5月25日,国内某互联网厂商员工遭遇“工资补助诈骗”话题冲上热搜。
一份网传聊天记录显示,该互联网厂商员工在5月18日早晨收到一封来自内部的《5月份员工工资补助通知》邮件,根据该邮件提供的操作流程,有部分不明真相的员工按照附件扫码,并填写了银行账号等敏感信息,最终导致工资卡内的余额被划走。
安全419了解到,钓鱼邮件事实上在行业内是一种极为常见的攻击方式,一些网络安全厂商以及互联网大厂内部也会偶尔举行钓鱼邮件演练活动,开展安全意识教育答题活动,以此来提升职能类员工的网络安全意识。
在该互联网厂商案例中,攻击者或许使用了类似社会工程学的手段,窃取了某个高级员工或是财务部员工的账号密码,登录其内部邮件系统后发送了这封带有恶意链接的邮件。对于普通员工来说,在这样级别的攻击面前,似乎是防不胜防的。
那么,突破企业内部的钓鱼邮件该如何应对?解决邮箱安全问题到底难在哪儿?安全厂商针对猖獗的钓鱼邮件攻击,各自都提供什么样的应对思路?安全419邀请到业内三家不同类型的安全厂商,分享各自应对钓鱼邮件攻击的解决方案和建议。
奇安信网神邮件威胁检测系统
实时检测和告警恶意钓鱼邮件
奇安信行业安全研究中心主任裴智勇告诉我们,邮件攻击是针对企业最简单,但也最有效、最具迷惑性的攻击方法。每年被盗的各类邮箱账号数以百万计,这是安全管理疏忽的表现。
据奇安信联合Coremail发布的《2020中国企业邮箱安全性研究报告》显示,2020年,全国企业邮箱用户共收到各类钓鱼邮件约460.9亿封,同比增长达33.9%。与钓鱼邮件数量同时增长的还包括带毒邮件(即邮件附件含有病毒等恶意软件),数据显示,2020年,全国企业级用户共收到约492.1亿封带毒邮件,同比增长了16.0%。
裴智勇表示,要想避免此类事件再次发生,企业要具备对恶意钓鱼邮件实时检测和告警的能力,及时捕获恶意钓鱼行为,拦截邮件系统中的病毒邮件,可有效避免或减少损失。针对大型企事业单位在邮件使用场景中可能遇到的高危安全隐患,奇安信集团研发了“奇安信网神邮件威胁检测系统”,能够为企业定制相应的检测及处置应对解决方案。
奇安信网神邮件威胁检测系统基于邮件行为检测模型、机器学习模型,能精准发现各种类型的钓鱼链接,诸如福利补贴、调查表填写、系统升级、银行通知、账户验证等等。
其次,奇安信网神邮件威胁检测系统集成多种病毒检测引擎,结合威胁情报以及URL信誉库,可以对邮件的链接地址进行静态判定,并对邮件附件进行动态沙箱检测判定,高效识别邮件的恶意链接、恶意附件。此外,奇安信网神邮件威胁检测系统还会通过海量数据建模、多维场景化对邮件内容进行关联分析,实现对未知的高级威胁进行及时侦测。
零零信安外部攻击面管理SaaS平台0.zone
持续向企业输送攻击面情报
零零信安CTO蒋佳良向安全419表示,很多企业在构建自身的安全体系的时候,往往从防御者的角度出发,仅着眼于已知风险的防御,而忽略了攻击者的视角,让自身企业面临巨大的安全风险和隐患。
“攻击者往往擅长以最小的攻击成本获取最大利益的攻击成果。因此,企业的影子资产,暴露在外的IT资产、IP地址,以及泄露在外的代码、企业重要人员的信息等都会成为攻击者觊觎的高价值目标。不法分子如果获取了相关信息,再将其进行关键分析,就有可能发现企业安全的薄弱点,进而策划发起一次类似的钓鱼邮件等类型的攻击活动。”
蒋佳良介绍,零零信安自主研发的外部攻击面管理SaaS平台0.zone,能帮助企业比攻击者更快、更全、更准确地获悉企业外部风险。它通过对全球开放网络和非公开网络中数千个威胁源,数百亿数据进行采集和分析,最终以查询、订阅、数据服务的方式,提供给客户攻击者视角中该企业的各类风险情报。此外0.zone的主要功能亮点包括但不限于,梳理组织的IT资产、服务、应用、业务系统的整个暴露面,并将其与组织架构进行有机结合。将所有信息资产与组织的漏洞情报进行关联,同时帮助企业发现内部人员隐私泄露的具体情况。此外,还能帮助企业发现敏感信息、数字资产、业务数据、产品代码等信息的泄露情况。
丈八网安火天系列靶场
助力企业检测潜在风险 强化员工安全意识
丈八网安CEO兼CTO王珩指出,本次钓鱼邮件攻击一事暴露出两点问题:首先是企业内部安全管理和技术体系建设中部分环节缺失的问题,其次是企业缺少对员工安全意识的培养,员工安全意识普遍比较薄弱。
王珩谈到:“对于此类事件,无论采用何种攻击方式,攻击者都需要通过企业自身业务或人员的脆弱点进行攻击尝试,企业的安全体系建设中,缺少的是贴近企业实际业务、符合企业人员安全素养的攻防演练及应急响应演练环节。通过构建起有效的日常安全演练机制,可以快速的发现业务系统和安全管理的脆弱点,让风险提前暴露出来,并针对可能存在的安全风向及时做好应对措施。
除了业务系统本身的安全问题外,员工安全意识建设也不容忽视,企业员工的网络安全意识问题虽然已经讲了很多年,但事实证明,时至今日员工本身仍然是企业安全中最脆弱的一环,甚至大多数员工都没有见过什么是网络攻击,不了解网络攻击产生的影响对个人和对企业的影响有多大,更谈不上怎么去做好相应的防范措施。所以针对企业员工,让他们在一个模拟仿真环境中体验真实的安全事件,让威胁看得见、摸得到,并学会对威胁能够进行有效处置是最有效的安全意识教育形式。”
据介绍,丈八网安自主研发的“火天网境”系列新一代网络安全靶场产品,能够针对企业内部人员通过训、演、测、弈等多产品维度方式进行攻防技能训练、应急响应流程训练、安全意识培养以及安全应急响应等训练。该产品依托自主可控的高仿真目标环境模拟引擎、全自动化任务裁决、智能化AI对手攻击模拟等业内领先技术,不仅能够对标企业实际业务环境进行高逼真度的仿真,还能对黑客的网络攻击行为进行深度的还原,可以全自动模拟出接近真实的邮件钓鱼、近源渗透、勒索软件等在企业中最容易发生的典型网络攻击事件,帮助企业在仿真环境中中提前暴露自身业务系统的脆弱面,有效的开展应急响应演练、体验式安全常识培训,提升企业员工的安全意识,磨练安全技能,让员工不再成为企业安全防护中最脆弱的一环,从根本上大幅提升企业面对网络安全风险整体的应对能力。