網絡釣魚深度防御三要素
電子郵件網絡釣魚可能是當今最古老也是最有效的網絡威脅。超過90%的網絡攻擊始于電子郵件網絡釣魚。據報道,谷歌每天攔截1800萬封詐騙電子郵件,并在去年發現了創紀錄的200萬個網絡釣魚網站。
網絡釣魚攻擊看起來不會很快消失,事實上,隨著有組織的犯罪集團掌握暗網泄漏數據,網絡釣魚的針對性和有效性變得更高。對抗和緩解網絡釣魚非常具有挑戰性,并且需要多層防御。以下讓我們探索對抗電子郵件網絡釣魚的多層、縱深防御方法的三大要素:
1. 政策、程序和文件
企業必須為員工和供應商制定關于設備、服務,以及個人責任范圍內允許和不允許的行為指導方針。
可接受使用政策(AUP)是一個關鍵組成部分,每個人每年都必須對其進行記錄、閱讀、簽署和審查。員工必須就安全意識培訓的重要性、他們的流程將如何被監控,以及未能通過模擬練習和測試任何潛在的后果(進一步培訓、咨詢、互聯網訪問被鎖定等)進行透明的交流。
反網絡釣魚政策通常涵蓋有關網絡釣魚、常見社會工程詐騙和相關安全意識主題,以及有關人員如何對待和處理可疑威脅的培訓工作。該文件應概要描述以下最佳實踐內容:用戶不得安裝未經授權的軟件;在點擊之前總是分析網址;永遠不要回復可疑的電子郵件或文本,并始終報告任何看起來可疑的電子郵件或交互;應與請求者口頭確認超過特定額度的電匯,以防止商業電子郵件攻擊或電匯欺詐。
業務連續性和災難恢復計劃有助于在發生網絡攻擊時最大限度地減少損失。這可以包括關于聯系誰(危機管理顧問、網絡安全保險等)的詳細步驟,包括哪些團隊(法律、人力資源、公共關系等)以及關于是否支付贖金的指導(勒索軟件攻擊)。
2. 技術防御
雖然策略是防止網絡釣魚的重要戰略基礎,但擁有適當的技術防御可以有效地對抗網絡釣魚攻擊。以下是最流行的縱深防御方法的摘要:
惡意軟件緩解:惡意軟件緩解:端點安全和網絡安全工具(如防病毒、端點檢測和入侵檢測)是對抗網絡釣魚攻擊(如DDoS、竊聽、中間件和緩沖區溢出攻擊)的一些最重要的工具。
內容過濾:由于員工粗心瀏覽互聯網,許多企業成為網絡釣魚攻擊的犧牲品。Web過濾或內容過濾策略可以幫助阻止訪問某些站點,從而顯著降低訪問風險網站的可能性。
電子郵件客戶端特定保護:大多數電子郵件客戶端、Web瀏覽器和電子郵件提供商都提供默認或內置的反網絡釣魚功能(例如,默認情況下阻止所有文件下載)。
多因素身份驗證:多因素身份認證MFA可以顯著減少某些類型的網絡釣魚攻擊。您的密碼可能會意外被盜用,但輔助身份驗證方法可以使您免遭進一步的攻擊。
聲譽服務:聲譽服務將提供風險評分,并根據URL的來源建議、阻止或允許內容。黑名單服務將阻止來自已知惡意域的電子郵件,而白名單服務將只允許來自先前驗證或授權域的內容。灰名單服務將首先拒絕電子郵件,稍后通過服務器請求副本來進一步確認當時無法識別的電子郵件地址的合法性。
密碼管理器:密碼管理器可以讓用戶輕松地跨多個站點存儲長而復雜的密碼,而無需依賴自己的記憶。它們顯著降低了密碼重復使用和單個密碼泄漏的風險。
全球網絡釣魚防護標準:諸如發件人策略框架(SPF)、域密鑰識別郵件(DKIM)、基于域名的消息身份驗證、報告和一致性(DMARC)等網絡釣魚標準有助于保護域免受欺騙。啟用這些后,接收者可以驗證聲稱來自特定域的電子郵件的真實性。
紅綠系統:在低風險容忍度和極高資產價值的環境中,可以為用戶提供兩個獨立的系統。紅色系統高度安全,僅包含關鍵任務應用程序,而綠色系統安全性較低,可用于互聯網瀏覽和日常業務活動。
3. 安全意識培訓
研究表明,僅靠技術保障不足以提供針對網絡釣魚的最終保護,90天的模擬網絡釣魚可以幫助培養組織的安全文化,并將員工的被網絡釣魚傾向(PPP)降低60%以上。雇主采取的積極強化工作,例如公開表揚、禮券、聚餐派對,甚至現金獎勵,都可以對培養健康的安全態勢產生積極影響。
請記住,網絡釣魚易感性與智力無關。更高的智商并不意味著你不會被釣魚,一些很聰明的人已經成為網絡釣魚攻擊的犧牲品。組織需要采用多層次的方法,來將正確的策略和技術防御與肌肉記憶的培養相結合,使人們習慣于識別、拒絕和報告網絡釣魚企圖。一個完整的縱深防御方法是提高公司網絡安全彈性的良好開端。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
