不能小覷:釣魚(yú)攻擊成為主要安全威脅
近年來(lái)釣魚(yú)攻擊成為主要安全威脅,成功利用釣魚(yú)郵件對(duì)安全企業(yè)(例如Oak Ridge和RSA等)造成的數(shù)據(jù)泄漏攻擊為我們敲響了警鐘,一些專(zhuān)家嗤之以鼻的低技術(shù)含量攻擊方法也可能造成嚴(yán)重威脅。
美國(guó)能源部研究實(shí)驗(yàn)室Oak Ridge近日宣布在發(fā)現(xiàn)在其網(wǎng)絡(luò)中存在數(shù)據(jù)竊取惡意軟件程序后,已經(jīng)關(guān)閉了所有互聯(lián)網(wǎng)訪(fǎng)問(wèn)和電子郵件服務(wù)。
根據(jù)該實(shí)驗(yàn)室表示,這次數(shù)據(jù)泄漏事故源于一封被發(fā)送給570名員工的釣魚(yú)攻擊郵件。這封電子郵件偽裝成該實(shí)驗(yàn)室的人力資源部門(mén)的通知,當(dāng)一些員工點(diǎn)擊嵌入在電子郵件中的鏈接后,惡意程序就被下載到他們的電腦中。
這個(gè)惡意程序利用了微軟IE軟件中未修復(fù)的漏洞,并且目的是搜尋和竊取該實(shí)驗(yàn)室的技術(shù)信息,該實(shí)驗(yàn)室的工程師們正在努力研制世界上最快的超級(jí)計(jì)算機(jī)。
Oak Ridge實(shí)驗(yàn)室的官方發(fā)言人形容這次攻擊與安全供應(yīng)商RSA遭受的攻擊非常類(lèi)似。
RSA數(shù)據(jù)泄漏事故導(dǎo)致了RSA公司的SecurID雙因素認(rèn)證技術(shù)信息的被竊。而在本月初Epsilon發(fā)生的數(shù)據(jù)泄漏事故也被懷疑是有針對(duì)性的釣魚(yú)攻擊行為,這次事故是有史以來(lái)設(shè)計(jì)最多電子郵件地址的事故。
分析家表示,攻擊者能夠利用低技術(shù)含量、假冒電子郵件的方法來(lái)滲透入這些受到良好保護(hù)的企業(yè)表明了有針對(duì)性的釣魚(yú)攻擊日益成熟,并且存在這樣的趨勢(shì),企業(yè)認(rèn)為單靠教育員工就能夠緩解這個(gè)問(wèn)題。
“這并不讓我感到驚訝,” 安全公司Invincea公司創(chuàng)始人Anup Ghosh表示,“幾乎每個(gè)公開(kāi)的和發(fā)表聲明的高級(jí)持續(xù)性攻擊都是通過(guò)釣魚(yú)郵件開(kāi)始的。”
事實(shí)上,現(xiàn)在這類(lèi)郵件似乎成為攻擊者非法進(jìn)入企業(yè)網(wǎng)絡(luò)的首選方法,他表示。
“你需要做的就是設(shè)立一個(gè)電子郵件目標(biāo),你只需要通過(guò)幾次電機(jī)就能夠在企業(yè)內(nèi)部建立幾個(gè)存在點(diǎn),”Ghosh表示,“如果你企業(yè)有1000名員工,并且你教育他們不能打開(kāi)不可信任的附件,還是會(huì)有那么幾個(gè)人會(huì)打開(kāi)。這并不是訓(xùn)練可以解決的問(wèn)題。”
讓問(wèn)題更嚴(yán)重的就是釣魚(yú)攻擊越來(lái)越復(fù)雜,分析師指出。
越來(lái)越多的有組織的攻擊團(tuán)隊(duì)開(kāi)始使用精心設(shè)計(jì)的電子郵件來(lái)針對(duì)高層管理人員以及企業(yè)內(nèi)部他們想要攻擊的員工。在很多情況下,釣魚(yú)郵件都是個(gè)性化的、本地化的,并且設(shè)計(jì)得好像是來(lái)自可信任來(lái)源一樣。
Ghosh表示,他上周就收到過(guò)類(lèi)似的郵件。郵件發(fā)送到他的個(gè)人郵箱,看起來(lái)是一個(gè)好朋友發(fā)過(guò)來(lái)的郵件,包含一個(gè)能夠打開(kāi)朋友的女兒生日派對(duì)照片的鏈接。郵件甚至還包含朋友女兒的名字。
郵件被標(biāo)記為紅色,但是Ghosh在點(diǎn)擊鏈接后才發(fā)現(xiàn)紅色標(biāo)記。“隨便看一眼就已經(jīng)能夠說(shuō)服我去點(diǎn)擊鏈接,”他表示。
Spire Security公司的分析師Pete Lindstrom表示,“最近很多攻擊都是使用某種形式的釣魚(yú)攻擊,這個(gè)十分令人擔(dān)憂(yōu),我們總是很容易在一些安全基礎(chǔ)環(huán)節(jié)掉鏈子。”
公司必須定期記錄和監(jiān)測(cè)網(wǎng)絡(luò)是否存在這種釣魚(yú)攻擊造成的數(shù)據(jù)泄漏,他表示。
在釣魚(yú)攻擊中,企業(yè)必須更注重響應(yīng)和遏制,而不僅僅是預(yù)防,Securosis公司分析師Rich Mogull表示。
在這種攻擊中,企業(yè)常常面對(duì)的是擁有豐富資源、耐心和資金的對(duì)手。通常情況下,這樣的對(duì)手都愿意不斷嘗試直到他們攻入系統(tǒng)網(wǎng)絡(luò)。“幾乎不可能阻止這樣的人。”
因此,IT安全人員應(yīng)該注重最大限度地減少損失,Mogull表示。舉例來(lái)說(shuō),企業(yè)應(yīng)該考慮將網(wǎng)絡(luò)進(jìn)行區(qū)域劃分,并在關(guān)鍵設(shè)備以及數(shù)據(jù)間建立“空間間隔”,以確保入侵者更難進(jìn)入網(wǎng)絡(luò)。
同樣重要的是,企業(yè)需要廣泛地監(jiān)控內(nèi)部網(wǎng)絡(luò)以確保數(shù)據(jù)沒(méi)有泄漏出去。
“有針對(duì)性的釣魚(yú)攻擊已經(jīng)不都是低技術(shù)含量的攻擊形式了,”Gartner公司分析師John Pescatore表示。
并且,越來(lái)越多來(lái)自社交網(wǎng)絡(luò)(例如LinkedIn和Facebook)的信息被用于釣魚(yú)攻擊,這使釣魚(yú)攻擊更難被檢測(cè),他表示,“在這些社交網(wǎng)絡(luò)上,有很多個(gè)人信息和朋友的名單,從這些信息中并不難獲取非常私人的電子郵件地址,”Pescastore表示。
此外,網(wǎng)絡(luò)安全工作(特別是政府機(jī)構(gòu)和研究實(shí)驗(yàn)室,如Oak Ridge)往往側(cè)重于諸如URL阻止等問(wèn)題,以防止內(nèi)部員工訪(fǎng)問(wèn)色情或者非法網(wǎng)站,而不是阻止可疑的入站郵件。
“這讓他們更容易受到攻擊,如果用戶(hù)點(diǎn)擊了釣魚(yú)郵件的話(huà),這也是員工經(jīng)常發(fā)生的事情,”他表示,“25年試圖通過(guò)宣傳和教育來(lái)提升員工的安全意識(shí)的經(jīng)驗(yàn)證明,這是無(wú)法杜絕的。”
【編輯推薦】
