咨詢機(jī)構(gòu)Strategic Security Solutions Consulting公司的首席執(zhí)行官兼創(chuàng)始人Johanna Baum說:“網(wǎng)絡(luò)攻擊者的動(dòng)機(jī)和資金都非常充足,他們的唯一目的就是成功地吸引受害者。然而對(duì)于企業(yè)來說,其重要的任務(wù)是保護(hù)所有潛在受害者。”
忽視或錯(cuò)誤判斷IT安全將會(huì)顯著增加網(wǎng)絡(luò)攻擊的可能性。但是,即使遵循的是一種全新的協(xié)議,為員工提供了安全培訓(xùn),反復(fù)提醒員工核實(shí)可疑的信息,并了解最新的惡意活動(dòng),企業(yè)在網(wǎng)絡(luò)安全防范方面仍然是被動(dòng)或是脆弱的。
以下是企業(yè)的反網(wǎng)絡(luò)釣魚策略不起作用的6個(gè)原因:
1.網(wǎng)絡(luò)釣魚攻擊正變得越來越復(fù)雜和具有迷惑性
Protiviti公司負(fù)責(zé)網(wǎng)絡(luò)攻擊和滲透測(cè)試的總經(jīng)理兼全球?qū)嵺`負(fù)責(zé)人Krissy Safi表示,網(wǎng)絡(luò)犯罪分子正在不斷開發(fā)新戰(zhàn)術(shù),誘使人們泄露敏感信息,因此,網(wǎng)絡(luò)釣魚攻擊變得越來越復(fù)雜。
Safi說,“許多反網(wǎng)絡(luò)釣魚解決方案使用靜態(tài)規(guī)則來檢測(cè)網(wǎng)絡(luò)釣魚攻擊,網(wǎng)絡(luò)攻擊者可以使用更先進(jìn)的技術(shù)輕松繞過這些規(guī)則。此外,隨著ChatGPT的引入,邏輯完美并且語法流利的釣魚電子郵件將會(huì)激增,從而使識(shí)別網(wǎng)絡(luò)罪犯發(fā)送的釣魚電子郵件變得更加困難。”
ChatGPT和開源版本可供網(wǎng)絡(luò)攻擊者使用,成為他們盜取數(shù)據(jù)的靈丹妙藥——人工智能技術(shù)可以實(shí)時(shí)了解哪些有效,哪些無效,增加了網(wǎng)絡(luò)攻擊者找到目標(biāo)的幾率。
即使沒有使用聊天機(jī)器人,網(wǎng)絡(luò)攻擊者也越來越熟練——以2022年云計(jì)算通信服務(wù)商Twilio公司遭遇的網(wǎng)絡(luò)攻擊為例。在這種情況下,網(wǎng)絡(luò)攻擊者能夠使用公開的數(shù)據(jù)庫匹配員工姓名和電話號(hào)碼。Twilio公司在一份事件報(bào)告中說,“社交工程攻擊成功地愚弄了一些員工,讓他們提供了登陸憑證。然后,網(wǎng)絡(luò)攻擊者使用被盜的登陸憑證進(jìn)入我們的一些內(nèi)部系統(tǒng),在那里他們能夠訪問和竊取我們的一些客戶數(shù)據(jù)。”
2.把所有的雞蛋都放在技術(shù)的籃子里
許多企業(yè)都試圖僅靠技術(shù)來解決網(wǎng)絡(luò)釣魚問題。Thales集團(tuán)美洲區(qū)的首席信息安全官 Eric Liebowitz表示,這些企業(yè)正在購買最新的工具來檢測(cè)可疑電子郵件,并為員工提供阻止這些可疑電子郵件的方法。Thales集團(tuán)是一家總部位于巴黎的開發(fā)商,為航空航天、交通、國(guó)防和安全行業(yè)開發(fā)設(shè)備和技術(shù)。
他說,盡管這樣做很好,但網(wǎng)絡(luò)攻擊者總是會(huì)變得更老練。
Liebowitz說:“我認(rèn)為有很多企業(yè)沒有重視員工的網(wǎng)絡(luò)安全培訓(xùn)。他們可能擁有最好的工具,但如果沒有對(duì)員工進(jìn)行安全培訓(xùn),那么也可能會(huì)發(fā)生糟糕的事情。”
Avanade公司北美安全主管Justin Haney表示,雖然一些企業(yè)已經(jīng)部署了正確的工具,并有適當(dāng)?shù)墓ぷ髁鞒虂泶驌艟W(wǎng)絡(luò)釣魚活動(dòng),但他們還沒有充分主動(dòng)地配置這些工具。
他說,“例如,一些工具可能會(huì)標(biāo)記和檢測(cè)到惡意電子郵件,但不會(huì)自動(dòng)阻止,企業(yè)應(yīng)該部署特定的策略來應(yīng)對(duì)已經(jīng)識(shí)別出的潛在網(wǎng)絡(luò)釣魚活動(dòng),而不是由分析師人工地完成工作。”
3.沒有采取全面和深入的防御策略
一些反網(wǎng)絡(luò)釣魚策略失敗的企業(yè)沒有采取全面和深入的防御策略。Haney說,“他們可能專注于特定的技術(shù),例如電子郵件反釣魚、多因素認(rèn)證、數(shù)據(jù)加密、端點(diǎn)/移動(dòng)安全,而沒有關(guān)注其他降低風(fēng)險(xiǎn)的技術(shù),例如檢測(cè)泄露的身份。”
Lexmark公司的首席信息技術(shù)官Bryan Willett表示,如果不實(shí)施全面和深入的防御策略,而僅僅依靠反網(wǎng)絡(luò)釣魚程序,那么只需要一次成功的攻擊就能摧毀整個(gè)系統(tǒng)。信任基于電子郵件的防御方法或嚴(yán)重依賴用戶的安全培訓(xùn)本身就有缺陷,因?yàn)槿藗內(nèi)菀追稿e(cuò)誤,而網(wǎng)絡(luò)攻擊者只需要利用其中的一個(gè)錯(cuò)誤就能成功進(jìn)行攻擊。
Willett表示,防御網(wǎng)絡(luò)釣魚攻擊的最佳方法是通過分層防御方法。這包括在每個(gè)工作站上都有良好的端點(diǎn)檢測(cè)和響應(yīng)(EDR)系統(tǒng),強(qiáng)大的漏洞管理程序,為每個(gè)用戶和管理帳戶啟用多因素身份驗(yàn)證,以及在LAN/WAN上實(shí)現(xiàn)分割以限制受感染系統(tǒng)的傳播。
Willett補(bǔ)充說,“通過采取這些預(yù)防措施并實(shí)施多層防御,企業(yè)可以最好地防止網(wǎng)絡(luò)釣魚攻擊。我們必須假設(shè)網(wǎng)絡(luò)攻擊者會(huì)在某一時(shí)刻成功攻擊。因此,我們需要考慮到這一假設(shè),采用全面和多層次的防御方法。”
4.未能培訓(xùn)員工識(shí)別網(wǎng)絡(luò)釣魚企圖
位于紐約的曼哈頓維爾學(xué)院的首席信息官Jim Russel表示,雖然告知員工不要點(diǎn)擊未知發(fā)件人電子郵件中的鏈接或打開附件很重要,但企業(yè)還必須培訓(xùn)員工如何識(shí)別欺詐電子郵件。
他說,“我們?cè)诰W(wǎng)絡(luò)安全培訓(xùn)中談到的一件事是可以采用真實(shí)的聲音,這是識(shí)別欺詐電子郵件的最重要因素之一。然而,人們?cè)陔娮余]件中進(jìn)行快速交流是安全漏洞之一。但幸運(yùn)的是,作為一個(gè)學(xué)術(shù)團(tuán)體,我們大多數(shù)人都是用完整的句子寫作的。他們可能有一個(gè)標(biāo)準(zhǔn)的稱呼。例如,‘嗨,勞倫,你好嗎?’就是一種典型的介紹。所以,如果沒有這些識(shí)別因素,就會(huì)缺乏真實(shí)性。”他表示,曼哈頓維爾學(xué)院的員工也接受過網(wǎng)絡(luò)安全培訓(xùn),可以將任何可疑的電子郵件轉(zhuǎn)發(fā)給Russel帶領(lǐng)的團(tuán)隊(duì),他們將會(huì)確定電子郵件的真實(shí)性。
戴爾科技公司的首席信息官Cross也認(rèn)為,成功的反網(wǎng)絡(luò)釣魚策略首先需要提高員工的網(wǎng)絡(luò)安全意識(shí),讓他們知道如何識(shí)別釣魚電子郵件,并了解如何報(bào)告。這種方法是從許多企業(yè)常用的“不點(diǎn)擊”策略轉(zhuǎn)變而來的。Cross表示,實(shí)現(xiàn)零點(diǎn)擊率是一個(gè)不切實(shí)際的目標(biāo)。與其相反,教會(huì)員工如何報(bào)告可疑電子郵件,可以讓安全團(tuán)隊(duì)快速評(píng)估潛在威脅,并減輕其他人受到類似攻擊的影響。他指出,企業(yè)可以在電子郵件平臺(tái)中嵌入工具,讓員工更容易報(bào)告可疑的電子郵件。
然而,全球?qū)徲?jì)、稅務(wù)和咨詢機(jī)構(gòu)Mazars公司網(wǎng)絡(luò)安全業(yè)務(wù)的國(guó)家PCI實(shí)踐負(fù)責(zé)人Jacob Ansari表示,這種類型的網(wǎng)絡(luò)安全培訓(xùn)還不夠深入。他說:“大多數(shù)反網(wǎng)絡(luò)釣魚策略的效果有限,因?yàn)樗鼈冡槍?duì)的是眾所周知的冰山一角:用戶行為。”他表示,只有在網(wǎng)絡(luò)釣魚計(jì)劃與合法的商業(yè)活動(dòng)區(qū)分開來的情況下,培訓(xùn)用戶識(shí)別網(wǎng)絡(luò)釣魚攻擊才是有效的。但是,當(dāng)員工被期望從事與網(wǎng)絡(luò)釣魚計(jì)劃類似的活動(dòng)時(shí),任何反網(wǎng)絡(luò)釣魚的努力都將很快付諸東流。
他說:“例如,一家企業(yè)要求用戶點(diǎn)擊第三方發(fā)送者發(fā)送的鏈接來完成背景調(diào)查,或通過在其他地方托管的網(wǎng)頁表單中輸入個(gè)人信息來獲得福利,這是一種常規(guī)的商業(yè)慣例,這會(huì)降低反網(wǎng)絡(luò)釣魚培訓(xùn)的價(jià)值。”
Ansari表示,除了培訓(xùn)用戶之外,安全團(tuán)隊(duì)還需要與業(yè)務(wù)主管合作,重新設(shè)計(jì)業(yè)務(wù)流程,盡量減少電子郵件中點(diǎn)擊鏈接的使用,并要求員工與第三方互動(dòng)需要遵守企業(yè)安全通信標(biāo)準(zhǔn),從而使業(yè)務(wù)流程不再看起來類似于網(wǎng)絡(luò)釣魚。
他說:“企業(yè)還需要確保業(yè)務(wù)的所有部分,例如人力資源、營(yíng)銷和財(cái)務(wù),以負(fù)責(zé)任的方式與第三方和企業(yè)內(nèi)部溝通,避免出現(xiàn)網(wǎng)絡(luò)釣魚的情況。”
5.缺乏執(zhí)行/激勵(lì)措施
Safi表示,即使一家企業(yè)制定了強(qiáng)有力的網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃和政策,如果違反政策的員工沒有受到懲罰,這些培訓(xùn)可能也不會(huì)起作用。例如,如果一名員工中了釣魚郵件的圈套,卻沒有報(bào)告,就應(yīng)該承擔(dān)相應(yīng)的責(zé)任,這樣將促使其他員工在未來的行為更加安全。
Russell表示,在曼哈頓維爾學(xué)院,上當(dāng)受騙的員工必須在10天內(nèi)學(xué)習(xí)一定數(shù)量的在線網(wǎng)絡(luò)培訓(xùn)課程。如果他們只是點(diǎn)擊一個(gè)鏈接,就需要完成一次培訓(xùn)。然而,如果他們提供了自己的登錄憑證,則必須完成三次。
他補(bǔ)充說:“我還會(huì)查看那些中了網(wǎng)絡(luò)釣魚圈套的人員名單,并確定那些擁有更高特權(quán)的人員(例如副總裁),然后對(duì)他們進(jìn)行懲罰。我還會(huì)跟蹤屢次犯錯(cuò)和那些沒有接受訓(xùn)練的人員,他們也會(huì)受到懲罰。”
6.過度依賴模擬網(wǎng)絡(luò)釣魚測(cè)試
凱捷公司的網(wǎng)絡(luò)安全服務(wù)主管Sushila Nair表示,當(dāng)前反網(wǎng)絡(luò)釣魚策略的另一個(gè)致命弱點(diǎn)是,一些企業(yè)希望用戶將訓(xùn)練成100%不會(huì)出錯(cuò)的人員。她說:“人們普遍認(rèn)為,最終用戶在遭受網(wǎng)絡(luò)釣魚攻擊時(shí)應(yīng)該受到指責(zé)。然而,企業(yè)必須問自己,‘是否真的在審視和衡量自己的價(jià)值,也就是必須確保用戶完全不會(huì)落入模擬網(wǎng)絡(luò)釣魚測(cè)試的圈套?’”
如果測(cè)試很復(fù)雜,那么會(huì)有更多的人面臨失敗。她補(bǔ)充說,如果測(cè)試相當(dāng)簡(jiǎn)單,那么每個(gè)人都能順利通過。對(duì)于一些首席信息安全官來說,在董事會(huì)會(huì)議上展示改進(jìn)的用戶可靠性指標(biāo)很具有誘惑力。然而,企業(yè)領(lǐng)導(dǎo)者必須接受這樣一個(gè)事實(shí):無論如何進(jìn)行網(wǎng)絡(luò)安全方面培訓(xùn),仍有一些用戶會(huì)點(diǎn)擊網(wǎng)絡(luò)釣魚鏈接,在工作壓力加大的時(shí)候,這個(gè)數(shù)字還會(huì)增加。
Nair表示,更糟糕的是,許多企業(yè)運(yùn)行模擬網(wǎng)絡(luò)釣魚測(cè)試,使點(diǎn)擊鏈接正?;air說:“如果你點(diǎn)擊一個(gè)鏈接,它可能會(huì)讓你進(jìn)入一個(gè)門戶網(wǎng)站,然后提示‘你被愚弄了’。 但強(qiáng)迫用戶在模擬過程中進(jìn)行訓(xùn)練會(huì)產(chǎn)生相反的效果——他們更有可能點(diǎn)擊鏈接。”Nair補(bǔ)充說,由于在繁忙和緊張的一天中點(diǎn)擊了一個(gè)鏈接而不得不接受網(wǎng)絡(luò)安全培訓(xùn),這會(huì)讓大多數(shù)用戶厭煩完成網(wǎng)絡(luò)安全培訓(xùn),并在不集中注意力的情況下盡快完成。
她說:“它不僅會(huì)產(chǎn)生這種影響,還會(huì)影響用戶對(duì)釣魚電子郵件的反應(yīng)。他們不會(huì)點(diǎn)擊奇怪的電子郵件,因?yàn)樗麄冋J(rèn)為這是一個(gè)測(cè)試,但他們也不會(huì)報(bào)告。”
最重要的是,反網(wǎng)絡(luò)釣魚項(xiàng)目經(jīng)常失敗,因?yàn)槿藗內(nèi)菀追稿e(cuò)。美國(guó)Burr & Forman律師事務(wù)所網(wǎng)絡(luò)安全和數(shù)據(jù)隱私團(tuán)隊(duì)聯(lián)合主席、律師Elizabeth Shirley表示,盡管經(jīng)過網(wǎng)絡(luò)安全培訓(xùn),并盡了最大努力,但人們還是會(huì)犯錯(cuò)。她說:“人們也很情緒化,通常對(duì)產(chǎn)生緊迫感或必要性的網(wǎng)絡(luò)釣魚郵件具有本能反應(yīng)。這些情況不會(huì)改變。釣魚郵件仍將繼續(xù)存在,至少在可預(yù)見的未來是這樣。”
關(guān)于企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。