安全419《大咖聊新闻》丨互联网大厂遭钓鱼攻击
近日,一则互联网巨头公司大量员工遭遇钓鱼邮件攻击的新闻,成为行业热议话题。网络安全建设越来越好的今天,为何该类事件依然频繁上演?我们又该如何避免?安全419视频栏目《大咖聊新闻》邀请到了数位大咖,看看他们都给出了什么看法和建议。
本期视频嘉宾:
何艺,持安科技创始人&CEO
王宇,零零信安创始人&CEO
张瑞冬,无糖信息创始人&CEO
单独受访嘉宾:
黑哥(周景平) 知道创宇CSO、著名白帽子黑客
为何类似钓鱼邮件攻击是时有发生?
何艺指出,安全有一个很大的特点就是木桶效应,企业自身做安全不应该只盯着自己最强的那块板子,而是要看短板在何处。对应来说,黑客也会从你最薄弱的环节去做攻击。现在企业自身的安全状态更多的是集中在业务一侧,这本质上没有错,但长此以往办公安全就会被忽视,而办公网场景来自环境和人员方面都要更加复杂,特别是大型企业,更容易出现问题。
王宇认为,发生类似事件的根本原因就在于当前几乎所有的企业在构建自己的安全体系的时候往往从自身的角度出发,主要着眼于已知风险的防御,而忽略了攻击者的视角。如今有组织的网络攻击,早已从漏洞、口令等逐渐演变成基于组织机构数字暴露面的通用漏洞、事件型0day、移动端应用/APK攻击、API攻击、文档和文件泄露、企业敏感信息泄露、勒索软件攻击、电子凭证攻击、供应链攻击、社工库攻击、邮件钓鱼、鱼叉攻击等为一体的综合型攻击工程。在这些攻击面前,传统的防御体系对于基于外部视角的攻击防御能力几乎为0。
张瑞冬表示,互联网公司整体安全情况相比之下已经要好很多,但人为导致的安全问题住住难以避免,只能通过一些基础安全规则的建设,来避免此类问题的发生。他指出,企业不能把等级保护、分级保护等安全等级制度当成应付检查的事情来对待,“形而上”的安全建设,依然是很多传统大型企业的基本弊病,虽然这些企业买了很多安全设备,但大多数都是处于默认配置状态,虽然招了很多的安全人员,但因为业务部门强对抗性,依然不能建立一个非常有效的安全制度。形同虚设的安全基线,不遵守安全制度的人,都是会导致此类型问题频繁发生。
面对钓鱼邮件攻击的安全建议
对于如何防范此类攻击,何艺给出了四点建议:
第一,类似事件的特点是攻击者会先去攻击企业的邮件系统,拿到权限之后,用正常员工的身份去发送钓鱼邮件,这就极具欺骗性和迷惑性。很多企业邮件系统直接对公网暴露,容易因弱口令、撞库等问题导致被攻击者获取权限。为了避免此类事件发生,建议可以通过应用零信任平台来收敛攻击面,并通过粒度的访问控制阻止黑客获得权限,以提高黑客攻击成本。
第二,要对企业邮件系统的登录环节做多因素验证,这一操作也会进一步提高黑客获取邮件账户权限的成本,从而降低被钓鱼风险。同时,还可以在邮件网关上部署反垃圾邮件等类似系统,虽然该类系统并不能完全阻断钓鱼邮件,但还是有必要去部署,以达到降低风险发生可能性的目的。
第三,钓鱼攻击还可以通过挂载后门程序的方式发起攻击,比如通过邮件内的链接诱导用户下载、点击带有恶意程序的文件,从而进一步达到控制主机系统的目的,这种攻击行为会涉及到端点的安全对抗,企业则需要为员工办公环境部署相应的端点安全产品来解决这一威胁。
第四,关于员工个人的安全意识培训非常必要,虽然这不能够起到百分之百的效果,因为一定会有人去点钓鱼邮件,但是只要能做到当有人发现可能存在钓鱼行为的邮件时去主动上报,就可以大幅度加快后期安全响应的速度,甚至是及时完全阻断风险。
王宇则建议甲方企业在构建自身安全体系的时候,一定不要忽视攻击面管理这方面的建设。要力争做到比攻击者更快、更全、更准确的获悉企业的外部风险,包括信息资产暴露面、影子资产、漏洞、弱口令,以及泄露的文档和代码、组织和人员信息,还有供应链风险等。只有让企业拥有攻击者的视角,缩短发现风险的时间,从而降低企业受到攻击的可能性,才能建立更高级别的动态主动防御体系。
张瑞冬表示,如果只是钓鱼邮件这类问题的话,设立基本的安全基线,轮巡扫描检测机制,做多因子认证,权限划分,都可以避免或者控制类似攻击所产生的后果。他明确指出,培养员工的安全意识极为重要,尤其是反诈骗的意识,因为技术问题往往只是这些问题中的一环,更多还是源于大家的安全意识不够,才导致此类型问题的发生。
知道创宇CSO、著名白帽子黑客——黑哥(周景平)还就该问题与我们进行了额外的交流:
黑哥指出,不同岗位的员工鉴别钓鱼邮件的能力不同,一些低劣的钓鱼攻击可以一眼被技术岗位的员工所识别,但对于非技术岗员工而言,通常难以评估类似邮件是否带有其他恶意目的。
黑哥表示,很多人天天都会被各种广告、开发票等垃圾邮件轰炸,从网络安全角度去看的话,这些邮件通常没有真正的危害性,但仍然需要对潜在的危险产生怀疑,并且在确认没有任何问题之前,不要去点击邮件中的任何链接,或是扫描任何的二维码,以避免可能被钓鱼的风险。
“如果你确定发现邮件中存在可疑之处,可以联系安全部门的同事来帮助你甄别。”黑哥说道,"有了安全意识,还要通过适当的安全基线以及制度,来彻底解决类似安全事件的发生。在制度方面,比如老板给你发邮件下达项目指令,类似的情况其实是很有必要通过制度来保障安全的,因为作为企业VIP人员,他的邮箱也是最容易被泄露的。这一点必须要获得重视,因为当攻击人员窃取了高级别人员的邮箱账户去发起钓鱼攻击,其危险性极高。"
为了让企业员工养成良好的安全意识,不能光靠说教,应该进行完全的模拟演习测试,也就是我们常说的实战演练。作为知道创宇CSO,黑哥就会经常对员工开展这方面的工作,“安全意识培训并不简单,只有让员工亲身经历过类似安全事件,甚至要让他们有那种‘一朝被蛇咬,十年怕草绳’的感觉,他才能体会到安全意识对于防范类似钓鱼攻击对企业甚至是个人安全的重要性。”
THE END
// 推荐阅读