钓鱼攻击仍然是恶意行为者使用的主要攻击手段之一,这些攻击者的目的多种多样,很大程度上是因为钓鱼攻击发起容易,而全面防御却很困难。一些钓鱼攻击的目标是客户,而非员工,另一些则旨在破坏你的企业声誉,而非直接入侵你的系统。保护企业免受钓鱼攻击的关键在于了解你的弱点,评估对企业的潜在风险,并决定哪些工具可以提供最符合你业务需求的保护。
为什么钓鱼攻击如此成功
大多数钓鱼攻击与其说是技术问题,不如说是社会工程问题。令人惊讶的是,当情绪被触发时,人类是多么容易受到操控。许多现代钓鱼邮件通过引发同情或恐惧,甚至通过发出敌意指控来激发愤怒的回应。
钓鱼攻击如此成功和流行的另一个原因是,它可以通过多种方式破坏目标——例如,通过要求员工手动验证邮件内容或让企业IT部门介入,从而影响人类生产力,或通过入侵财务账户或企业系统,最终导致勒索软件攻击。从另一个角度看,钓鱼攻击难以防御,因为错误阻拦合法业务沟通的风险始终存在。
如何保护你的企业免受钓鱼攻击
保护企业、员工和客户免受钓鱼攻击的重要措施之一是尽可能利用行业标准并实施最佳实践。比如,发送方策略框架(SPF)、域密钥识别邮件(DKIM)和基于域的消息认证、报告和一致性(DMARC)等标准,都是为了通过允许接收邮件的服务器认证发件服务器,来打击垃圾邮件的泛滥,换句话说,这些标准的目标是确保声称代表你的域发送邮件的服务器已获得授权,每一项标准都基于DNS,且实施相对简单。
事实上,你可能通过像Google或Microsoft这样的服务提供商获取电子邮件,这些服务已经包含了这些标准的最新实施,这类专业电子邮件服务已经提供了某种程度的钓鱼攻击防护,但它们并不完美,因此为这些服务留下了市场空间。
一种主要的攻击方法是通过低技术手段(如电子邮件回复)窃取信息。像Microsoft 365、Google Workspace等业务生产力服务中提供的内容策略工具,甚至是多个供应商的第三方工具,对于防止这类攻击成功至关重要。内容策略工具帮助自动识别信用卡或银行账户号码、社会安全号码等重要信息,并防止这些信息被发送到组织外部。
大多数企业面临的钓鱼攻击带来的最大风险是系统被攻破,最终导致财务或数据损失(甚至是勒索软件攻击)。因此,主要的防御机制必须是强有力的多因素认证(MFA)和认证标准,如Fast Identity Online v2(FIDO2)或Web Authentication(WebAuthn)。理想情况下,企业应进一步采用MFA,并通过零信任引入无密码认证。现代认证策略如基于风险的认证和安全断言标记语言(SAML)也是防止钓鱼攻击成功导致最坏情况发生的有力工具。每个组件在企业中都有其作用,不仅可以最大程度减少(甚至消除)被攻破密码所造成的损害,还可以建立系统,实时分析认证尝试并对受损的凭证做出反应。
什么是反钓鱼工具?
反钓鱼工具旨在通过多个步骤来降低攻击过程中的风险。最常见的反钓鱼工具是针对防止或保护客户免受设计诱使或强迫他们放弃凭证或甚至发起资金转移的入站电子邮件。在某些情况下,反钓鱼工具可以在恶意电子邮件突破现有防护时,减轻其造成的损害,追踪由初次攻击产生的额外电子邮件流量,并删除这些邮件或对可能受损的用户账户采取维护措施。
其他工具则专注于保护客户免受伪装成你的企业品牌或高管的恶意电子邮件的攻击。同样,这些工具可以采取多种形式:使用如SPF、DKIM和DMARC等标准来验证来自你域名的合法电子邮件,或主动监控社交媒体上的恶意电子邮件或信息,并对发送者采取积极措施。
最后,防止钓鱼攻击的最佳防御措施是让用户群体具备相关知识。为此,采用培训项目来帮助用户有效区分合法和恶意电子邮件,并掌握在收到可疑邮件时应如何反应的最佳实践,可能非常有效。此培训项目甚至可以进一步实施模拟攻击,以测量你对钓鱼攻击的应对能力。
反钓鱼工具的关键功能
现有的电子邮件服务器或服务通常提供基本的保护水平,但你的企业需求可能需要扩展工具集,以提供更强大的(甚至基于AI的)控制和报告功能。基于API的电子邮件平台连接也是一个关键功能,因为传统电子邮件协议日益不安全,容易受到认证攻击的威胁。
如果你正在寻找培训和模拟工具,最好选择能够提供多样化解决方案的工具。在培训方面,这将有助于保持用户的参与度,尤其是当年度必须进行培训或对特权用户或拥有更高财务责任的人员进行更高级的培训时。模拟工具应具备针对较小用户群体(作为样本)的能力,以最大程度减少对业务运营的影响。
顶级反钓鱼工具
多种工具可帮助保护你的企业免受钓鱼攻击带来的威胁。关键在于了解可用的解决方案及其如何帮助保护你的企业,以及你的员工和客户。
1. Avanan
Avanan为云托管电子邮件提供反钓鱼软件,通过API与你的电子邮件提供商连接,使用历史邮件来训练其AI,该服务不仅分析邮件内容、格式和头信息,还评估发件人与收件人之间的现有关系,以建立信任等级,此外,Avanan还能检测到Teams或Slack中的可疑消息,这些都是新兴的攻击向量。
2. Barracuda Email Protection
Barracuda Email Protection是另一款利用邮件提供商API来防御钓鱼攻击和商业邮件泄露(BEC)的工具。Barracuda的产品可以防御各种钓鱼攻击变种,从鱼叉式钓鱼到冒充攻击再到零日钓鱼攻击。由于受损的电子邮件账户往往会导致更多的钓鱼尝试或进一步的基于账户的攻击,Barracuda侧重于将成功钓鱼攻击后的进一步损害最小化,这比仅依赖预防更有价值。Barracuda还通过DMARC分析和报告提供品牌保护和域名欺诈防护。
3. BrandShield
BrandShield专注于保护你的企业品牌及其高管的声誉。通过电子邮件、社交媒体或其他媒介识别利用你的品牌或高管名字进行的钓鱼攻击只是BrandShield产品组合的一个组成部分。BrandShield还监控互联网是否存在使用你品牌的恶意网站,以及如Amazon等市场上可能出现的假冒产品的销售。
4. Cofense PDR
Cofense PDR(钓鱼检测与响应)是一项托管服务,结合了基于AI的工具和安全专家来识别和减轻正在发生的钓鱼攻击。托管服务是一个很好的选择,如果你需要最大限度地提高保护水平,它们可能比雇佣全职团队来处理钓鱼预防更有效,因为托管服务团队能够评估他们保护的所有企业系统中的威胁数据。
5. Outseer FraudAction
Outseer FraudAction(前称RSA FraudAction)提供了许多你期望从重量级选手那里获得的强大功能,该反钓鱼服务是一种托管服务,类似于Cofense提供的服务,Outseer还具备网站关闭、取证分析以及主动可选的对策功能,例如通过植入凭证来战略性地回应钓鱼尝试,从而跟踪攻击链并做出相应反应。
6. IRONSCALES
IRONSCALES是一个电子邮件安全平台,通过动态检测和分析来增强你现有的电子邮件系统:阻止、标记或仅在可能的可疑邮件上添加横幅。IRONSCALES还提供终端用户培训,重点是电子邮件安全和普遍的安全意识,这有助于增强你对钓鱼攻击核心——社会工程攻击的防御能力。
7. KnowBe4
KnowBe4的首席黑客官是黑客界的大名鼎鼎的Kevin Mitnick。Mitnick的许多攻击行为都集中在社会工程领域,他们的业务也反映了这一点,重点通过教育使员工做出更好的决策。除了顶级的安全意识培训之外,KnowBe4还提供PhishER,这是一个以钓鱼攻击为中心的安全编排、自动化和响应(SOAR)平台:使你的安全团队能够更高效地应对针对组织的电子邮件威胁。
8. Mimecast
Mimecast提供了多种工具来防范钓鱼攻击,包括检测恶意链接和附件的功能,通过使用沙箱等高级方法删除或使其安全。Mimecast还能够防止通过钓鱼邮件发起的基于代码的攻击,或通过更复杂的方法(如QR码)发起的攻击,它通过在Mimecast云中打开链接,简化了部署过程,并确保预防工具始终保持更新。
9. Microsoft Defender for Office 365
Microsoft Defender for Office 365提供了与本清单中其他工具类似的功能:用户培训、钓鱼检测和防御、取证和根本原因分析,甚至是威胁狩猎。由于Defender只是Office 365的一个附加组件,因此它能够紧密集成,无需配置初始集成。微软还提供了可以根据你的需求调整的预设安全策略,支持强制执行、用户覆盖选项以及跟踪策略变化,这项服务对Office 365用户具有特别的优势,但对其他用户则可能存在一些劣势。
10. Valimail
即使是预算有限的IT团队也应该对Valimail感兴趣。Valimail的DMARC服务引导你配置电子邮件域的DMARC,然后汇总并生成每日DMARC报告。通过对电子邮件身份验证的可见性,可以帮助你迅速识别可能的合法发件人,并将其添加到你的DMARC配置中,然后逐步加强执行,以防止未经授权的电子邮件伪造你的域名。最棒的是,Valimail提供了多个免费的DMARC工具。Valimail还提供Amplify服务,促进BIMI标准(邮件身份标识品牌标识)的实施,该标准会在来自你的组织的电子邮件中添加公司徽标,表明发件人经过认证并有效。BIMI不仅为你的电子邮件配置增加了一层复杂性,还增强了接收服务器和最终收件人对来自你域名的邮件的信任。
企业网D1net(www.d1net.com):
国内主流的to B IT门户,旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。