应对欺骗和网络钓鱼邮件攻击的威胁 |第 6 部分#9

在下面的文章中，我们将回顾可用于应对网络钓鱼邮件攻击及其衍生的欺骗邮件攻击威胁的解决方案和方法。

成功应对攻击威胁以及网络钓鱼和欺骗邮件攻击需要哪些要素？

为了能够成功完成这项任务，我们需要承认我们的敌人的一个简单事实——他们是专业人士，熟悉我们的每一个盲点和弱点，并且他们会利用它，因为他们有很高的积极性。

现代欺骗邮件攻击和网络钓鱼邮件攻击是非常复杂的攻击，由几个“部分”组成，并利用我们邮件基础设施的弱点和用户的弱点（利用社交网络的攻击所利用的人为因素）机械法）。

如果一位政治候选人宣称——他有解决所有现有问题的办法，并且他可以在短时间内解决所有问题，请不要相信他！

同样的逻辑也适用于保护我们的组织免受欺骗邮件攻击和网络钓鱼邮件攻击的主题。不存在能够应对这种复杂攻击的“单一解决方案”，也没有能够识别并阻止 100% 此类攻击的解决方案。

我们正在寻找的“解决方案”，以解决方案的组合或“解决方案的逻辑扇”的形式实现，它将处理网络钓鱼邮件攻击及其衍生的欺骗邮件攻击的每个不同部分。

第一步也是最重要的一步是——需要“承认”。

1. 承认以下事实：欺骗邮件攻击和网络钓鱼邮件攻击非常复杂，并且包含许多“活动部件”。
2. 承认这样一个事实——我们必须学会像攻击者一样思考，了解欺骗邮件攻击和网络钓鱼邮件攻击的DNA和特征。
3. 承认“解决方案”将是技术解决方案、指南、教育等的结合。

在我们了解具体细节以及可用于处理欺骗邮件攻击和网络钓鱼邮件攻击的不同选项之前，先快速参考一下我们需要使用的“结构”：

网络钓鱼邮件攻击通过以下方式利用人为因素的弱点：

1. 使用可信发件人的欺骗身份
2. 使用社会工程方法说服和引诱受害者（我们的用户）“做某事”。

我们需要处理的第一件事是 - “欺骗电子邮件”现象。
幸运的是，目前，我们可以使用几个邮件标准来实施和执行流程，我们将能够识别大多数欺骗电子邮件场景。

我们需要处理的第二件事是——用户的教育。让我们的用户了解网络钓鱼邮件攻击的风险和特点，从而具备识别网络钓鱼邮件的能力。

我们需要处理的第三件事是——网络钓鱼邮件攻击实施的“方式”或方法。

可执行网络钓鱼邮件攻击攻击者用来攻击受害者的“渠道”是

1. 使用恶意软件文件 - 引诱受害者打开看似无辜的文件（恶意软件）。
2. 使用网络钓鱼网站 - 引诱受害者下载并打开看似无辜的文件（恶意软件），提供个人信息（密码、银行账户等）或向攻击者的银行账户存入一笔钱。

为了能够减轻这些风险，我们需要找到一种保护机制；可以识别并阻止特定的恶意软件，还可以找到一种保护机制，可以识别并阻止“有问题的 URL”（将我们的用户引导至网络钓鱼网站的链接）。

有效应对欺骗邮件攻击和网络钓鱼邮件攻击

众所周知，没有“单一解决方案”可以帮助我们应对网络钓鱼邮件攻击及其衍生的欺骗邮件攻击的挑战。

相反，该解决方案可以被描述为“集合”，或者需要实施的不同解决方案和方法的组合。

A- 处理“欺骗邮件攻击”部分

众所周知，欺骗邮件攻击是网络钓鱼邮件攻击的主要特征之一。
因此，我们需要实现一个解决方案，其中我们的邮件基础设施将使用发件人验证过程的机制。

每次发件人向我们的邮件基础设施发送地址时，我们的邮件基础设施都会实施验证检查，因此我们将能够确保发件人确实是他所声称的人。

换句话说，使用保护机制，将识别（并阻止）具有欺骗性发件人身份的电子邮件。敌对分子伪装成我们的合法用户或来自其他组织的合法发件人的场景。

好消息是，目前有一些邮件安全标准是为了验证发件人身份而创建的，例如 SPF、DKIM 和 DMARC。

此外，如果您的邮件基础设施基于 Exchange 架构，我们可以使用附加选项来验证发件人身份，识别使用我们组织域名的经过身份验证的发件人和未经身份验证的（匿名）发件人。

B- 处理恶意软件和钓鱼网站部分

在这一部分中，我们正在处理攻击者用来执行特定攻击的“通道”。

快速提醒一下，网络钓鱼邮件攻击“渠道”是恶意软件文件或网络钓鱼网站。

使用垃圾邮件过滤器

为了充分披露，我认为垃圾邮件过滤器对于识别网络钓鱼邮件不是非常有用，因为网络钓鱼邮件不是垃圾邮件。

只有在钓鱼邮件同时具有垃圾邮件特征的场景下，垃圾邮件过滤器才能识别诸如电子邮件等信息。

垃圾邮件过滤器有用的另一种场景是，特定的网络钓鱼邮件攻击被识别为网络钓鱼邮件攻击，并且电子邮件消息的不同字符（签名）出现在“众所周知的”的签名数据库中。有问题的电子邮件。”

底线

建议使用垃圾邮件过滤器，但我们不应该将垃圾邮件过滤器视为网络钓鱼邮件攻击的“终极解决方案”。

处理电子邮件附件

很多时候，网络钓鱼邮件攻击是通过包含显示为无辜文件的恶意软件附件的电子邮件来实施的。

假设攻击者（与社会工程相关的部分）说服受害者（我们的用户）打开电子邮件中附加的文件，在这种情况下我们能做什么？

1.实施恶意软件邮件过滤器。

顾名思义，恶意软件邮件过滤器的目的是检测以电子邮件附件形式出现的恶意软件。

案例 1 - 包含零日攻击恶意软件的网络钓鱼邮件攻击

“标准恶意软件邮件过滤器”的主要缺点是无法应对
零日攻击。零日攻击一词描述了一种未被识别、未被分类且未在知名攻击数据库中注册（没有签名）的“新攻击”。

标准恶意软件邮件过滤器可以检测电子邮件恶意软件，基于包含恶意软件签名“文档”的签名数据库。因此，标准恶意软件邮件过滤器无法应对零日攻击。

简而言之，无法检测到其特定签名未出现在已识别恶意软件数据库中的“新恶意软件”。

案例 2 - 不作为电子邮件附件实现的恶意软件

在许多网络钓鱼邮件攻击中，恶意软件不会以电子邮件附件的形式出现。相反，受害者会被引诱点击一个链接，将他引导至恶意网站，然后要求下载特定文件（恶意软件）。在这种情况下，恶意软件邮件过滤器不参与该过程，并且无法检测到恶意软件。

2.实施电子邮件附件政策。

“实施邮件附件策略”的建议，其中阻止特定类型的电子邮件附件（例如可执行文件）是一个“好建议”，而不仅仅是针对处理网络钓鱼邮件攻击的情况。

主要问题是，大多数时候，带有附件的网络钓鱼邮件攻击将使用无辜类型的文件，例如 Microsoft Office 文件（Word、Excel 等）。
我们面临的主要问题是- 大多数时候，我们无法定义阻止“标准”电子邮件附件（例如 Word 文档）的邮件附件策略。

这正是发送“无害附件”的敌对分子所利用的弱点。

如果您想了解有关如何使用 Exchange 规则在 Exchange 基础环境中实施邮件附件策略的更多信息，您可以阅读文章系列 - 在 Office 365 中管理电子邮件附件策略 - 第 1 部分#4

3.实施“沙盒”解决方案。

最令人沮丧和最具挑战性的安全威胁之一是零日攻击。

这个术语的简单含义可以翻译为由敌对分子分发的“新型恶意软件”，被认为是“联合国知道恶意软件”的意思，应该保护我们的基础设施免受这种特定恶意软件侵害的安全、防御系统是不知道这个恶意软件的事实。

注意：“新型恶意软件”的定义也可以翻译为众所周知的恶意软件的变体。

零日攻击场景的识别问题被认为是“盲点”，或者说是防病毒产品的先天弱点。

传统的防病毒软件通过检查现有文件并将文件字符与签名数据库进行比较来检测恶意软件，签名数据库包括有关检测到的、分类为恶意软件并在恶意软件签名数据库中注册的恶意软件的信息。

由于在零日攻击的特定场景中，恶意软件并未“注册”在恶意软件签名数据库中，因此防病毒应用程序很难检测到零日文件并将其标记为恶意软件。

零日攻击的解决方案是一项技术（由多家制造商提供的技术），该技术是通过实施名为“沙箱”的机制来解决该问题的。

“沙盒”的概念是通过以下方式实现的：

当包含附件的电子邮件发送到受使用“沙盒”机制的安全网关保护的目标收件人时，该电子邮件不会直接发送到目标收件人，而是会被“拦截”安全网关。

安全网关将模拟最终用户应该执行的确切操作，例如打开电子邮件，并尝试打开附件（双击文件）。

附加文件的“激活”是在专用且隔离的内存空间中执行的（这就是术语“沙箱”的含义）。

安全网关将监视“文件行为”并检查附件（文件）是否正在尝试执行不标准的操作，例如 - 尝试访问硬盘、尝试访问 RAM 中的可疑区域标准文件不会访问、寻求创建缓冲区溢出等。

通过这种方式，我们可以找到伪装成无辜文件的恶意软件。

实施URL验证机制。

网络钓鱼邮件攻击中使用的一种非常常见的方法是使用恶意软件或恶意代码感染受害者的桌面，使用智能过程”，其中包括两个或三个步骤。

第一步是说服受害者“做某事”，方法是点击特定链接，将其引导至包含恶意软件的网站。

受害者需要下载该文件并打开该文件（恶意软件）。

此方法使攻击者能够绕过现有的恶意软件过滤器实施，因为恶意软件不会作为电子邮件的一部分出现。

处理这种“绕过方法”的唯一方法是实现一个安全邮件过滤器，该过滤器可以通过确定特定 URL 是否被视为合法 URL 地址或恶意 URL 地址来验证电子邮件中出现的 URL 地址，例如作为网络钓鱼网站。

需要验证URL地址的安全邮件过滤器可以通过两种方法实现验证过程：

1. URL地址数据库

使用包含有关“有问题的网站”或“危险网站”（例如网络钓鱼网站或受损网站）信息的数据库。

2.模拟访问特定网站而不是“原始用户”

在收件人阅读电子邮件之前，“URL 过滤器”尝试访问电子邮件中包含的 URL 地址并尝试检查该网站是否是合法网站或试图攻击的网站的过程。通过尝试利用现有漏洞来操纵用户桌面。

此类“URL 验证过滤器”的一个示例是 Microsoft 技术，该技术通过使用名为 ATP（高级威胁防护）的功能在 EOP（Exchange Online Protection）中实现，其中包括一个名为“安全链接”的组件。

该技术的目的是添加额外的安全层，其中邮件安全网关（EOP 基础设施）将检查和验证电子邮件中出现的每个 URL 地址（链接），并验证“目的地”网站”是合法网站，而不是显示为有问题的网站。

C- 有效应对欺骗邮件攻击和钓鱼邮件攻击 |用户教育和意识计划

大多数时候，当我们使用诸如“对抗欺骗电子邮件攻击”和“网络钓鱼邮件攻击”之类的句子时，首先想到的就是某种“高端尖端产品”，它知道如何应对这种可怕的情况。威胁。

简单的事实是，我们可能需要使用这种“高端、复杂的产品”才能为我们面临的问题提供完整且全面的解决方案。此外，我们还必须添加一层——教育我们的用户有关欺骗邮件攻击和网络钓鱼邮件攻击的风险、此类攻击的独特特征、如何识别这些攻击等等。

换句话说，技术解决方案并不能提供完整的解决方案！

尽管“用户教育”这一主题非常重要，但我们大多数人往往会低估这个解决方案，因为与“教育”一词相关的常见联想是——无聊，不需要，没用。

我想提请您注意的有趣的事情是，应对欺骗和网络钓鱼邮件攻击现象的最有效和最重要的方法之一是“教育”主题。

与此同时，最容易被忽视的领域之一就是“教育”。因为我们大多数人都确信这只是无用的废话。

请注意，我没有使用常用术语“用户教育”，因为“教育”主题与生态系统的不同元素相关：

1.我们的教育

我们大多数人（IT 人员）都有一种误导性的感觉，认为我们了解邮件安全、不同类型的邮件威胁（例如欺骗邮件攻击和网络钓鱼邮件攻击等）的一切。

简单的事实是我们不这样做。

让我们简单一点——当前“无聊文章系列”的目的是——让您了解欺骗邮件攻击和网络钓鱼邮件攻击的主题并不那么简单，并且有很多信息值得我们了解。主题。

2.管理教育

当我使用“管理教育”一词时，我想到的是“管理承诺”的概念。

“管理承诺”的概念必须通过两种方式实现：

• 承认欺骗邮件攻击和网络钓鱼邮件攻击可能会造成严重损害。
• 承认这种风险没有“神奇的解决方案”，而是购买不同解决方案的组合。
• 承认没有“神奇的解决方案”可以阻止 100% 的欺骗或网络钓鱼攻击。

管理层需要承认一个简单的事实，即她需要分配所需的资源（时间、金钱、教育等）。

3.用户受教育程度

由于网络钓鱼邮件攻击非常复杂且难以检测，因此我们可以用来处理这种风险的最实用的工具之一就是让我们的用户意识到这种威胁。

教他们了解欺骗电子邮件攻击和网络钓鱼邮件攻击的具体特征，展示欺骗电子邮件或网络钓鱼邮件的示例等。

认识到对我们的用户进行有关欺骗电子邮件攻击和网络钓鱼邮件攻击主题的教育非常重要，其成果就是——用户意识计划。

D- 有效应对欺骗邮件攻击和网络钓鱼邮件攻击 |政策、标准和法规

1. 制定政策和法规，限制网络钓鱼邮件攻击可能造成的损害程度

与处理欺骗电子邮件攻击和网络钓鱼邮件攻击场景相关的最容易被忽视的领域之一是我将其描述为“政策、标准和法规”的领域。

再说一遍，大多数时候，关于这些术语，我想到的第一个联想是——烦人，或者没有传达我可以使用的有用解决方案。

我想向您提供一个看似与网络钓鱼邮件攻击主题没有直接关系的法规\政策的示例。

一项限制特定员工有权自行将资金转入另一个银行账户的具体金额的政策。

此类监管\政策的主要目的是在公司员工恶意实施犯罪活动（通过从公司银行账户转账来窃取资金）的情况下降低损害程度到他的银行账户。

一种特定类型的网络钓鱼邮件攻击，尤其是鱼叉式网络钓鱼攻击，针对的是非常特定的组织角色，例如公司首席执行官、首席财务官等。

在本次网络钓鱼攻击中，敌对分子使用虚假身份，引诱受害人将特定金额的资金转入特定银行账户（敌对分子银行账户）。

在这种情况下，可以实施的最有效的操作之一是 - 定义一个非常清晰和直接的公司政策，涉及以下主题：

• 最多可以转账多少金额？
• 谁是需要授权这笔资金转移的人？
• 实施需要两个“实体”授权转账的机制的可能性。
• 公司资金可以转入哪些允许的“目的地银行账户”？

2. 任命一个“专门机构”负责管理国防基础设施。

我想强调的另一个主题是——他们需要决定一个或多个“人”，负责管理执法和正在进行的日常任务，这些任务与处理保护机制有关欺骗电子邮件攻击和网络钓鱼邮件攻击。

例如，假设我们配置了一个保护机制来监视传入的邮件流并识别一个事件，其中发件人很有可能欺骗其身份。

在我们的特定场景中，我们不会阻止电子邮件等消息，而是生成事件报告，该报告发送到存储此事件报告的专用邮箱，其中包括标识为 Spoof E 的电子邮件的副本-邮件。

我想问的主要问题是：

问题1：谁可以访问存储有关欺骗电子邮件事件信息的邮箱？

问题2：此人需要多久访问一次存储有关欺骗电子邮件事件信息的邮箱？

问题3：当我们识别
欺骗邮件的情况时，需要执行什么程序？

我的观点是什么？

我的观点是 - 我们识别可疑电子邮件（欺骗邮件）并将其发送到存储有关该电子邮件的信息的专用邮箱的事实并不能解决问题。

我们需要定义一个非常清晰和精确的程序，这将确定这个人的责任范围。
这个人需要做什么，他应该向谁报告欺骗电子邮件事件，什么是在欺骗电子邮件事件等场景中实施的“操作”。

E-有效应对欺骗邮件攻击和钓鱼邮件攻击|客户端安全

在本节中，我想回顾一下公式的“客户端”。

当发生欺骗电子邮件攻击或网络钓鱼邮件攻击时，我们可以使用“客户端”机制；这将帮助我们解决这个问题。

1.使用防病毒软件

大多数常见的防病毒客户端并不是为了识别欺骗电子邮件事件而创建的。
使用防病毒客户端的主要好处在于在这种情况下，网络钓鱼邮件引诱用户下载并打开恶意软件文件，并且恶意软件设法绕过“服务器端防御系统”。

例如，防病毒客户端可能有用的情况是：用户从电子邮件（网络钓鱼网站）中出现的特定 URL 地址下载恶意软件。

在这种情况下，防病毒客户端提供了额外的保护层，因为当恶意软件作为电子邮件的一部分出现时，邮件安全网关非常有用，而不是用户使用浏览器将恶意软件下载到电子邮件中的情况。他的桌面。

2.使用额外的桌面“智能防御机制”

如前所述，防病毒软件对于检测“众所周知的恶意软件”非常有用。问题在于零日恶意软件的签名未列出。

这个“盲点”的解决方案是——使用“智能客户端”，它能够识别行为异常且不正确的程序，或者特定进程或服务行为异常的“异常”场景。

此功能没有具体名称，因为每个“桌面安全产品”提供商都使用其他名称或术语。

这种解决方案的一个例子是桌面安全产品，其中包括 IDS\IPS（入侵检测系统\入侵防御系统），可以识别和检测不以合法方式蜂巢的软件组件。

3.强化与Microsoft Office文档相关的策略，例如禁用宏

• 有些恶意软件会显示为电子邮件附件，有些则不会。
• 有些恶意软件看起来像使用可执行文件的电子邮件附件，有些则不然。

我的观点是什么？

我的观点是，在“完美的场景”中，恶意软件将被实现为可执行文件，该文件将被恶意软件过滤器识别为恶意软件并进行阻止。

大多数时候，使用网络钓鱼邮件攻击的攻击者是专业人士，他们会通过使用看似合法文件（例如 Microsoft Office 文件）的附件，做出必要的努力，让我们的生活变得困难。

该恶意软件将以宏的形式“隐藏”在Office文档中，并在用户打开文件时执行。

除了实施可以执行“沙盒”验证测试的机制之外，我们可以实施的最简单的解决方案之一是 - 通过配置和执行策略来阻止我们的用户使用包含宏的 Microsoft Office 文档。

如果现在您的想法是这样的 - 我做不到，我的一些用户必须使用带有宏的文档！

我的回答是——这是你的决定；您需要权衡业务需求与安全需求并做出正确的决定。

在下图中，我们可以看到可用于处理欺骗电子邮件攻击和网络钓鱼邮件攻击的“客户端元素”的摘要。

当前文章系列的下一篇文章

在开始项目之前我们需要回答的问题 - 建立一个防御系统来保护我们免受欺骗邮件攻击 |第7部分#9