自發(fā)件人身份欺詐轉(zhuǎn)移到電子郵件世界并被稱為網(wǎng)絡(luò)釣魚以來(lái)已有20年。在早期，電子郵件威脅主要以內(nèi)容為中心，并且通常包含惡意鏈接或附件，以誘騙用戶進(jìn)入陷阱。但是特別是在過去的五年中，網(wǎng)絡(luò)釣魚已經(jīng)成熟：現(xiàn)在，所有攻擊中有89%利用假冒來(lái)發(fā)起社會(huì)工程攻擊。

如果您曾經(jīng)收到過來(lái)自CEO的虛假電子郵件，要求你趕緊購(gòu)買大量禮品卡，或者如果電子郵件欺騙你，讓你以為CFO需要擬通過電子郵件提供完整銀行帳號(hào)，那么你就是目標(biāo)社會(huì)工程學(xué)的攻擊目標(biāo)。

實(shí)際上，當(dāng)今的網(wǎng)絡(luò)釣魚電子郵件中，絕大多數(shù)(90%)不包含可能引起內(nèi)容掃描警報(bào)的惡意軟件(惡意文件或附件)。這些電子郵件由于缺少可識(shí)別的惡意內(nèi)容，因此很容易繞過大多數(shù)最新的電子郵件防御措施。相反，它們旨在與你(收件人)建立信任關(guān)系。一旦建立了這種關(guān)系，攻擊者就可以利用這種關(guān)系使您采取違背自己利益的行動(dòng)。

持續(xù)的威脅

不幸的是，電子郵件威脅的問題仍然普遍存在，而且由于缺乏可識(shí)別的惡意代碼，解決起來(lái)更加困難。自新冠病毒開始以來(lái)，電子郵件安全供應(yīng)商報(bào)告稱，以大流行為主題的網(wǎng)絡(luò)釣魚攻擊激增。這些騙局利用了人們?cè)诩肄k公的機(jī)會(huì)，在這樣的環(huán)境中，他們很容易分心，電腦硬件和網(wǎng)絡(luò)不太安全。

不管是否在家辦公，釣魚者們都在繼續(xù)隨時(shí)部署攻擊，釣魚活動(dòng)平均持續(xù)時(shí)間僅為12分鐘。谷歌表示，他們每天會(huì)攔截超過1億封釣魚郵件，其中68%是新出現(xiàn)的、從未見過的騙局。這是由犯罪分子利用自動(dòng)網(wǎng)絡(luò)釣魚來(lái)避免通過從一個(gè)騙局到另一個(gè)騙局的增量更改而被發(fā)現(xiàn)。

在形勢(shì)變化的情況下，有必要對(duì)網(wǎng)絡(luò)釣魚攻擊進(jìn)行更新分類：

基于身份的電子郵件攻擊的類型

基于身份的電子郵件攻擊分為三種類型。每一個(gè)都利用了以內(nèi)容為中心的電子郵件防御中的一個(gè)特定漏洞。

• 精確域攻擊，也稱為域欺騙，是通過在郵件的“來(lái)自”字段中使用他們的域，直接模擬受信任的發(fā)件人的電子郵件。示例:“<老板> @ <你的公司>.com”。
• 域模擬攻擊，也稱為不可信域攻擊，是指來(lái)自稍微修改過的“相似”或“表親”域的電子郵件。例如:“ <你的老板> @ fedexx.com”。
• 開放注冊(cè)攻擊，也稱為用戶模仿或友好的電子郵件，在“友好發(fā)件人”字段中顯示一個(gè)合法的發(fā)件人的名字——這部分通常顯示你的全名。然而，這些電子郵件來(lái)自一個(gè)在免費(fèi)在線電子郵件服務(wù)上創(chuàng)建的帳戶，如雅虎或Gmail。例如:“你朋友的名字

為什么模式匹配在現(xiàn)代攻擊中不起作用

當(dāng)今市場(chǎng)上的大多數(shù)反網(wǎng)絡(luò)釣魚解決方案都依賴于識(shí)別和響應(yīng)特定的模式。他們掃描電子郵件中的可疑內(nèi)容，例如鏈接、附件、短語(yǔ)或關(guān)鍵字，并應(yīng)用機(jī)器學(xué)習(xí)來(lái)識(shí)別不良行為者。

不幸的是，盡管這些解決方案在電子郵件內(nèi)容上做得不錯(cuò)，但它們無(wú)法提供有關(guān)發(fā)件人身份的可操作、可靠的信息。當(dāng)網(wǎng)絡(luò)釣魚電子郵件來(lái)自域欺騙攻擊并使用精心設(shè)計(jì)的消息時(shí)，在形式和內(nèi)容上與合法消息幾乎沒有區(qū)別。在這種情況下，內(nèi)容看起來(lái)是合法的，發(fā)件人看起來(lái)是合法的，并且反網(wǎng)絡(luò)釣魚系統(tǒng)被愚弄為認(rèn)為它是合法的消息。即使是粗糙的傳真也會(huì)造成重大的破壞，比如最近伊朗針對(duì)美國(guó)民主黨選民的欺騙攻擊。

此外，網(wǎng)絡(luò)釣魚者還進(jìn)行自動(dòng)攻擊，利用機(jī)器不斷地對(duì)自己的信息進(jìn)行輕微修改，試圖領(lǐng)先于過濾器。在這個(gè)游戲中，罪犯做出增量的改變，然后電子郵件過濾算法以增量的改變回應(yīng)，這是一個(gè)永無(wú)止境的昂貴的防御過程。攻擊比以往任何時(shí)候都更容易部署，因?yàn)檫@樣做的成本大幅下降，機(jī)器速度加速，以及租用自動(dòng)機(jī)器人的能力。這種反復(fù)的過程沒有盡頭，因?yàn)槠磳戝e(cuò)誤、措詞錯(cuò)誤和欺騙的組合是無(wú)限的。更糟糕的是，進(jìn)攻者只需要“贏”一次，而防守者需要每次都是正確的——這是一個(gè)高度不對(duì)稱的場(chǎng)景。與此同時(shí)，企業(yè)繼續(xù)被非法電子郵件所欺騙，隨著每一個(gè)新聞周期，犯罪分子進(jìn)一步受到激勵(lì)，繼續(xù)這種欺騙行為。

要解決這種不對(duì)稱，需要一種不同的方法。定義和實(shí)施合法的通信行為要容易得多，而不是演化，預(yù)測(cè)和增加將描述所有可能的不良行為的所有模式的列表。換句話說(shuō)，定義一組有限的好行為要比定義一組不良的行為容易。

了解通信應(yīng)用程序中行為的合法性從身份和屬性開始，確定通信參與者身份的最好方法就是在通信開始時(shí)強(qiáng)制進(jìn)行身份驗(yàn)證。

輸入：零信任方法

以內(nèi)容為中心的解決方案根據(jù)壞消息的嚴(yán)重程度來(lái)評(píng)估每條消息，這會(huì)造成差距，基于身份的電子郵件攻擊可能會(huì)通過此漏洞來(lái)逃避。零信任電子郵件安全模型對(duì)于縮小這一差距至關(guān)重要。

零信任也可以被描述為零假設(shè)。為了消除犯罪分子偷偷摸摸的政策模棱兩可的領(lǐng)域，您應(yīng)該什么都不做并且對(duì)所有內(nèi)容進(jìn)行身份驗(yàn)證。該原則是大多數(shù)數(shù)字交互的基礎(chǔ)，例如付款，登錄網(wǎng)站，對(duì)員工進(jìn)行身份驗(yàn)證等。然而，出于歷史原因，在電子郵件中，基本的首要方法是“允許一切通過，阻止不良行為”。

相反，零信任的方法重新定義了電子郵件的安全性:只有能夠證明它值得進(jìn)入收件箱，電子郵件才被信任。這樣的模型不允許消息到達(dá)收件箱，除非消息來(lái)自經(jīng)過身份驗(yàn)證的發(fā)送者，該發(fā)送者已被授予顯式的權(quán)限，可以將消息發(fā)送到特定的收件箱。

零信任解決方案將重點(diǎn)放在識(shí)別受信任的發(fā)件人上。這使收件箱可以自動(dòng)標(biāo)記，阻止或發(fā)送到垃圾郵件，而不包括在受信任的發(fā)件人列表上的所有內(nèi)容。用戶無(wú)需擔(dān)心要定期查找、分析或評(píng)估之前進(jìn)入收件箱的無(wú)數(shù)可能的惡意發(fā)件人。

為了更好地理解這一點(diǎn)，請(qǐng)考慮傳統(tǒng)的登錄系統(tǒng)。它能積極地識(shí)別出已知和值得信任的用戶，而不會(huì)讓您擔(dān)心分析無(wú)數(shù)可能的錯(cuò)誤登錄來(lái)確定每個(gè)登錄是否可疑。類似地，一個(gè)零信任的電子郵件安全系統(tǒng)可以積極地識(shí)別出已知的和值得信任的發(fā)件人，同時(shí)消除尋找惡意發(fā)件人的擔(dān)憂。由于電子郵件供應(yīng)商的開放標(biāo)準(zhǔn)和支持，零信任方法現(xiàn)在不僅是現(xiàn)實(shí)的，而且被認(rèn)為是有效電子郵件安全的基本部分。

簡(jiǎn)而言之：如果您只允許來(lái)自已知良好發(fā)件人列表的通信，則無(wú)需花費(fèi)時(shí)間尋找所有不良發(fā)件人。

完美的電子郵件解決方案不存在

完美有點(diǎn)主觀，但真正的安全卻不是。在評(píng)估任何一種解決方案或公司來(lái)委托您組織的電子郵件安全性時(shí)，請(qǐng)?jiān)儐栆韵聠栴}：

• 解決方案符合哪些開放標(biāo)準(zhǔn)?DMARC，DKIM，SPF和BIMI?這些是公認(rèn)的身份驗(yàn)證標(biāo)準(zhǔn)，有助于將電子郵件推向根本上為零信任的原則，在電子郵件內(nèi)部人士中也稱為“沒有認(rèn)證，就無(wú)法進(jìn)入”。盡管這些標(biāo)準(zhǔn)現(xiàn)在不是強(qiáng)制性的，但它們是最佳實(shí)踐，可能有一天會(huì)被要求。
• 你會(huì)有什么樣的控制水平?如果您需要批準(zhǔn)某些通常標(biāo)記為“壞”的發(fā)件人，您的解決方案會(huì)允許您這樣做嗎?或者他們會(huì)太仁慈而不能阻止你做出錯(cuò)誤的決定?
• 他們多久驗(yàn)證一次您的電子郵件?瞬間?還是每天一次，在此期間類似的壞角色可以進(jìn)入收件箱?
• 您將需要花費(fèi)多少時(shí)間來(lái)管理解決方案?重要的是要有一個(gè)簡(jiǎn)單，直接的界面，該界面使您可以執(zhí)行所需的操作，然后繼續(xù)執(zhí)行其他任務(wù)。不必要的復(fù)雜性是敵人。計(jì)算執(zhí)行常見管理操作所需的步驟，并尋找可讓您做出最明智的決定而又需要最少點(diǎn)擊的解決方案。

我們必須進(jìn)化來(lái)阻止電子郵件欺詐

企業(yè)和組織必須保護(hù)他們的電子郵件安全，以避免成為釣魚攻擊的受害者。網(wǎng)絡(luò)釣魚的成本已經(jīng)太高了，而且只會(huì)越來(lái)越糟。我們必須采取新的“零信任第一”框架——目前的做法根本跟不上攻擊的步伐。電子郵件安全最可靠的基礎(chǔ)是“零信任第一”方法:讓發(fā)件人在真正進(jìn)入你的收件箱之前證明他們值得進(jìn)入。然后，在這個(gè)可靠的零信任基礎(chǔ)之上添加一個(gè)過濾解決方案，以便捕捉任何漏過的內(nèi)容，例如從被破壞的帳戶發(fā)送的消息。

換句話說(shuō)，首先進(jìn)行身份驗(yàn)證，然后進(jìn)行篩選。只有通過這種對(duì)電子郵件安全零信任的方法，我們才能創(chuàng)建一個(gè)電子郵件可以真正信任的世界。

我們必須不斷發(fā)展以制止電子郵件欺詐

企業(yè)和組織必須保護(hù)其電子郵件安全性，以免遭受網(wǎng)絡(luò)釣魚攻擊。網(wǎng)絡(luò)釣魚的成本已經(jīng)太高了，而且只會(huì)越來(lái)越糟。我們必須采用新的零信任優(yōu)先框架——當(dāng)前的方法根本無(wú)法跟上攻擊的步伐。電子郵件安全性最可靠的基礎(chǔ)是“零信任”優(yōu)先方法：讓發(fā)件人在實(shí)際進(jìn)入您的收件箱操作之前證明他們。然后，在該可靠的零信任基礎(chǔ)上添加一個(gè)篩選解決方案，以捕獲任何漏掉的內(nèi)容，例如從受感染帳戶發(fā)送的消息。

換句話說(shuō)，先進(jìn)行身份驗(yàn)證，然后進(jìn)行過濾。只有采用這種對(duì)電子郵件安全的零信任方法，我們才能創(chuàng)建一個(gè)可以真正信任的電子郵件世界。