科技云報道原創(chuàng)。
網(wǎng)絡釣魚,作為一種“古老”的攻擊技術已盛行多年。盡管企業(yè)的安全設備不斷上新,卻依然防不住釣魚的層層套路,令無數(shù)企業(yè)頭疼不已。
在每年的攻防演練中,“網(wǎng)絡釣魚”也是最有效的攻擊方式之一。攻擊方通常偽裝成行政、獵頭等對目標企業(yè)員工進行郵件釣魚,成功繞過企業(yè)現(xiàn)有的安全設備,讓企業(yè)重金建設的安全堡壘成為不堪一擊的“馬奇諾防線”。
釣魚攻擊屢試不爽的原因,正是凱文·米特尼克在《反欺騙的藝術》中提到的“人為因素是安全的軟肋”。
相關報告顯示,42%的員工承認在上網(wǎng)時采取過危險行動,如點擊未知鏈接、下載文件或暴露個人數(shù)據(jù),未遵循網(wǎng)絡釣魚預防的最佳實踐等。
隨著傳播渠道的不斷豐富,攻擊技術以及生成式AI技術的快速升級,網(wǎng)絡釣魚的花樣還在不斷翻新。企業(yè)僅憑提升全員安全意識,根本無法徹底杜絕釣魚攻擊,頗有一種“看不慣卻又干不掉”的無奈。
為什么網(wǎng)絡釣魚這么難防?企業(yè)真的就治不了這個頑疾嗎?
日益隱秘的釣魚攻擊
相比于其他網(wǎng)絡攻擊手段,網(wǎng)絡釣魚顯得更加簡單直接,一般通過網(wǎng)站、語音、短信、郵件、WiFi等渠道,引誘企業(yè)員工、個人用戶點擊惡意鏈接或提供個人信息,從而進行滲透或欺詐活動。
但令人憂心的是,近年來網(wǎng)絡釣魚事件仍呈爆發(fā)式增長。Perception Point《2023年年度報告:網(wǎng)絡安全趨勢與洞察》顯示,2022年威脅行為者嘗試的高級網(wǎng)絡釣魚攻擊數(shù)量增長了356%。
Zimperium《2023年全球移動威脅報告》顯示,2022年,以移動設備為目標的網(wǎng)絡釣魚網(wǎng)站的比例從75%增加到80%。
伴隨著攻擊數(shù)量的飆升,網(wǎng)絡釣魚的手段也在走向高級化、多樣化。據(jù)騰訊安全總經(jīng)理王宇觀察,近幾年網(wǎng)絡釣魚攻擊呈現(xiàn)四大新特征:
一是傳播渠道更廣泛,網(wǎng)絡釣魚的傳播渠道已經(jīng)從最初的網(wǎng)站、垃圾郵件、短信,逐步擴大到社交媒體、短視頻平臺,可謂是無孔不入。
二是隱蔽性越來越強,網(wǎng)絡釣魚充分利用人性的弱點進行攻擊,通過利誘、威逼、假冒等隱蔽方式來達到誘騙目的;
三是場景化,過去網(wǎng)絡釣魚不分行業(yè)和客群,攻擊者普遍采用通用方式去釣魚,但現(xiàn)在是針對金融、醫(yī)療等不同場景實施定向釣魚;
四是跨國化,網(wǎng)絡釣魚已經(jīng)從單一的國內(nèi)攻擊發(fā)展為跨國攻擊,不少釣魚行為是針對國內(nèi)企業(yè)在境外的員工,或在國內(nèi)工作的華僑人士。
以上種種攻擊新趨勢,都意味著網(wǎng)絡釣魚比以往來得更加兇猛,更加難以防范。
對此,王宇舉了一個騰訊安全處理的真實案例:
攻擊者通過短視頻平臺添加了基金經(jīng)理A的社交軟件,仿冒潛在客戶咨詢理財產(chǎn)品,向A發(fā)送了一個釣魚文件。
A在看到一個潛在大客戶的咨詢后,毫無防備地點擊下載運行了攻擊程序,從而被攻擊者悄悄控制了社交軟件。
當天晚上,攻擊者開始查看A的客戶群,充分了解其業(yè)務狀況。一段時間后,攻擊者展開攻擊,將自己設置為群管理員,并將A踢出群,然后迅速對群內(nèi)上千個客戶實施詐騙,最終涉案金額高達千萬級。
王宇表示,這已經(jīng)不是過去簡單的釣賬號行為,而是針對證券行業(yè)的定向攻擊,提前進行大量的情報收集,這種釣魚攻擊針對性、隱蔽性更強,并且很難通過員工培訓完全防范杜絕。
網(wǎng)絡釣魚為何難防?
盡管網(wǎng)絡釣魚花樣繁多,但畢竟是一個存在多年的網(wǎng)絡安全“毒瘤”,為什么網(wǎng)絡釣魚就如此難以防范,而現(xiàn)有的安全設備也難以發(fā)揮作用呢?
我們不妨從攻防雙方的特點來看:
從攻擊方看,釣魚本質(zhì)上是利用人的弱點,攻擊者可以用被釣魚人員的身份,是一種典型的可信攻擊,原則上只能不斷提升人的安全意識,但無法徹底杜絕。
即便企業(yè)經(jīng)過多年攻防演練,總部的投入大、安全意識教育足夠重視,但是子公司、分支、供應鏈等的安全意識還遠遠不足,大部分被釣魚成功也來源于此。
更加嚴峻的是,當前生成式人工智能(AIGC)技術也極大提升了釣魚攻擊的效率。王宇表示,攻擊者能夠利用AIGC技術高效生成更加難以分辨的釣魚郵件。
“很多釣魚攻擊都會有很明顯的團伙特征,比如說一個俄羅斯的黑客團伙,他去給其他國家的人發(fā)釣魚郵件,其實是可以通過內(nèi)容識別他不是用native的語言去寫的,而現(xiàn)在利用AIGC就讓模仿的精細度更高,能夠消弭這樣的一些差異,加大了防御的難度。”王宇舉例稱。
從防守方看,當攻擊者通過釣魚成功投遞樣本后,隨之而來的是持久化的駐留、信息收集、內(nèi)網(wǎng)橫向移動等行為,攻擊者會通過多種技術繞過現(xiàn)有安全設備,進行持續(xù)對抗。
而企業(yè)現(xiàn)有安全建設往往是煙囪式的,無論是WAF、IDS、EDR還是IAM、數(shù)據(jù)防泄漏等安全設備,都是各自為戰(zhàn),無法對偽裝成正常行為的釣魚攻擊形成聯(lián)動檢測和響應,單點設備難免會漏報。
即便是擁有SOC安全運營中心的大型企業(yè),現(xiàn)階段也較難實現(xiàn)有效的安全設備聯(lián)動,海量告警導致難以判斷哪些是真正的釣魚攻擊行為。
換句話說,面對來勢洶洶的網(wǎng)絡釣魚,人防不如技防,而技防則需端到端的聯(lián)防。
防釣魚需要新法器
知易行難,當單點的安全設備無力應戰(zhàn)時,企業(yè)在防釣魚這件事上顯然需要一種“新法器”。
在王宇看來,“打蛇打七寸”,想要防住網(wǎng)絡釣魚,首先得研究清楚釣魚的攻擊路徑,然后再有針對性地制定防護策略。
據(jù)王宇介紹,網(wǎng)絡釣魚攻擊一般會分為“事前-事中-事后”三個步驟:
“事前”即投遞環(huán)節(jié),通過IM、郵箱、社交媒體等渠道投遞釣魚文件,誘導用戶點擊或下載文件執(zhí)行,而執(zhí)行程序則隱藏其中。
“事中”即執(zhí)行/內(nèi)網(wǎng)橫移環(huán)節(jié),當受害者運行了惡意程序后,惡意程序會在受害終端執(zhí)行,建立持久化駐留,獲取憑據(jù),信息收集,橫向移動等操作。為了能在系統(tǒng)中運行,惡意程序通常都會經(jīng)過免殺處理,從而逃避殺軟的查殺。
“事后”即命令和控制(外聯(lián)C2)環(huán)節(jié),外連控制臺,為了將竊取到的有價值的信息回傳,攻擊者會采用一些隱匿加密通信技術進行外聯(lián)通信,從而實現(xiàn)遠控。
事實上,釣魚攻擊的每一個環(huán)節(jié)都有相應的行為特征,關鍵在于是否能有效檢測出這些異常行為。
結(jié)合騰訊多年以來的攻防技術和經(jīng)驗,騰訊零信任iOA釣魚防護方案能夠針對釣魚攻擊的三個階段攻擊特點,分別從對釣魚攻擊的來源路徑監(jiān)測、釣魚文件形態(tài)識別、程序聯(lián)網(wǎng)零信任審計,實施外連監(jiān)測和關聯(lián)分析,確?!翱吹靡姟?amp;“防得住”的效果,具體而言:
來源路徑監(jiān)測在投遞環(huán)節(jié),騰訊iOA在每個終端都建立本地基線數(shù)據(jù),對新入的文件實現(xiàn)來源分析和追蹤。目前已實現(xiàn)覆蓋釣魚攻擊常見利用路徑,如郵件、IM工具等來源實行監(jiān)測。
未來將會和常用企業(yè)IM工具(企業(yè)微信等)合作,更精準識別和還原出釣魚入侵的源頭。
文件形態(tài)識別在第二環(huán)節(jié),騰訊iOA基于釣魚樣本檢測引擎,可以準確識別出釣魚樣本,專項識別樣本免殺技巧。
聯(lián)網(wǎng)零信任審計針對聯(lián)網(wǎng)行為,騰訊iOA建立了聯(lián)網(wǎng)基線,聯(lián)網(wǎng)基線與新入文件基線實行關聯(lián)分析,對新入未知程序,可信程序(被注入)的聯(lián)網(wǎng)實行零信任審計,徹底攔截少量免殺的漏網(wǎng)之魚。
有了準確的檢測,騰訊iOA就可以在“事前-事中-事后”的每一個環(huán)節(jié)進行處置,比如:事前限制敏感數(shù)據(jù)的下載;事中阻止內(nèi)網(wǎng)橫移等惡意行為;事后及時阻斷文件外傳行為等。
這種全生命周期的檢測和響應,使得騰訊iOA在理論上可以對釣魚攻擊行為實現(xiàn)100%覆蓋。目前在國家級的攻防演練實戰(zhàn)中,騰訊iOA已實現(xiàn)釣魚防護0漏報。
如此理想的效果,正是在于騰訊iOA采用了零信任理念。
在過去的幾年中,騰訊零信任iOA實現(xiàn)了零信任網(wǎng)絡訪問、辦公安全、身份安全、終端安全管理、數(shù)據(jù)安全等維度的功能,將身份、設備、應用、鏈路關聯(lián)起來,并強制所有訪問都必須經(jīng)過認證、授權和加密,避免了單點安全設備之間無法關聯(lián)上下文分析的弊端,擁有了更全面和更易用的威脅溯源與風險控制的能力,從而實現(xiàn)了立體化的、端到端的安全防護。
這種全面的零信任安全能力,來源于騰訊20多年的攻防實戰(zhàn)技術和經(jīng)驗。
作為多次在大型攻防演練中奪冠的攻擊隊,騰訊安全掌握著最新的攻擊手法,擁有一手的威脅情報;同時,騰訊自身也是被釣魚攻擊最多的互聯(lián)網(wǎng)公司之一,有著多年對抗釣魚攻擊的經(jīng)驗。
作為國內(nèi)唯一擁有“云+管+端+IM+郵件”產(chǎn)品聯(lián)動的廠商,騰訊在防釣魚攻擊方面極具優(yōu)勢。
零信任是 網(wǎng)絡安全的未來
不可否認,近幾年零信任理念在國內(nèi)備受追捧,頭部安全廠商無一例外都在推廣零信任的優(yōu)勢。但零信任如何落地,如何真正解決像釣魚攻擊這樣的實際問題,始終是企業(yè)關心的方向。
在過去多年的安全建設中,企業(yè)大多部署了網(wǎng)絡側(cè)、終端側(cè)、應用側(cè)的安全設備。面對功能全面的零信任安全產(chǎn)品,難道企業(yè)需要全盤拋棄現(xiàn)有安全設備、從頭來過?
答案是否定的。
在王宇看來,零信任方案的落地是有節(jié)奏的,一定是從業(yè)務視角出發(fā),從企業(yè)最關心的場景切入,先與現(xiàn)有的安全設備做結(jié)合,看到實際效果之后再進行逐步替代。
事實上,作為國內(nèi)率先實踐零信任的互聯(lián)網(wǎng)公司之一,騰訊內(nèi)部的零信任實踐也是分步實現(xiàn)的。
從2016年內(nèi)部上線,到2017年實現(xiàn)內(nèi)部職場辦公一體化安全平臺,再到2020年新冠疫情期間,騰訊零信任iOA支撐了騰訊全球10W +設備的隨時隨地接入辦公,實現(xiàn)了安全零事故,騰訊iOA也因此成為國內(nèi)最大規(guī)模落地的自研自用零信任解決方案。
而從目前企業(yè)客戶需求看,遠程辦公帶來的安全接入問題,是其最關注的業(yè)務場景。因此,替代或新建VPN成為零信任最為明晰的切入點,其帶來的價值也非常直觀。
隨著遠程接入安全問題的解決,企業(yè)下一步關心的安全問題是權限的控制,即能否對身份、設備、數(shù)字資產(chǎn)等實現(xiàn)靈活可控的權限收放,而這正是釣魚防護、勒索防護、入侵防御等安全場景的關鍵所在。
對此,王宇建議在實現(xiàn)VPN替代之后,企業(yè)可以進一步增加防釣魚功能,之后再補充終端安全功能,將零信任方案中的更多功能聯(lián)動起來,實現(xiàn)一體化的安全防護。
針對已有SOC的大型企業(yè),騰訊零信任iOA也能夠與SOC聯(lián)動,基于多維監(jiān)測數(shù)據(jù)場景實現(xiàn)關聯(lián)分析,為安全運營帶來更精準和效率的檢測。
目前,騰訊零信任iOA的防釣魚功能已在金融、游戲、運營商等多個行業(yè)頭部企業(yè)中應用。
憑借成熟的產(chǎn)品能力和商業(yè)交付能力,騰訊零信任iOA 終端部署量級達數(shù)百萬,成為了國內(nèi)首個部署終端突破百萬的零信任產(chǎn)品。
結(jié)語
高端的獵手,往往采用最樸素的攻擊方式。當企業(yè)把安全防線做到萬無一失時,最直接的攻破手段,反而是網(wǎng)絡釣魚這類古老的攻擊方式。
但無論網(wǎng)絡釣魚多么難防,終歸是攻防雙方的技術對抗,在零信任“持續(xù)驗證,永不信任”的防護理念之下,釣魚攻擊正在迎來史上最黑暗的時刻。
免責聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章,所有文字和圖片版權歸作者所有,且僅代表作者個人觀點,與極客網(wǎng)無關。文章僅供讀者參考,并請自行核實相關內(nèi)容。投訴郵箱:editor@fromgeek.com。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 算力荒緩解,自主化智算還有必要嗎?
- 波司登千元鵝絨褲僅3克鵝絨,警惕被“國貨品牌”割韭菜
- 中國電車進入10萬級時代,2025年決生死,但日本車先頂不住了
- 中國存儲芯片大舉圍剿美日韓芯片,外媒確認在技術上進一步突破
- 谷歌成為手機市場的殺手,國產(chǎn)手機或被迫擁護國產(chǎn)操作系統(tǒng)
- 折疊屏2024的新東西、好東西、舊東西
- 董明珠與小米的二次戰(zhàn)爭
- 芯片不賣中國,美芯無處賣了,本來不要的市場偷偷地賣,后悔莫及
- 僅售999元 月底開售 閃極打響AI眼鏡量產(chǎn)發(fā)令槍
- 蘿卜快跑走紅、滴滴加碼,中國Robotaxi大戰(zhàn)升級
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。