挫敗BEC攻擊的最佳實踐
商務電郵入侵(BEC)指的是沒有任何攻擊載荷的所有電子郵件攻擊類型。盡管種類繁多,但攻擊者基本上通過兩種主要機制利用BEC技術滲透進企業網絡:冒用和賬戶盜用攻擊。
最近發布的研究顯示,71%的企業承認去年遭到過商務電郵入侵(BEC)攻擊。43%的企業在過去12個月里經歷過安全事件,其中35%聲稱BEC/網絡釣魚攻擊占據這些事件的50%以上。
美國聯邦調查局(FBI)互聯網犯罪投訴中心(IC3)報告稱,BEC欺詐是2020年代價最高昂的網絡攻擊,共有19,369起投訴,損失約18億美元。近期的BEC攻擊包括對Shark Tank主持人Barbara Corcoran的攻擊(損失38萬美元);波多黎各政府遭受的攻擊(損失400萬美元);還有日本媒體巨頭日經新聞社被欺詐電子郵件騙走的2900萬美元。
為挫敗BEC攻擊,企業必須關注黃金三角:人員、過程和技術的協調統一。以下就是緩解BEC攻擊應遵循的最佳實踐。
過程
每家公司的財務部門都設置有支出授權策略。該策略為每筆支出/付款建立了清晰的批準層級,從而保護公司的資產。
盡管所有支出/付款都應從已批準的預算中開支,這一策略還是為財務部門提供了工具,確保每筆付款均由適當人員根據金額授權。
某些情況下,公司首席執行官或總裁在要求付款方面被賦予了無限權力。網絡罪犯深知這一點,所以經常假冒高層人員的電子郵件賬戶。
考慮到當前的網絡安全狀況,財務部門應當重新評估這種策略,設置更嚴格的過程。這可能意味著要對通過支票、電匯或任意其他渠道的重要開支實施多重授權,從而確保付款請求是合法的。或許還可以闡明如何獲得電子授權。
比如說,如果財務部門某員工收到了首席執行官要求電匯的電子郵件,處理該請求的行政人員須遵從公司策略獲得額外的批準,例如向預先核準的通訊組列表發送電子郵件以獲得電子批準,以及通過電話確認。開支金額決定了誰能簽字和共同簽署,并且可能基于公司的風險偏好,即公司愿意承受多大的損失。
IT團隊成員應與財務部門溝通,解釋BEC及其他欺騙攻擊是如何發生的,給出近期BEC攻擊真實案例,并頭腦風暴出公司能夠采取哪些不同措施來阻止攻擊。基于這些案例,財務部門應在將網絡安全欺騙和BEC納入考慮的情況下重新評估當前策略。這可能意味著董事會主席、首席執行官或公司總裁并非主要開支的簽字人,且基準金額取決于公司的風險偏好。
這個過程在開支授權策略范圍內建立起來后,公司必須確保其人員接受培訓,無一例外地遵守這一策略。
人員
公司所有員工都必須經過培訓,知道網絡安全攻擊長什么樣子,該做什么,不該做什么;而且培訓應該持續進行,因為網絡安全狀況變化很快。
財務部門的員工,或者有權支付任意形式資金的人,應該接受有關BEC及其他欺騙攻擊的培訓。
強調很多這種攻擊都以高管電子郵件的形式出現,往往標著“緊急”字樣,有時候會在逼近下班時間發出請求,并要求立即付款。通過這種培訓,再加上要求所有員工都遵循開支授權策略,公司應該就能夠阻止BEC攻擊了。
很多公司購買網絡保險來彌補BEC損失,但沒有哪家企業能夠確定保險公司會賠付。例如,貿易公司Virtu Financial Inc. 在一場BEC騙局中損失了690萬美元,但其保險商Axis Insurance拒絕賠付,宣稱“Virtu計算機系統遭受的未授權訪問不是造成損失的直接原因,損失實際上是由Virtu員工的獨立干預行為造成的,因為他們對要求轉賬的‘假冒’電子郵件信以為真并發出了電匯。”Virtu Financial Inc.對Axis Insurance提起訴訟,指控該保險公司拒絕承保網絡攻擊,違反了合同。
技術
下一代高級網絡安全技術有助于在威脅觸及最終用戶之前阻止任何電子郵件威脅,包括垃圾郵件、網絡釣魚、BEC及后續攻擊、高級持續性威脅(APT)和零日漏洞攻擊。
此類解決方案包括:
● 反垃圾郵件引擎:以反垃圾郵件和基于信譽的過濾器阻止惡意通信。
● 反網絡釣魚引擎:在波及最終用戶前檢測惡意URL并阻止任意類型的網絡釣魚攻擊。
● 反欺騙引擎:阻止欺騙、相似域名和顯示名稱欺騙等無載荷攻擊。
● 反規避技術:將內容遞歸解包成更小的單元(文件和URL),然后由多個引擎在幾秒鐘內動態檢查,從而檢測惡意隱藏內容。
● 機器智能(MI)和自然語言處理(NLP):檢查內容和上下文中偏離正常的畸變,例如識別異常書寫風格、可能預示惡意活動的關鍵詞、奇怪的IP地址、地理位置、時間等。
● 檢測:防止高級威脅和零日攻擊。
● 即時電子郵件分析:供最終用戶在采取魯莽行動之前識別惡意電子郵件。
● 最終用戶上下文幫助:以基于策略和規則的定制旗標標記電子郵件,從而向最終用戶提供額外的上下文信息,提高他們的安全意識。
解決方案應能夠檢測并阻止欺騙及賬戶盜用攻擊,網絡罪犯往往會借助這些攻擊訪問合法電子郵件賬戶,并試圖進一步深入公司網絡。
結語
因精通這些攻擊,Acronis網絡保護解決方案廣為企業和托管服務提供商(MSP)所推崇。憑借機器智能(MI)、自動化和集成的獨特組合,該多功能網絡保護解決方案有助于降低業務風險和提高生產效率,而不管數據丟失是如何發生的。
