收到网络钓鱼电子邮件是不可能完成的任务,托管IT服务提供商Intrust IT的业务增长主管Dave Hatter认为,企业至少可以减少钓鱼邮件数量:使用一个好的电子邮件预过滤解决方案,该解决方案能够在在垃圾邮件到达邮件服务器之前进行拦截。对于使用Microsoft 365的用户,建议使用Microsoft 365高级威胁防护来提供额外的过滤。
实施多因素身份验证(MFA)能够有效降低员工账户密码被钓鱼的可能。Netskope威胁研究总监Ray Canzanese建议同时使用其他工具来扩展这种保护:"单点登录(SSO)意味着您只需在一个地方启用MFA,通行所有服务。而安全Web网关(SWG)可以使用威胁情报、签名、启发式的组合来阻止网络钓鱼页面;机器学习则可用来来实时识别和阻止网络钓鱼页面。您可以配置SWG以防止用户将凭据提交到未知位置。如果您使用的是SSO,则该SSO门户可能是您的用户应该输入其凭据的唯一地方,因此您应该配置一个策略,以防止在其他地方输入凭据。”
密码管理器也很有用。它不仅会阻止您的员工重复使用密码,而且还能用于识别虚假的网络钓鱼页面,因为密码管理器不会在钓鱼页面上自动填充凭据。
网络安全公司OPSWAT的创始人兼首席执行官Benny Czarny表示,还存在一些工具可以在电子邮件到达用户收件箱之前对其进行彻底清理,并且应该使用这些工具。“使用多重扫描技术扫描和分析下载到组织网络的所有文件,”他建议道:“没有一个防病毒引擎可以始终100%检测所有威胁。通过使用多个防病毒引擎扫描电子邮件,企业可以增加快速检测和缓解新威胁的机会。对于未知文件,沙盒动态扫描可以检测恶意行为内容拆解和重建解决方案,也称为数据清理,将分解并完全重建具有潜在危险的文件,在此过程中剥离不安全的对象,同时保持可用性。”
如果您想从根本上消灭网络钓鱼电子邮件,也不是完全没有办法。Analyst1的首席安全策略师Jon DiMaggio给出了一个可能不受欢迎的建议:“只允许纯文本电子邮件,并限制附件类型。纯文本电子邮件杜绝了用户点击恶意链接或运行脚本的可能,网络钓鱼攻击中常用的很多策略都会失效。”
8
使合法电子邮件更容易识别
防御网络钓鱼的另一个关键措施就是让合法邮件看上去更加合法。如果您拥有使员工更容易识别网络钓鱼邮件的政策和工具,那么您就已经处于领先地位。“将未从公司域名发送的电子邮件标记为‘外部’,”ESET首席安全传播者Tony Anscombe说道:“这是对用户提高警惕的视觉警告,对企业IT团队来说是事半功倍的做法。”当电子邮件来自临时注册的类似域名并且乍一看可能像内部消息时,这一方法尤其有用。
当然,如果员工认识的人的真实地址出现在“发件人:”字段中,员工就很难嗅出虚假电子邮件,聪明的黑客还可以通过电子邮件欺骗来实现这一点,Sentrium's King说。“确保您的域名系统(DNS)记录设置正确,以防止欺骗。”他敦促道。
托管安全服务提供商CYREBRO的网络威胁响应主管Kfir Azoulay建议使用其他与DNS相关的工具。企业IT部门应实施DNS身份验证服务,例如基于域的消息身份验证、报告和一致性(DMARC)、域密钥识别邮件(DKIM)和发件人策略框架(SPF)协议,以确定电子邮件是否来自特定域名。
另一种嗅探恶意电子邮件的解决方案是“将企业的邮件系统与情报源集成,以创建黑名单并防止接收来自恶意来源的电子邮件,”Azoulay说:“然后可以追溯电子邮件以查看其服务器之间的跃点。当恶意IP与黑名单上的IP匹配时,该电子邮件应被视为无效。”
9
制定网络钓鱼事件的响应预案
当员工成为网络钓鱼的受害者时,IT部门埋怨员工是没有用的,但Wolf&Company,PC的IT保障和咨询团队经理Sean D. Goodwin强调:IT部门最终必须承担保护公司的责任,最终用户毕竟不是安全专家,不能期望过高。
即使您遵循了网络钓鱼防御的最佳实践和建议,也不能完全避免网络钓鱼攻击的发生,IT和安全团队需要为攻击发生后的响应制订预案。LogRhythm的高级威胁研究工程师Sally Vincent指出:“安全团队必须制定计划来应对遭受网络钓鱼攻击的用户,并对网络钓鱼事件的响应进行桌面演练。”
