防御網絡釣魚的九大關鍵措施

網絡釣魚依然是當今企業面臨的頭號網絡安全威脅，從憑證泄露到惡意軟件投放，超過八成的網絡攻擊都將網絡釣魚作為初始攻擊媒介。根據APWG最新發布的網絡釣魚活動趨勢報告，2022年第一季度共檢測到1,025,968次網絡釣魚攻擊，創下季度歷史新高。2022年3月發生了384,291次攻擊，創下月度攻擊次數的紀錄。

根據OpSec Security最新發布的報告，2022年第一季度網絡釣魚攻擊顯著增加，其中針對包括銀行在內的金融機構的網絡釣魚攻擊最多，占所有網絡釣魚的23.6%。針對網絡郵件和軟件即服務(SaaS)提供商的攻擊仍然猖獗。

近日，CSOonline整理了國外眾多網絡安全人士對網絡釣魚防御的九大關鍵措施建議，內容涵蓋工具、政策和最佳實踐，可以幫助企業和個人提高網絡釣魚攻擊的“免疫力”，具體內容如下：

1、不要對情緒觸發做出應激反應

網絡釣魚會運用各種社會工程技巧，最常見的就是利用人員的情緒沖動和應激反應。網絡數據科學公司Cybeta的首席顧問Armond Caglar表示，用戶必須了解網絡釣魚電子郵件背后的心理游戲規則，才能真正抵制它們。

“最常見和最成功的網絡釣魚電子郵件通常會精心設計誘餌，其中包含鼓勵用戶快速行動的心理觸發器，通常是出于對錯過的恐懼，”他解釋道。“這可能包括冒充快遞公司的電子郵件，謊稱包裹投遞失敗、無人認領；或人力資源部門對各種公司政策的重要更改。其他誘餌可能包括利用社會熱點事件鼓勵用戶出于道德感、貪婪或無知采取行動的觸發器。”

Caglar補充說，“在如何識別和避免被網絡釣魚詐騙方面，用戶必須問自己，‘我是否被迫迅速采取行動？’或‘我被操縱了嗎？’”

用戶需要對觸發焦慮的電子郵件保持高度警惕和冷靜，不要急于采取行動。如果一封電子郵件看起來很奇怪，并且它正在促使你做某事（或增加你的血壓），那么它很可能是一封網絡釣魚電子郵件，而IT同事或專業人員可以快速為您檢查該電子郵件。

2、制定高管緊急請求的處置政策和程序

網絡釣魚者經常會偽造高級管理層的“緊急請求”郵件或語音通話來誘使員工忙中出錯，未經核實就轉賬資金或泄露賬號密碼。Cloudways工程副總裁Paul Haverstock表示，為了解決這個問題，企業應該制定明確的應急程序。“當員工認為他們收到了雇主的緊急要求時，他們會感受到立即采取行動的巨大壓力，”他解釋道：“企業需要明確說明為什么以及何時會向員工發出緊急請求，以及如何驗證請求的合法性。企業還需要強調他們永遠不會提出哪些請求，例如不使用標準支付流程立即進行銀行轉賬付款。”

網絡安全培訓專家Scott Lieberman指出：“如果你收到主管發來的電子郵件，要求你輸入公司網站后端的密碼，請不要急于操作，先使用企業內部協作工具或者拿起電話給你的主管打電話詢問一下。”

“企業可以采取的一項重要預防措施是制定有關共享敏感數據的基本政策，”One Identity全球IAM戰略副總裁Larry Chinski補充道：“這可以像確保只有一小部分員工被告知財務信息和登錄憑據一樣簡單，這可以最大限度地減少人為錯誤的機會。您可以通過為高度敏感的數據創建層次分析流程來確保更高的安全性請求。這意味著更長的批準時間，可對可疑請求進行更深入的審查。”

全球獨立安全和隱私合規評估機構Schellman的安全倡導者和新興網絡趨勢分析師Jacob Ansari表示，企業在日常工作流程中需要注意不要讓內部通信看起來像是網絡釣魚。例如，與其在電子郵件中發送鏈接供員工點擊，不如指示登錄公司內部網。公司領導層應停止通過電子郵件附件發送Office文檔，而是將文檔放在適當的文件存儲庫中并將其傳達給員工。鏈接和附件是網絡釣魚攻擊的主要工具，最大限度地減少其合法使用增加暴露網絡釣魚攻擊的機會。

3、培訓和測試員工發現網絡釣魚電子郵件的能力

許多（如果不是大多數）員工自以為能夠發現網絡釣魚電子郵件，他們可能過于自信了。CyZen的高級網絡安全顧問Michael Schenck說：我們都聽說過如何鑒別釣魚郵件的基本特征，例如不按姓名稱呼您或在電子郵件正文中出現的語法錯誤。不幸的是，越來越多的黑客開始通過自然語言AI機器人來改進郵件內容，使其更加難以識破。

企業需要持續對員工培訓和測試，讓員工安全意識保持在最前沿，最好聘請第三方測試公司定制網絡釣魚攻擊。HelpSystems的Digital Defense產品管理副總裁Mieng Lim建議：“定制攻擊通常會使用各種工具，并且可以以‘低速且緩慢’的方式進行，盡可能隱蔽，這樣才能測試出員工抵御網絡釣魚的真正能力。”

培訓還應針對特定的受眾量身定制。Expel安全運營副總裁Jonathan Hencinski說：“安全團隊可以針對最有可能面對的網絡釣魚活動對特定業務部門進行培訓。”“例如，開發人員可能會看到以云計算廠商為主題的活動，而招聘人員可能會看到以簡歷為主題的網絡釣魚誘餌。”

4、鼓勵用戶舉報釣魚郵件

企業還可以考慮設置一個釣魚郵件舉報的獎勵系統，游戲化可以讓每個員工都保持警覺，同時讓事情變得有趣。它還可以保持對話的進行，對用戶和IT部門來說是個雙贏的選擇。

Carvalho建議為潛在的網絡釣魚創建一個內部報告系統。如果IT安全團隊核實電子郵件是網絡釣魚郵件，就將發現者放入一個獎池中，每月抽獎1000美元。“企業很快就會擁有一支積極主動的員工安保隊伍，”他說。“通過將網絡釣魚防御機制從恐懼驅動轉變為賞金驅動，企業每年支出1.2萬美元的成本就能降低數百萬美元的風險——這只是企業網絡風險緩解預算的一小部分，性價比非常高。”

就動機而言，胡蘿卜比大棒更有效。“永遠不要排斥或懲罰成為獵物的用戶，”Nuspire網絡威脅分析師Josh Smith強調：“大棒只會讓網絡釣魚受害者受到二次傷害。”

Netacea首席安全研究員Cyril Noel-Tagoe表示，如果您希望人們舉報電子郵件，那么您應該讓事情變得簡單。“繁瑣的報告流程（例如，將可疑電子郵件的副本附加到新電子郵件并將其發送給IT）——應該被用戶友好的替代方案代替，例如集成到電子郵件客戶端中的報告按鈕，”他說。“這將有助于促進一種規范地報告可疑電子郵件的文化。”

5、監控暗網

“監控暗網應該是任何企業在網絡釣魚電子郵件到達員工收件箱之前的核心防御策略，因為許多網絡釣魚操作都是從在暗網市場或論壇上泄露或出售的公司憑據開始的，”Searchlight Security首席技術官Gareth博士指出：“持續監控暗網中的公司名稱和公司電子郵件地址可以在犯罪分子偵察階段及時發現企業是否即將成為網絡釣魚活動的目標。”

最難防范的網絡釣魚是那些從被入侵的合法企業電子郵件地址發出的郵件，因此企業需要通過暗網監控及時發現郵件賬戶密碼是否已經泄露，并要求受影響的個人立即更新密碼。

6、了解哪些類型的信息會讓你成為目標

當然，每個人都應該意識到潛在的網絡釣魚危險，但新員工尤其需要保持警惕，Schellman的Ansari說：“網絡釣魚者在LinkedIn或類似的職業社交網站上尋找新入職人員，然后通過郵件或短信來發動針對性攻擊，因為新人是最脆弱的。安全團隊需要注意警告新員工注意防范這些潛在的攻擊。”

另一個需要時刻保持警惕的群體是高級管理層。“最近出現了針對高價值個人的捕鯨攻擊，”安全測試公司Lumu的創始人兼首席執行官Ricardo Villadiego說：“企業需要為高級領導者制定專門的數據隱私政策和預案。企業應鼓勵高管和高級員工在社交媒體上減少隱私暴露，并確保盡可能從公共檔案中清除或減少個人信息。”

7、使用正確的工具和技術來防止網絡釣魚

完全杜絕員工收到網絡釣魚電子郵件是不可能完成的任務，托管IT服務提供商Intrust IT的業務增長主管Dave Hatter認為，企業至少可以減少釣魚郵件數量：使用一個好的電子郵件預過濾解決方案，該解決方案能夠在在垃圾郵件到達郵件服務器之前進行攔截。對于使用Microsoft 365的用戶，建議使用Microsoft 365高級威脅防護來提供額外的過濾。

實施多因素身份驗證(MFA)能夠有效降低員工賬戶密碼被釣魚的可能。Netskope威脅研究總監Ray Canzanese建議同時使用其他工具來擴展這種保護："單點登錄(SSO)意味著您只需在一個地方啟用MFA，通行所有服務。而安全Web網關(SWG)可以使用威脅情報、簽名、啟發式的組合來阻止網絡釣魚頁面；機器學習則可用來來實時識別和阻止網絡釣魚頁面。您可以配置SWG以防止用戶將憑據提交到未知位置。如果您使用的是SSO，則該SSO門戶可能是您的用戶應該輸入其憑據的唯一地方，因此您應該配置一個策略，以防止在其他地方輸入憑據。”

密碼管理器也很有用。它不僅會阻止您的員工重復使用密碼，而且還能用于識別虛假的網絡釣魚頁面，因為密碼管理器不會在釣魚頁面上自動填充憑據。

網絡安全公司OPSWAT的創始人兼首席執行官Benny Czarny表示，還存在一些工具可以在電子郵件到達用戶收件箱之前對其進行徹底清理，并且應該使用這些工具。“使用多重掃描技術掃描和分析下載到組織網絡的所有文件，”他建議道：“沒有一個防病毒引擎可以始終100%檢測所有威脅。通過使用多個防病毒引擎掃描電子郵件，企業可以增加快速檢測和緩解新威脅的機會。對于未知文件，沙盒動態掃描可以檢測惡意行為內容拆解和重建解決方案，也稱為數據清理，將分解并完全重建具有潛在危險的文件，在此過程中剝離不安全的對象，同時保持可用性。”

如果您想從根本上消滅網絡釣魚電子郵件，也不是完全沒有辦法。Analyst1的首席安全策略師Jon DiMaggio給出了一個可能不受歡迎的建議：“只允許純文本電子郵件，并限制附件類型。純文本電子郵件杜絕了用戶點擊惡意鏈接或運行腳本的可能，網絡釣魚攻擊中常用的很多策略都會失效。”

8、使合法電子郵件更容易識別

防御網絡釣魚的另一個關鍵措施就是讓合法郵件看上去更加合法。如果您擁有使員工更容易識別網絡釣魚郵件的政策和工具，那么您就已經處于領先地位。“將未從公司域名發送的電子郵件標記為‘外部’，”ESET首席安全傳播者Tony Anscombe說道：“這是對用戶提高警惕的視覺警告，對企業IT團隊來說是事半功倍的做法。”當電子郵件來自臨時注冊的類似域名并且乍一看可能像內部消息時，這一方法尤其有用。

當然，如果員工認識的人的真實地址出現在“發件人：”字段中，員工就很難嗅出虛假電子郵件，聰明的黑客還可以通過電子郵件欺騙來實現這一點，Sentrium's King說。“確保您的域名系統(DNS)記錄設置正確，以防止欺騙。”他敦促道。

托管安全服務提供商CYREBRO的網絡威脅響應主管Kfir Azoulay建議使用其他與DNS相關的工具。企業IT部門應實施DNS身份驗證服務，例如基于域的消息身份驗證、報告和一致性(DMARC)、域密鑰識別郵件(DKIM)和發件人策略框架(SPF)協議，以確定電子郵件是否來自特定域名。

另一種嗅探惡意電子郵件的解決方案是“將企業的郵件系統與情報源集成，以創建黑名單并防止接收來自惡意來源的電子郵件，”Azoulay說：“然后可以追溯電子郵件以查看其服務器之間的躍點。當惡意IP與黑名單上的IP匹配時，該電子郵件應被視為無效。”

9、制定網絡釣魚事件的響應預案

當員工成為網絡釣魚的受害者時，IT部門埋怨員工是沒有用的，但Wolf&Company,PC的IT保障和咨詢團隊經理Sean D. Goodwin強調：IT部門最終必須承擔保護公司的責任，最終用戶畢竟不是安全專家，不能期望過高。

即使您遵循了網絡釣魚防御的最佳實踐和建議，也不能完全避免網絡釣魚攻擊的發生，IT和安全團隊需要為攻擊發生后的響應制訂預案。LogRhythm的高級威脅研究工程師Sally Vincent指出：“安全團隊必須制定計劃來應對遭受網絡釣魚攻擊的用戶，并對網絡釣魚事件的響應進行桌面演練。”