电子邮件网络钓鱼可能是当今最古老也是最有效的网络威胁。超过90%的网络攻击始于电子邮件网络钓鱼。据报道,谷歌每天拦截1800万封诈骗电子邮件,并在去年发现了创纪录的200万个网络钓鱼网站。
网络钓鱼攻击看起来不会很快消失,事实上,随着有组织的犯罪集团掌握暗网泄漏数据,网络钓鱼的针对性和有效性变得更高。对抗和缓解网络钓鱼非常具有挑战性,并且需要多层防御。以下让我们探索对抗电子邮件网络钓鱼的多层、纵深防御方法的三大要素:
01 政策、程序和文件
企业必须为员工和供应商制定关于设备、服务,以及个人责任范围内允许和不允许的行为指导方针。
可接受使用政策(AUP)是一个关键组成部分,每个人每年都必须对其进行记录、阅读、签署和审查。员工必须就安全意识培训的重要性、他们的流程将如何被监控,以及未能通过模拟练习和测试任何潜在的后果(进一步培训、咨询、互联网访问被锁定等)进行透明的交流。
反网络钓鱼政策通常涵盖有关网络钓鱼、常见社会工程诈骗和相关安全意识主题,以及有关人员如何对待和处理可疑威胁的培训工作。该文件应概要描述以下最佳实践内容:用户不得安装未经授权的软件;在点击之前总是分析网址;永远不要回复可疑的电子邮件或文本,并始终报告任何看起来可疑的电子邮件或交互;应与请求者口头确认超过特定额度的电汇,以防止商业电子邮件攻击或电汇欺诈。
业务连续性和灾难恢复计划有助于在发生网络攻击时最大限度地减少损失。这可以包括关于联系谁(危机管理顾问、网络安全保险等)的详细步骤,包括哪些团队(法律、人力资源、公共关系等)以及关于是否支付赎金的指导(勒索软件攻击)。
02 技术防御
虽然策略是防止网络钓鱼的重要战略基础,但拥有适当的技术防御可以有效地对抗网络钓鱼攻击。以下是最流行的纵深防御方法的摘要:
恶意软件缓解:恶意软件缓解:端点安全和网络安全工具(如防病毒、端点检测和入侵检测)是对抗网络钓鱼攻击(如DDoS、窃听、中间件和缓冲区溢出攻击)的一些最重要的工具。
内容过滤:由于员工粗心浏览互联网,许多企业成为网络钓鱼攻击的牺牲品。Web过滤或内容过滤策略可以帮助阻止访问某些站点,从而显著降低访问风险网站的可能性。
电子邮件客户端特定保护:大多数电子邮件客户端、Web浏览器和电子邮件提供商都提供默认或内置的反网络钓鱼功能(例如,默认情况下阻止所有文件下载)。
多因素身份验证:多因素身份认证MFA可以显著减少某些类型的网络钓鱼攻击。您的密码可能会意外被盗用,但辅助身份验证方法可以使您免遭进一步的攻击。
声誉服务:声誉服务将提供风险评分,并根据URL的来源建议、阻止或允许内容。黑名单服务将阻止来自已知恶意域的电子邮件,而白名单服务将只允许来自先前验证或授权域的内容。灰名单服务将首先拒绝电子邮件,稍后通过服务器请求副本来进一步确认当时无法识别的电子邮件地址的合法性。
密码管理器:密码管理器可以让用户轻松地跨多个站点存储长而复杂的密码,而无需依赖自己的记忆。它们显著降低了密码重复使用和单个密码泄漏的风险。
全球网络钓鱼防护标准:诸如发件人策略框架(SPF)、域密钥识别邮件(DKIM)、基于域名的消息身份验证、报告和一致性(DMARC)等网络钓鱼标准有助于保护域免受欺骗。启用这些后,接收者可以验证声称来自特定域的电子邮件的真实性。
红绿系统:在低风险容忍度和极高资产价值的环境中,可以为用户提供两个独立的系统。红色系统高度安全,仅包含关键任务应用程序,而绿色系统安全性较低,可用于互联网浏览和日常业务活动。
03 安全意识培训
研究表明,仅靠技术保障不足以提供针对网络钓鱼的最终保护,90天的模拟网络钓鱼可以帮助培养组织的安全文化,并将员工的被网络钓鱼倾向(PPP)降低60%以上。雇主采取的积极强化工作,例如公开表扬、礼券、聚餐派对,甚至现金奖励,都可以对培养健康的安全态势产生积极影响。
请记住,网络钓鱼易感性与智力无关。更高的智商并不意味着你不会被钓鱼,一些很聪明的人已经成为网络钓鱼攻击的牺牲品。组织需要采用多层次的方法,来将正确的策略和技术防御与肌肉记忆的培养相结合,使人们习惯于识别、拒绝和报告网络钓鱼企图。一个完整的纵深防御方法是提高公司网络安全弹性的良好开端。