网络钓鱼,是指不法分子通过网站、语音、视频、短信、邮件、WiFi等多种手段,试图引诱受害者输入账户密码、透露机密信息、支付或转账汇款的一种网络攻击方式。看似老生常谈,但时至今日,网络钓鱼的成功依然非常高,尤其让广大的中小企业苦不堪言。并且,随着办公方式和业务形式的灵活,员工接触到钓鱼信息的渠道和环节将更多,加之生成式人工智能工具的应用,也方便了不法分子制作更“精良”的钓鱼脚本。
安全419关注到,Help Net Security在近期组织了一次访谈,邀请Wursta的CISO就中小企业遭遇网络钓鱼的种种疑问提供了解答,安全419基于该专业解答,并结合国内环境,综合整理了中小企业面对网络钓鱼威胁应该如何有效应对,供大家参考。
为什么中小型企业面对网络钓鱼的挑战更大?
不仅是网络钓鱼,中小企业面对各种网络风险的抵抗力更弱,是因为他们拥有的资源难以比肩大企业,更少的经验、更少的专业人员、更少的预算……让一切都变得更棘手。这不仅让中小企业在预防阶段能够架起的“护栏”更低,一旦遭遇攻击,事后收拾残局也变得更加困难。
虽然我们从网络热搜上能看见的几乎都是大厂被钓鱼的新闻,但中小企业面临的攻击频次和实际损失是非常大规模的。例如,一个只为几百个客户提供服务的小公司被钓鱼,可能直接导致最核心机密的数据外泄,这种组织更容易遭受收入损失和客户流失,而大公司的层层关卡可能会延缓并遏制“鱼饵”发挥作用。同样地,如果钓鱼攻击的形式是诱骗相关员工进行转账,大公司的流程机制也可以更有效地感知到钓鱼风险,而小公司可能很快就将资金错误地转移给不法分子了。
除了此类有形损失之外,网络钓鱼也可能对中小企业的声誉造成不可挽回的损失。
线上办公常态化,业务全面上云,网络钓鱼常用的策略有哪些?
钓鱼邮件依然是最常见、最有效的,不法分子可能会冒充知名企业或品牌、办公软件供应商、公共部门等等角色发送一些通知或提醒类的电子邮件,要求重置密码、升级账户、订阅推送、获取福利等。这些邮件通常附有链接,受害者点击链接后,会被诱骗填写登录信息或将恶意软件安装到终端。仿冒的邮件地址和登录的钓鱼页面看起来很专业,与其所冒充对象的品牌外观效果几乎一样,这些邮件内容也往往给人以真实感和紧迫感,促使受害者来不及细想就仓促行动。
另一种鱼叉式网络钓鱼也非常流行,其特征是不法分子不会海量地向外发布钓鱼邮件,他们在钓鱼前会通过社会工程学或其他违法途径收集目标企业及其员工的信息,然后有针对性地向企业内指定的具体对象发送恶意邮件。因此,鱼叉式网络钓鱼的电子邮件往往更加定制化,使用全名、办公电话号码甚至工作职能来欺骗受害者,冒充公司的领导,IT、财务、行政等部门发送与工作或员工福利相关的内容。
例如,国内某互联网大厂全体员工在去年5月收到一封来自“公司财务部”名为《5月份员工工资补助通知》的邮件。根据该邮件提供的操作流程,大量员工按照附件扫码,并填写了银行账号等信息,可最终不但没有等到所谓的补助,工资卡内的余额也被划走。
此外还有语音电话钓鱼,不法分子获取攻击目标的身份信息和联系方式,他们通常会冒充政府部门、银行等合法机构的工作人员,通过播放自动语音消息或直接语音要求受害者采取行动的方式,诱骗受害者泄露敏感信息,而且这些攻击者往往会瞄准时机,在企业内部最忙、员工压力最大的时候拨打电话,受害者在高度的紧迫感下常常仓促行事,受到欺骗。
企业应该实施哪些技术解决方案和控制措施,以显著降低遭受网络钓鱼攻击的风险?
电子邮件类网络钓鱼最明显的伪装纰漏是邮件内容信息在拼写、标点和语法上存在错误,或者是邮箱地址域名不正确。如果企业内部发现收到的邮件内容存在这些可疑之处,就要引起注意,叮嘱员工避免点击任何链接。同时培训员工的反钓鱼意识,发现可疑邮件要及时上报IT或安全部门进行处置。
为了识别并抵御鱼叉式网络钓鱼,企业应该检查组织定向到Google Suite或Dropbox等共享驱动器上的链接是否正确,因为不法分子可能会通过鱼叉式钓鱼攻击将这些链接重定向到恶意网站。
此外,双因素身份验证(2FA)、严格的密码管理政策等手段都是应对网络钓鱼的有效方法,可以看到,不法分子使用网络钓鱼更多是窃取企业员工的访问权限,以便访问企业内网获取更多的敏感数据。因此坚持“最小权限访问”原则是非常有必要的,零信任也成为防御网络钓鱼较为理想的办公安全方案。
谷歌的零信任模型BeyondCorp在应用上具有突出表现,该模型允许单点登录、访问控制策略、访问代理以及基于用户和设备的身份验证和授权,它使组织能够将访问控制从网络边界转移到个人用户,并且能够在几乎任何位置安全地工作,而不再需要传统的VPN。最近,谷歌也宣布了它的无密码登录版本——使用密钥(即指纹和面部ID)代替,密码泄露将不再成问题。
看回国内,市场上已有不少优秀的零信任解决方案。如持安科技,自2015年开始在甲方落地、实施零信任理念,其研发的持安远望办公安全平台基于谷歌BeyondCorp架构逻辑、控制力度,零信任能力已深入应用层,可实现人员-设备-应用-资源-数据的精准对应鉴权,具有基于身份的全链路数据溯源能力,让安全成为业务背后不打扰的守护。
腾讯零信任iOA作为有力支撑了集团内部大规模安全办公需求的方案,在网络钓鱼防护上也有独家心得,分别从对钓鱼攻击的来源路径监测、钓鱼文件形态识别、程序联网零信任审计,实施外连监测和关联分析,确保“看得见”“防得住”的效果,而且其还是拥有“云+管+端+IM+邮件”产品联动的厂商,在防钓鱼攻击方面具有明显优势。
为了将网络钓鱼的风险降至最低,企业如何在员工中营造一种怀疑和谨慎的文化?
人始终是安全最薄弱或最不可控的环节,随着威胁范围不断扩大,在企业内灌输高度警惕的文化被证明是至关重要的。企业应该制定严格且清晰的员工培训和流程,来教育大家如何识别钓鱼攻击,如何避免威胁,如何上报可疑活动。
有些企业担心如果实施模拟网络钓鱼活动,可能会演变成“狼来了”的结局,侵蚀员工对公司的信任,但调研事实证明,反而是执行了安全培训和测试的企业,员工会达到这样一种境界,面对可疑的行为更敏感,同时对自己能有效回避威胁充满了信心。
建议中小企业们重新评估正在使用的内部沟通渠道,例如,尽量将通信保持在一个特定的平台上,在控制措施下可以确保员工接收的都是合法的电子邮件。同样地,一个在职能上很少或从不与CEO、某特定部门沟通协作的员工在收到对应邮件时应该警觉,在采取任何行动之前,员工应该本能地通知上司或IT部门,并考虑从其他渠道或平台联系对方以验证这次沟通是不是真实的。
若企业不慎遭遇网络钓鱼攻击,应该采取哪些步骤来进行彻底的事后分析,并增强其未来的安全态势?
网络钓鱼可能会导致账户权限、敏感数据的泄露,一些企业会选择先暂停业务,同时进行补救再回到正轨。其资金和业务可能都会面临损失,企业业务连续性计划就显得非常有必要。其目的是确保企业拥有强大的备份计划,使他们在遭受攻击时能够迅速回复并继续运营。
理想的业务连续性计划包括定期自动同步所有关键数据,并在计划中融入更多定制的做法。网络安全预算较充足的企业可以实施稍微复杂一些的计划,他们可以在一定的时间内同步电子邮件和文档存储库,包括完整的电子邮件归档。对于资源较少的中小企业,建议采用精简的方法,包括创建账户和分配身份。
另外,业务连续性计划是降低企业网络安全保险费的可靠方法。
除了直接的财务损失,被钓鱼的企业可能会经历哪些间接成本和长期后果,如何主动管理这些影响?
网络钓鱼攻击可以通过多种方式直接影响企业,受害的企业可能会花费比预期更多的时间、精力和金钱来收拾残局,包括:
当IT团队努力让一切恢复安全和平稳运行时,日常运营在持续中断;
企业的知识产权、商业机密被窃取,对战略发展造成影响;
索赔后,企业的网络安全保险费将增加;
声誉受损和失去长期客户信任;
数据泄露可能造成的法律违规和诉讼问题;
对员工士气的长期负面影响,许多领导者没有意识到这一点。
领导人将短期和长期风险置于企业整体的网络安全策略中变得越来越重要。
网络钓鱼攻击会出现哪些新趋势,中小型企业可以采取哪些积极措施来抵御这些不断演变的威胁?
网络钓鱼攻击的媒介越来越多元,视频会议平台、团队办公协作平台、云上文件共享平台等基于 SaaS 的应用让网络钓鱼影响更广泛,也更危险。根据CheckPoint的报告,自2020年以来,使用多阶段SaaS到SaaS网络钓鱼攻击的趋势持续增长。这种方式可以在不接触受害者本地计算机/网络的情况下发动攻击,导致反垃圾邮件网关、沙盒和URL过滤难以检测到威胁。
人工智能技术也是新的威胁,生成式智能AI聊天机器人可以根据剧本自动套取用户的个人信息,受害者甚至不知道他们正在与人工智能互动。不法分子利用人工智能可以快速生成多个脚本,把复杂的攻击过程自动化,还能使用LLM的API生成其他恶意文件。
现实情况是,只要人为因素存在,就没有100%的方法能够完全防止攻击发生。企业领导者应该警惕的第一件事是关注不断出现的新技术和新应用,让员工及时跟上形势,了解最新的手法和潜在威胁。并且要善于从他人的错误中总结经验教训,避免一些已经发生、正在发生、可能发生的失误。
总的来说,为了增强安全态势,企业首先需要主动完成风险评估,提前发现潜在的风险和漏洞,弥补机制和技术上的缺失,积极采取零信任等有效的办公安全方案,将员工安全意识教育列为重要的企业制度,建立起安全的企业文化。在攻击面前,预防永远比补救有效且省钱。