機器學習+編碼,檢測并報警妄圖從員工處套取口令的嘗試。
美國加州大學伯克利分校和勞倫斯伯克利國家實驗室的安全研究人員,想出了企業環境中緩解魚叉式網絡釣魚風險的辦法。
來自這兩個機構的幾位研究員,在 Usenix 2017 上發表了論文《企業環境中檢測憑證魚叉式網絡釣魚》。論文描述了利用網絡流量日志和機器學習的一套系統,可以在雇員點擊嵌入電子郵件中的可疑URL時,實時觸發警報。
魚叉式網絡釣魚是一種社會工程攻擊方法,針對特定個人進行,精心編造電子郵件,誘騙收件人安裝惡意文件或訪問惡意網站。
此類針對性攻擊不像廣撒網式的網絡釣魚那么常見,但其破壞力更為巨大。美國人事管理局(OPM)大規模數據泄露事件(2210萬人受害),醫療保險提供商Anthem數據泄露事件(8000萬病歷記錄被盜),以及其他引人注目的數據失竊案,均涉及到魚叉式網絡釣魚。
研究人員將重點放在了憑證竊取上,因為這一攻擊相對漏洞利用類攻擊要容易得多。如果涉及惡意軟件,積極修復和其他安全機制會提供防護,即便目標已經中招。而一旦憑證被找到,就只需誘使目標暴露出數據了。
冒充受信實體,是研究人員重點處理的攻擊方式。這種攻擊往往涉及冒用電郵名稱字段、偽造看起來可信的名稱(如[email protected]),或者從被黑受信賬戶發送郵件。另一種假冒方式——冒用電子郵件地址,則不在研究人員考慮之列,因為域名密鑰識別郵件標準(DKIM)和域名消息驗證報告一致性協議(DMARC)之類電子郵件安全機制會處理。
自動化魚叉式網絡釣魚檢測的難點,在于此類攻擊比較少見,這也是為什么很多企業仍然依賴用戶報告來啟動調查的原因所在。研究人員指出,他們的企業數據集包含3.7億電子郵件——約4年的量,但只有10例已知的魚叉式網絡釣魚案例。
因此,即便只有0.1%的誤報率,都意味著37萬次虛假警報——足以癱瘓企業IT部門。而且,魚叉式網絡釣魚樣本的相對稀少性,也使機器學習技術缺少了創建可靠訓練模型所需的大量數據。
京公網安備 11010502049343號