「零信任」为何成为企业防钓鱼的新法器?

科技云报道原创。

网络钓鱼,作为一种“古老”的攻击技术已盛行多年。尽管企业的安全设备不断上新,却依然防不住钓鱼的层层套路,令无数企业头疼不已。

在每年的攻防演练中,“网络钓鱼”也是最有效的攻击方式之一。攻击方通常伪装成行政、猎头等对目标企业员工进行邮件钓鱼,成功绕过企业现有的安全设备,让企业重金建设的安全堡垒成为不堪一击的“马奇诺防线”。

钓鱼攻击屡试不爽的原因,正是凯文·米特尼克在《反欺骗的艺术》中提到的“人为因素是安全的软肋”。

相关报告显示,42%的员工承认在上网时采取过危险行动,如点击未知链接、下载文件或暴露个人数据,未遵循网络钓鱼预防的最佳实践等。

随着传播渠道的不断丰富,攻击技术以及生成式AI技术的快速升级,网络钓鱼的花样还在不断翻新。企业仅凭提升全员安全意识,根本无法彻底杜绝钓鱼攻击,颇有一种“看不惯却又干不掉”的无奈。

为什么网络钓鱼这么难防?企业真的就治不了这个顽疾吗?

日益隐秘的钓鱼攻击

相比于其他网络攻击手段,网络钓鱼显得更加简单直接,一般通过网站、语音、短信、邮件、WiFi等渠道,引诱企业员工、个人用户点击恶意链接或提供个人信息,从而进行渗透或欺诈活动。

但令人忧心的是,近年来网络钓鱼事件仍呈爆发式增长。Perception Point《2023年年度报告:网络安全趋势与洞察》显示,2022年威胁行为者尝试的高级网络钓鱼攻击数量增长了356%。

Zimperium《2023年全球移动威胁报告》显示,2022年,以移动设备为目标的网络钓鱼网站的比例从75%增加到80%。

伴随着攻击数量的飙升,网络钓鱼的手段也在走向高级化、多样化。据腾讯安全总经理王宇观察,近几年网络钓鱼攻击呈现四大新特征:

一是传播渠道更广泛,网络钓鱼的传播渠道已经从最初的网站、垃圾邮件、短信,逐步扩大到社交媒体、短视频平台,可谓是无孔不入。

二是隐蔽性越来越强,网络钓鱼充分利用人性的弱点进行攻击,通过利诱、威逼、假冒等隐蔽方式来达到诱骗目的;

三是场景化,过去网络钓鱼不分行业和客群,攻击者普遍采用通用方式去钓鱼,但现在是针对金融、医疗等不同场景实施定向钓鱼;

四是跨国化,网络钓鱼已经从单一的国内攻击发展为跨国攻击,不少钓鱼行为是针对国内企业在境外的员工,或在国内工作的华侨人士。

以上种种攻击新趋势,都意味着网络钓鱼比以往来得更加凶猛,更加难以防范。

对此,王宇举了一个腾讯安全处理的真实案例:

攻击者通过短视频平台添加了基金经理A的社交软件,仿冒潜在客户咨询理财产品,向A发送了一个钓鱼文件。

A在看到一个潜在大客户的咨询后,毫无防备地点击下载运行了攻击程序,从而被攻击者悄悄控制了社交软件。

当天晚上,攻击者开始查看A的客户群,充分了解其业务状况。一段时间后,攻击者展开攻击,将自己设置为群管理员,并将A踢出群,然后迅速对群内上千个客户实施诈骗,最终涉案金额高达千万级。

王宇表示,这已经不是过去简单的钓账号行为,而是针对证券行业的定向攻击,提前进行大量的情报收集,这种钓鱼攻击针对性、隐蔽性更强,并且很难通过员工培训完全防范杜绝。

网络钓鱼为何难防?

尽管网络钓鱼花样繁多,但毕竟是一个存在多年的网络安全“毒瘤”,为什么网络钓鱼就如此难以防范,而现有的安全设备也难以发挥作用呢?

我们不妨从攻防双方的特点来看:

从攻击方看,钓鱼本质上是利用人的弱点,攻击者可以用被钓鱼人员的身份,是一种典型的可信攻击,原则上只能不断提升人的安全意识,但无法彻底杜绝。

即便企业经过多年攻防演练,总部的投入大、安全意识教育足够重视,但是子公司、分支、供应链等的安全意识还远远不足,大部分被钓鱼成功也来源于此。

更加严峻的是,当前生成式人工智能(AIGC)技术也极大提升了钓鱼攻击的效率。王宇表示,攻击者能够利用AIGC技术高效生成更加难以分辨的钓鱼邮件。

“很多钓鱼攻击都会有很明显的团伙特征,比如说一个俄罗斯的黑客团伙,他去给其他国家的人发钓鱼邮件,其实是可以通过内容识别他不是用native的语言去写的,而现在利用AIGC就让模仿的精细度更高,能够消弭这样的一些差异,加大了防御的难度。”王宇举例称。

从防守方看,当攻击者通过钓鱼成功投递样本后,随之而来的是持久化的驻留、信息收集、内网横向移动等行为,攻击者会通过多种技术绕过现有安全设备,进行持续对抗。

而企业现有安全建设往往是烟囱式的,无论是WAF、IDS、EDR还是IAM、数据防泄漏等安全设备,都是各自为战,无法对伪装成正常行为的钓鱼攻击形成联动检测和响应,单点设备难免会漏报。

即便是拥有SOC安全运营中心的大型企业,现阶段也较难实现有效的安全设备联动,海量告警导致难以判断哪些是真正的钓鱼攻击行为。

换句话说,面对来势汹汹的网络钓鱼,人防不如技防,而技防则需端到端的联防。

防钓鱼需要新法器

知易行难,当单点的安全设备无力应战时,企业在防钓鱼这件事上显然需要一种“新法器”。

在王宇看来,“打蛇打七寸”,想要防住网络钓鱼,首先得研究清楚钓鱼的攻击路径,然后再有针对性地制定防护策略。

据王宇介绍,网络钓鱼攻击一般会分为“事前-事中-事后”三个步骤:

“事前”即投递环节,通过IM、邮箱、社交媒体等渠道投递钓鱼文件,诱导用户点击或下载文件执行,而执行程序则隐藏其中。

“事中”即执行/内网横移环节,当受害者运行了恶意程序后,恶意程序会在受害终端执行,建立持久化驻留,获取凭据,信息收集,横向移动等操作。为了能在系统中运行,恶意程序通常都会经过免杀处理,从而逃避杀软的查杀。

“事后”即命令和控制(外联C2)环节,外连控制台,为了将窃取到的有价值的信息回传,攻击者会采用一些隐匿加密通信技术进行外联通信,从而实现远控。

事实上,钓鱼攻击的每一个环节都有相应的行为特征,关键在于是否能有效检测出这些异常行为。

结合腾讯多年以来的攻防技术和经验,腾讯零信任iOA钓鱼防护方案能够针对钓鱼攻击的三个阶段攻击特点,分别从对钓鱼攻击的来源路径监测、钓鱼文件形态识别、程序联网零信任审计,实施外连监测和关联分析,确保“看得见”&“防得住”的效果,具体而言:

来源路径监测

在投递环节,腾讯iOA在每个终端都建立本地基线数据,对新入的文件实现来源分析和追踪。目前已实现覆盖钓鱼攻击常见利用路径,如邮件、IM工具等来源实行监测。

未来将会和常用企业IM工具(企业微信等)合作,更精准识别和还原出钓鱼入侵的源头。

文件形态识别

在第二环节,腾讯iOA基于钓鱼样本检测引擎,可以准确识别出钓鱼样本,专项识别样本免杀技巧。

联网零信任审计

针对联网行为,腾讯iOA建立了联网基线,联网基线与新入文件基线实行关联分析,对新入未知程序,可信程序(被注入)的联网实行零信任审计,彻底拦截少量免杀的漏网之鱼。

有了准确的检测,腾讯iOA就可以在“事前-事中-事后”的每一个环节进行处置,比如:事前限制敏感数据的下载;事中阻止内网横移等恶意行为;事后及时阻断文件外传行为等。

这种全生命周期的检测和响应,使得腾讯iOA在理论上可以对钓鱼攻击行为实现100%覆盖。目前在国家级的攻防演练实战中,腾讯iOA已实现钓鱼防护0漏报。

如此理想的效果,正是在于腾讯iOA采用了零信任理念。

在过去的几年中,腾讯零信任iOA实现了零信任网络访问、办公安全、身份安全、终端安全管理、数据安全等维度的功能,将身份、设备、应用、链路关联起来,并强制所有访问都必须经过认证、授权和加密,避免了单点安全设备之间无法关联上下文分析的弊端,拥有了更全面和更易用的威胁溯源与风险控制的能力,从而实现了立体化的、端到端的安全防护。

这种全面的零信任安全能力,来源于腾讯20多年的攻防实战技术和经验。

作为多次在大型攻防演练中夺冠的攻击队,腾讯安全掌握着最新的攻击手法,拥有一手的威胁情报;同时,腾讯自身也是被钓鱼攻击最多的互联网公司之一,有着多年对抗钓鱼攻击的经验。

作为国内唯一拥有“云+管+端+IM+邮件”产品联动的厂商,腾讯在防钓鱼攻击方面极具优势。

零信任是 网络安全的未来

不可否认,近几年零信任理念在国内备受追捧,头部安全厂商无一例外都在推广零信任的优势。但零信任如何落地,如何真正解决像钓鱼攻击这样的实际问题,始终是企业关心的方向。

在过去多年的安全建设中,企业大多部署了网络侧、终端侧、应用侧的安全设备。面对功能全面的零信任安全产品,难道企业需要全盘抛弃现有安全设备、从头来过?

答案是否定的。

在王宇看来,零信任方案的落地是有节奏的,一定是从业务视角出发,从企业最关心的场景切入,先与现有的安全设备做结合,看到实际效果之后再进行逐步替代。

事实上,作为国内率先实践零信任的互联网公司之一,腾讯内部的零信任实践也是分步实现的。

从2016年内部上线,到2017年实现内部职场办公一体化安全平台,再到2020年新冠疫情期间,腾讯零信任iOA支撑了腾讯全球10W +设备的随时随地接入办公,实现了安全零事故,腾讯iOA也因此成为国内最大规模落地的自研自用零信任解决方案。

而从目前企业客户需求看,远程办公带来的安全接入问题,是其最关注的业务场景。因此,替代或新建VPN成为零信任最为明晰的切入点,其带来的价值也非常直观。

随着远程接入安全问题的解决,企业下一步关心的安全问题是权限的控制,即能否对身份、设备、数字资产等实现灵活可控的权限收放,而这正是钓鱼防护、勒索防护、入侵防御等安全场景的关键所在。

对此,王宇建议在实现VPN替代之后,企业可以进一步增加防钓鱼功能,之后再补充终端安全功能,将零信任方案中的更多功能联动起来,实现一体化的安全防护。

针对已有SOC的大型企业,腾讯零信任iOA也能够与SOC联动,基于多维监测数据场景实现关联分析,为安全运营带来更精准和效率的检测。

目前,腾讯零信任iOA的防钓鱼功能已在金融、游戏、运营商等多个行业头部企业中应用。

凭借成熟的产品能力和商业交付能力,腾讯零信任iOA 终端部署量级达数百万,成为了国内首个部署终端突破百万的零信任产品。

结语

高端的猎手,往往采用最朴素的攻击方式。当企业把安全防线做到万无一失时,最直接的攻破手段,反而是网络钓鱼这类古老的攻击方式。

但无论网络钓鱼多么难防,终归是攻防双方的技术对抗,在零信任“持续验证,永不信任”的防护理念之下,钓鱼攻击正在迎来史上最黑暗的时刻。

免责声明:此文内容为第三方自媒体作者发布的观察或评论性文章,所有文字和图片版权归作者所有,且仅代表作者个人观点,与极客网无关。文章仅供读者参考,并请自行核实相关内容。投诉邮箱:editor@fromgeek.com。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2023-09-01
「零信任」为何成为企业防钓鱼的新法器?
「零信任」为何成为企业防钓鱼的新法器?

长按扫码 阅读全文