咨詢機構Strategic Security Solutions Consulting公司的首席執(zhí)行官兼創(chuàng)始人Johanna Baum說:“網(wǎng)絡攻擊者的動機和資金都非常充足,他們的唯一目的就是成功地吸引受害者。然而對于企業(yè)來說,其重要的任務是保護所有潛在受害者。”
忽視或錯誤判斷IT安全將會顯著增加網(wǎng)絡攻擊的可能性。但是,即使遵循的是一種全新的協(xié)議,為員工提供了安全培訓,反復提醒員工核實可疑的信息,并了解最新的惡意活動,企業(yè)在網(wǎng)絡安全防范方面仍然是被動或是脆弱的。
以下是企業(yè)的反網(wǎng)絡釣魚策略不起作用的6個原因:
1.網(wǎng)絡釣魚攻擊正變得越來越復雜和具有迷惑性
Protiviti公司負責網(wǎng)絡攻擊和滲透測試的總經(jīng)理兼全球?qū)嵺`負責人Krissy Safi表示,網(wǎng)絡犯罪分子正在不斷開發(fā)新戰(zhàn)術,誘使人們泄露敏感信息,因此,網(wǎng)絡釣魚攻擊變得越來越復雜。
Safi說,“許多反網(wǎng)絡釣魚解決方案使用靜態(tài)規(guī)則來檢測網(wǎng)絡釣魚攻擊,網(wǎng)絡攻擊者可以使用更先進的技術輕松繞過這些規(guī)則。此外,隨著ChatGPT的引入,邏輯完美并且語法流利的釣魚電子郵件將會激增,從而使識別網(wǎng)絡罪犯發(fā)送的釣魚電子郵件變得更加困難。”
ChatGPT和開源版本可供網(wǎng)絡攻擊者使用,成為他們盜取數(shù)據(jù)的靈丹妙藥——人工智能技術可以實時了解哪些有效,哪些無效,增加了網(wǎng)絡攻擊者找到目標的幾率。
即使沒有使用聊天機器人,網(wǎng)絡攻擊者也越來越熟練——以2022年云計算通信服務商Twilio公司遭遇的網(wǎng)絡攻擊為例。在這種情況下,網(wǎng)絡攻擊者能夠使用公開的數(shù)據(jù)庫匹配員工姓名和電話號碼。Twilio公司在一份事件報告中說,“社交工程攻擊成功地愚弄了一些員工,讓他們提供了登陸憑證。然后,網(wǎng)絡攻擊者使用被盜的登陸憑證進入我們的一些內(nèi)部系統(tǒng),在那里他們能夠訪問和竊取我們的一些客戶數(shù)據(jù)。”
2.把所有的雞蛋都放在技術的籃子里
許多企業(yè)都試圖僅靠技術來解決網(wǎng)絡釣魚問題。Thales集團美洲區(qū)的首席信息安全官 Eric Liebowitz表示,這些企業(yè)正在購買最新的工具來檢測可疑電子郵件,并為員工提供阻止這些可疑電子郵件的方法。Thales集團是一家總部位于巴黎的開發(fā)商,為航空航天、交通、國防和安全行業(yè)開發(fā)設備和技術。
他說,盡管這樣做很好,但網(wǎng)絡攻擊者總是會變得更老練。
Liebowitz說:“我認為有很多企業(yè)沒有重視員工的網(wǎng)絡安全培訓。他們可能擁有最好的工具,但如果沒有對員工進行安全培訓,那么也可能會發(fā)生糟糕的事情。”
Avanade公司北美安全主管Justin Haney表示,雖然一些企業(yè)已經(jīng)部署了正確的工具,并有適當?shù)墓ぷ髁鞒虂泶驌艟W(wǎng)絡釣魚活動,但他們還沒有充分主動地配置這些工具。
他說,“例如,一些工具可能會標記和檢測到惡意電子郵件,但不會自動阻止,企業(yè)應該部署特定的策略來應對已經(jīng)識別出的潛在網(wǎng)絡釣魚活動,而不是由分析師人工地完成工作。”
3.沒有采取全面和深入的防御策略
一些反網(wǎng)絡釣魚策略失敗的企業(yè)沒有采取全面和深入的防御策略。Haney說,“他們可能專注于特定的技術,例如電子郵件反釣魚、多因素認證、數(shù)據(jù)加密、端點/移動安全,而沒有關注其他降低風險的技術,例如檢測泄露的身份。”
Lexmark公司的首席信息技術官Bryan Willett表示,如果不實施全面和深入的防御策略,而僅僅依靠反網(wǎng)絡釣魚程序,那么只需要一次成功的攻擊就能摧毀整個系統(tǒng)。信任基于電子郵件的防御方法或嚴重依賴用戶的安全培訓本身就有缺陷,因為人們?nèi)菀追稿e誤,而網(wǎng)絡攻擊者只需要利用其中的一個錯誤就能成功進行攻擊。
Willett表示,防御網(wǎng)絡釣魚攻擊的最佳方法是通過分層防御方法。這包括在每個工作站上都有良好的端點檢測和響應(EDR)系統(tǒng),強大的漏洞管理程序,為每個用戶和管理帳戶啟用多因素身份驗證,以及在LAN/WAN上實現(xiàn)分割以限制受感染系統(tǒng)的傳播。
Willett補充說,“通過采取這些預防措施并實施多層防御,企業(yè)可以最好地防止網(wǎng)絡釣魚攻擊。我們必須假設網(wǎng)絡攻擊者會在某一時刻成功攻擊。因此,我們需要考慮到這一假設,采用全面和多層次的防御方法。”
4.未能培訓員工識別網(wǎng)絡釣魚企圖
位于紐約的曼哈頓維爾學院的首席信息官Jim Russel表示,雖然告知員工不要點擊未知發(fā)件人電子郵件中的鏈接或打開附件很重要,但企業(yè)還必須培訓員工如何識別欺詐電子郵件。
他說,“我們在網(wǎng)絡安全培訓中談到的一件事是可以采用真實的聲音,這是識別欺詐電子郵件的最重要因素之一。然而,人們在電子郵件中進行快速交流是安全漏洞之一。但幸運的是,作為一個學術團體,我們大多數(shù)人都是用完整的句子寫作的。他們可能有一個標準的稱呼。例如,‘嗨,勞倫,你好嗎?’就是一種典型的介紹。所以,如果沒有這些識別因素,就會缺乏真實性。”他表示,曼哈頓維爾學院的員工也接受過網(wǎng)絡安全培訓,可以將任何可疑的電子郵件轉(zhuǎn)發(fā)給Russel帶領的團隊,他們將會確定電子郵件的真實性。
戴爾科技公司的首席信息官Cross也認為,成功的反網(wǎng)絡釣魚策略首先需要提高員工的網(wǎng)絡安全意識,讓他們知道如何識別釣魚電子郵件,并了解如何報告。這種方法是從許多企業(yè)常用的“不點擊”策略轉(zhuǎn)變而來的。Cross表示,實現(xiàn)零點擊率是一個不切實際的目標。與其相反,教會員工如何報告可疑電子郵件,可以讓安全團隊快速評估潛在威脅,并減輕其他人受到類似攻擊的影響。他指出,企業(yè)可以在電子郵件平臺中嵌入工具,讓員工更容易報告可疑的電子郵件。
然而,全球?qū)徲嫛⒍悇蘸妥稍儥C構Mazars公司網(wǎng)絡安全業(yè)務的國家PCI實踐負責人Jacob Ansari表示,這種類型的網(wǎng)絡安全培訓還不夠深入。他說:“大多數(shù)反網(wǎng)絡釣魚策略的效果有限,因為它們針對的是眾所周知的冰山一角:用戶行為。”他表示,只有在網(wǎng)絡釣魚計劃與合法的商業(yè)活動區(qū)分開來的情況下,培訓用戶識別網(wǎng)絡釣魚攻擊才是有效的。但是,當員工被期望從事與網(wǎng)絡釣魚計劃類似的活動時,任何反網(wǎng)絡釣魚的努力都將很快付諸東流。
他說:“例如,一家企業(yè)要求用戶點擊第三方發(fā)送者發(fā)送的鏈接來完成背景調(diào)查,或通過在其他地方托管的網(wǎng)頁表單中輸入個人信息來獲得福利,這是一種常規(guī)的商業(yè)慣例,這會降低反網(wǎng)絡釣魚培訓的價值。”
Ansari表示,除了培訓用戶之外,安全團隊還需要與業(yè)務主管合作,重新設計業(yè)務流程,盡量減少電子郵件中點擊鏈接的使用,并要求員工與第三方互動需要遵守企業(yè)安全通信標準,從而使業(yè)務流程不再看起來類似于網(wǎng)絡釣魚。
他說:“企業(yè)還需要確保業(yè)務的所有部分,例如人力資源、營銷和財務,以負責任的方式與第三方和企業(yè)內(nèi)部溝通,避免出現(xiàn)網(wǎng)絡釣魚的情況。”
5.缺乏執(zhí)行/激勵措施
Safi表示,即使一家企業(yè)制定了強有力的網(wǎng)絡安全培訓計劃和政策,如果違反政策的員工沒有受到懲罰,這些培訓可能也不會起作用。例如,如果一名員工中了釣魚郵件的圈套,卻沒有報告,就應該承擔相應的責任,這樣將促使其他員工在未來的行為更加安全。
Russell表示,在曼哈頓維爾學院,上當受騙的員工必須在10天內(nèi)學習一定數(shù)量的在線網(wǎng)絡培訓課程。如果他們只是點擊一個鏈接,就需要完成一次培訓。然而,如果他們提供了自己的登錄憑證,則必須完成三次。
他補充說:“我還會查看那些中了網(wǎng)絡釣魚圈套的人員名單,并確定那些擁有更高特權的人員(例如副總裁),然后對他們進行懲罰。我還會跟蹤屢次犯錯和那些沒有接受訓練的人員,他們也會受到懲罰。”
6.過度依賴模擬網(wǎng)絡釣魚測試
凱捷公司的網(wǎng)絡安全服務主管Sushila Nair表示,當前反網(wǎng)絡釣魚策略的另一個致命弱點是,一些企業(yè)希望用戶將訓練成100%不會出錯的人員。她說:“人們普遍認為,最終用戶在遭受網(wǎng)絡釣魚攻擊時應該受到指責。然而,企業(yè)必須問自己,‘是否真的在審視和衡量自己的價值,也就是必須確保用戶完全不會落入模擬網(wǎng)絡釣魚測試的圈套?’”
如果測試很復雜,那么會有更多的人面臨失敗。她補充說,如果測試相當簡單,那么每個人都能順利通過。對于一些首席信息安全官來說,在董事會會議上展示改進的用戶可靠性指標很具有誘惑力。然而,企業(yè)領導者必須接受這樣一個事實:無論如何進行網(wǎng)絡安全方面培訓,仍有一些用戶會點擊網(wǎng)絡釣魚鏈接,在工作壓力加大的時候,這個數(shù)字還會增加。
Nair表示,更糟糕的是,許多企業(yè)運行模擬網(wǎng)絡釣魚測試,使點擊鏈接正常化。Nair說:“如果你點擊一個鏈接,它可能會讓你進入一個門戶網(wǎng)站,然后提示‘你被愚弄了’。 但強迫用戶在模擬過程中進行訓練會產(chǎn)生相反的效果——他們更有可能點擊鏈接。”Nair補充說,由于在繁忙和緊張的一天中點擊了一個鏈接而不得不接受網(wǎng)絡安全培訓,這會讓大多數(shù)用戶厭煩完成網(wǎng)絡安全培訓,并在不集中注意力的情況下盡快完成。
她說:“它不僅會產(chǎn)生這種影響,還會影響用戶對釣魚電子郵件的反應。他們不會點擊奇怪的電子郵件,因為他們認為這是一個測試,但他們也不會報告。”
最重要的是,反網(wǎng)絡釣魚項目經(jīng)常失敗,因為人們?nèi)菀追稿e。美國Burr & Forman律師事務所網(wǎng)絡安全和數(shù)據(jù)隱私團隊聯(lián)合主席、律師Elizabeth Shirley表示,盡管經(jīng)過網(wǎng)絡安全培訓,并盡了最大努力,但人們還是會犯錯。她說:“人們也很情緒化,通常對產(chǎn)生緊迫感或必要性的網(wǎng)絡釣魚郵件具有本能反應。這些情況不會改變。釣魚郵件仍將繼續(xù)存在,至少在可預見的未來是這樣。”
關于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號