「零信任」為何成為企業(yè)防釣魚的新法器？

科技云報(bào)道原創(chuàng)。

網(wǎng)絡(luò)釣魚，作為一種“古老”的攻擊技術(shù)已盛行多年。盡管企業(yè)的安全設(shè)備不斷上新，卻依然防不住釣魚的層層套路，令無數(shù)企業(yè)頭疼不已。

在每年的攻防演練中，“網(wǎng)絡(luò)釣魚”也是最有效的攻擊方式之一。攻擊方通常偽裝成行政、獵頭等對(duì)目標(biāo)企業(yè)員工進(jìn)行郵件釣魚，成功繞過企業(yè)現(xiàn)有的安全設(shè)備，讓企業(yè)重金建設(shè)的安全堡壘成為不堪一擊的“馬奇諾防線”。

釣魚攻擊屢試不爽的原因，正是凱文·米特尼克在《反欺騙的藝術(shù)》中提到的“人為因素是安全的軟肋”。

相關(guān)報(bào)告顯示，42%的員工承認(rèn)在上網(wǎng)時(shí)采取過危險(xiǎn)行動(dòng)，如點(diǎn)擊未知鏈接、下載文件或暴露個(gè)人數(shù)據(jù)，未遵循網(wǎng)絡(luò)釣魚預(yù)防的最佳實(shí)踐等。

隨著傳播渠道的不斷豐富，攻擊技術(shù)以及生成式AI技術(shù)的快速升級(jí)，網(wǎng)絡(luò)釣魚的花樣還在不斷翻新。企業(yè)僅憑提升全員安全意識(shí)，根本無法徹底杜絕釣魚攻擊，頗有一種“看不慣卻又干不掉”的無奈。

為什么網(wǎng)絡(luò)釣魚這么難防？企業(yè)真的就治不了這個(gè)頑疾嗎？

日益隱秘的釣魚攻擊

相比于其他網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)釣魚顯得更加簡單直接，一般通過網(wǎng)站、語音、短信、郵件、WiFi等渠道，引誘企業(yè)員工、個(gè)人用戶點(diǎn)擊惡意鏈接或提供個(gè)人信息，從而進(jìn)行滲透或欺詐活動(dòng)。

但令人憂心的是，近年來網(wǎng)絡(luò)釣魚事件仍呈爆發(fā)式增長。Perception Point《2023年年度報(bào)告：網(wǎng)絡(luò)安全趨勢(shì)與洞察》顯示，2022年威脅行為者嘗試的高級(jí)網(wǎng)絡(luò)釣魚攻擊數(shù)量增長了356%。

Zimperium《2023年全球移動(dòng)威脅報(bào)告》顯示，2022年，以移動(dòng)設(shè)備為目標(biāo)的網(wǎng)絡(luò)釣魚網(wǎng)站的比例從75%增加到80%。

伴隨著攻擊數(shù)量的飆升，網(wǎng)絡(luò)釣魚的手段也在走向高級(jí)化、多樣化。據(jù)騰訊安全總經(jīng)理王宇觀察，近幾年網(wǎng)絡(luò)釣魚攻擊呈現(xiàn)四大新特征：

一是傳播渠道更廣泛，網(wǎng)絡(luò)釣魚的傳播渠道已經(jīng)從最初的網(wǎng)站、垃圾郵件、短信，逐步擴(kuò)大到社交媒體、短視頻平臺(tái)，可謂是無孔不入。

二是隱蔽性越來越強(qiáng)，網(wǎng)絡(luò)釣魚充分利用人性的弱點(diǎn)進(jìn)行攻擊，通過利誘、威逼、假冒等隱蔽方式來達(dá)到誘騙目的；

三是場景化，過去網(wǎng)絡(luò)釣魚不分行業(yè)和客群，攻擊者普遍采用通用方式去釣魚，但現(xiàn)在是針對(duì)金融、醫(yī)療等不同場景實(shí)施定向釣魚；

四是跨國化，網(wǎng)絡(luò)釣魚已經(jīng)從單一的國內(nèi)攻擊發(fā)展為跨國攻擊，不少釣魚行為是針對(duì)國內(nèi)企業(yè)在境外的員工，或在國內(nèi)工作的華僑人士。

以上種種攻擊新趨勢(shì)，都意味著網(wǎng)絡(luò)釣魚比以往來得更加兇猛，更加難以防范。

對(duì)此，王宇舉了一個(gè)騰訊安全處理的真實(shí)案例：

攻擊者通過短視頻平臺(tái)添加了基金經(jīng)理A的社交軟件，仿冒潛在客戶咨詢理財(cái)產(chǎn)品，向A發(fā)送了一個(gè)釣魚文件。

A在看到一個(gè)潛在大客戶的咨詢后，毫無防備地點(diǎn)擊下載運(yùn)行了攻擊程序，從而被攻擊者悄悄控制了社交軟件。

當(dāng)天晚上，攻擊者開始查看A的客戶群，充分了解其業(yè)務(wù)狀況。一段時(shí)間后，攻擊者展開攻擊，將自己設(shè)置為群管理員，并將A踢出群，然后迅速對(duì)群內(nèi)上千個(gè)客戶實(shí)施詐騙，最終涉案金額高達(dá)千萬級(jí)。

王宇表示，這已經(jīng)不是過去簡單的釣賬號(hào)行為，而是針對(duì)證券行業(yè)的定向攻擊，提前進(jìn)行大量的情報(bào)收集，這種釣魚攻擊針對(duì)性、隱蔽性更強(qiáng)，并且很難通過員工培訓(xùn)完全防范杜絕。

網(wǎng)絡(luò)釣魚為何難防？

盡管網(wǎng)絡(luò)釣魚花樣繁多，但畢竟是一個(gè)存在多年的網(wǎng)絡(luò)安全“毒瘤”，為什么網(wǎng)絡(luò)釣魚就如此難以防范，而現(xiàn)有的安全設(shè)備也難以發(fā)揮作用呢？

我們不妨從攻防雙方的特點(diǎn)來看：

從攻擊方看，釣魚本質(zhì)上是利用人的弱點(diǎn)，攻擊者可以用被釣魚人員的身份，是一種典型的可信攻擊，原則上只能不斷提升人的安全意識(shí)，但無法徹底杜絕。

即便企業(yè)經(jīng)過多年攻防演練，總部的投入大、安全意識(shí)教育足夠重視，但是子公司、分支、供應(yīng)鏈等的安全意識(shí)還遠(yuǎn)遠(yuǎn)不足，大部分被釣魚成功也來源于此。

更加嚴(yán)峻的是，當(dāng)前生成式人工智能(AIGC)技術(shù)也極大提升了釣魚攻擊的效率。王宇表示，攻擊者能夠利用AIGC技術(shù)高效生成更加難以分辨的釣魚郵件。

“很多釣魚攻擊都會(huì)有很明顯的團(tuán)伙特征，比如說一個(gè)俄羅斯的黑客團(tuán)伙，他去給其他國家的人發(fā)釣魚郵件，其實(shí)是可以通過內(nèi)容識(shí)別他不是用native的語言去寫的，而現(xiàn)在利用AIGC就讓模仿的精細(xì)度更高，能夠消弭這樣的一些差異，加大了防御的難度?！蓖跤钆e例稱。

從防守方看，當(dāng)攻擊者通過釣魚成功投遞樣本后，隨之而來的是持久化的駐留、信息收集、內(nèi)網(wǎng)橫向移動(dòng)等行為，攻擊者會(huì)通過多種技術(shù)繞過現(xiàn)有安全設(shè)備，進(jìn)行持續(xù)對(duì)抗。

而企業(yè)現(xiàn)有安全建設(shè)往往是煙囪式的，無論是WAF、IDS、EDR還是IAM、數(shù)據(jù)防泄漏等安全設(shè)備，都是各自為戰(zhàn)，無法對(duì)偽裝成正常行為的釣魚攻擊形成聯(lián)動(dòng)檢測(cè)和響應(yīng)，單點(diǎn)設(shè)備難免會(huì)漏報(bào)。

即便是擁有SOC安全運(yùn)營中心的大型企業(yè)，現(xiàn)階段也較難實(shí)現(xiàn)有效的安全設(shè)備聯(lián)動(dòng)，海量告警導(dǎo)致難以判斷哪些是真正的釣魚攻擊行為。

換句話說，面對(duì)來勢(shì)洶洶的網(wǎng)絡(luò)釣魚，人防不如技防，而技防則需端到端的聯(lián)防。

防釣魚需要新法器

知易行難，當(dāng)單點(diǎn)的安全設(shè)備無力應(yīng)戰(zhàn)時(shí)，企業(yè)在防釣魚這件事上顯然需要一種“新法器”。

在王宇看來，“打蛇打七寸”，想要防住網(wǎng)絡(luò)釣魚，首先得研究清楚釣魚的攻擊路徑，然后再有針對(duì)性地制定防護(hù)策略。

據(jù)王宇介紹，網(wǎng)絡(luò)釣魚攻擊一般會(huì)分為“事前-事中-事后”三個(gè)步驟：

“事前”即投遞環(huán)節(jié)，通過IM、郵箱、社交媒體等渠道投遞釣魚文件，誘導(dǎo)用戶點(diǎn)擊或下載文件執(zhí)行，而執(zhí)行程序則隱藏其中。

“事中”即執(zhí)行/內(nèi)網(wǎng)橫移環(huán)節(jié)，當(dāng)受害者運(yùn)行了惡意程序后，惡意程序會(huì)在受害終端執(zhí)行，建立持久化駐留，獲取憑據(jù)，信息收集，橫向移動(dòng)等操作。為了能在系統(tǒng)中運(yùn)行，惡意程序通常都會(huì)經(jīng)過免殺處理，從而逃避殺軟的查殺。

“事后”即命令和控制(外聯(lián)C2)環(huán)節(jié)，外連控制臺(tái)，為了將竊取到的有價(jià)值的信息回傳，攻擊者會(huì)采用一些隱匿加密通信技術(shù)進(jìn)行外聯(lián)通信，從而實(shí)現(xiàn)遠(yuǎn)控。

事實(shí)上，釣魚攻擊的每一個(gè)環(huán)節(jié)都有相應(yīng)的行為特征，關(guān)鍵在于是否能有效檢測(cè)出這些異常行為。

結(jié)合騰訊多年以來的攻防技術(shù)和經(jīng)驗(yàn)，騰訊零信任iOA釣魚防護(hù)方案能夠針對(duì)釣魚攻擊的三個(gè)階段攻擊特點(diǎn)，分別從對(duì)釣魚攻擊的來源路徑監(jiān)測(cè)、釣魚文件形態(tài)識(shí)別、程序聯(lián)網(wǎng)零信任審計(jì)，實(shí)施外連監(jiān)測(cè)和關(guān)聯(lián)分析，確?！翱吹靡姟?amp;“防得住”的效果，具體而言：

在投遞環(huán)節(jié)，騰訊iOA在每個(gè)終端都建立本地基線數(shù)據(jù)，對(duì)新入的文件實(shí)現(xiàn)來源分析和追蹤。目前已實(shí)現(xiàn)覆蓋釣魚攻擊常見利用路徑，如郵件、IM工具等來源實(shí)行監(jiān)測(cè)。

未來將會(huì)和常用企業(yè)IM工具（企業(yè)微信等）合作，更精準(zhǔn)識(shí)別和還原出釣魚入侵的源頭。

在第二環(huán)節(jié)，騰訊iOA基于釣魚樣本檢測(cè)引擎，可以準(zhǔn)確識(shí)別出釣魚樣本，專項(xiàng)識(shí)別樣本免殺技巧。

針對(duì)聯(lián)網(wǎng)行為，騰訊iOA建立了聯(lián)網(wǎng)基線，聯(lián)網(wǎng)基線與新入文件基線實(shí)行關(guān)聯(lián)分析，對(duì)新入未知程序，可信程序（被注入）的聯(lián)網(wǎng)實(shí)行零信任審計(jì)，徹底攔截少量免殺的漏網(wǎng)之魚。

有了準(zhǔn)確的檢測(cè)，騰訊iOA就可以在“事前-事中-事后”的每一個(gè)環(huán)節(jié)進(jìn)行處置，比如：事前限制敏感數(shù)據(jù)的下載；事中阻止內(nèi)網(wǎng)橫移等惡意行為；事后及時(shí)阻斷文件外傳行為等。

這種全生命周期的檢測(cè)和響應(yīng)，使得騰訊iOA在理論上可以對(duì)釣魚攻擊行為實(shí)現(xiàn)100%覆蓋。目前在國家級(jí)的攻防演練實(shí)戰(zhàn)中，騰訊iOA已實(shí)現(xiàn)釣魚防護(hù)0漏報(bào)。

如此理想的效果，正是在于騰訊iOA采用了零信任理念。

在過去的幾年中，騰訊零信任iOA實(shí)現(xiàn)了零信任網(wǎng)絡(luò)訪問、辦公安全、身份安全、終端安全管理、數(shù)據(jù)安全等維度的功能，將身份、設(shè)備、應(yīng)用、鏈路關(guān)聯(lián)起來，并強(qiáng)制所有訪問都必須經(jīng)過認(rèn)證、授權(quán)和加密，避免了單點(diǎn)安全設(shè)備之間無法關(guān)聯(lián)上下文分析的弊端，擁有了更全面和更易用的威脅溯源與風(fēng)險(xiǎn)控制的能力，從而實(shí)現(xiàn)了立體化的、端到端的安全防護(hù)。

這種全面的零信任安全能力，來源于騰訊20多年的攻防實(shí)戰(zhàn)技術(shù)和經(jīng)驗(yàn)。

作為多次在大型攻防演練中奪冠的攻擊隊(duì)，騰訊安全掌握著最新的攻擊手法，擁有一手的威脅情報(bào)；同時(shí)，騰訊自身也是被釣魚攻擊最多的互聯(lián)網(wǎng)公司之一，有著多年對(duì)抗釣魚攻擊的經(jīng)驗(yàn)。

作為國內(nèi)唯一擁有“云+管+端+IM+郵件”產(chǎn)品聯(lián)動(dòng)的廠商，騰訊在防釣魚攻擊方面極具優(yōu)勢(shì)。

零信任是 網(wǎng)絡(luò)安全的未來

不可否認(rèn)，近幾年零信任理念在國內(nèi)備受追捧，頭部安全廠商無一例外都在推廣零信任的優(yōu)勢(shì)。但零信任如何落地，如何真正解決像釣魚攻擊這樣的實(shí)際問題，始終是企業(yè)關(guān)心的方向。

在過去多年的安全建設(shè)中，企業(yè)大多部署了網(wǎng)絡(luò)側(cè)、終端側(cè)、應(yīng)用側(cè)的安全設(shè)備。面對(duì)功能全面的零信任安全產(chǎn)品，難道企業(yè)需要全盤拋棄現(xiàn)有安全設(shè)備、從頭來過？

答案是否定的。

在王宇看來，零信任方案的落地是有節(jié)奏的，一定是從業(yè)務(wù)視角出發(fā)，從企業(yè)最關(guān)心的場景切入，先與現(xiàn)有的安全設(shè)備做結(jié)合，看到實(shí)際效果之后再進(jìn)行逐步替代。

事實(shí)上，作為國內(nèi)率先實(shí)踐零信任的互聯(lián)網(wǎng)公司之一，騰訊內(nèi)部的零信任實(shí)踐也是分步實(shí)現(xiàn)的。

從2016年內(nèi)部上線，到2017年實(shí)現(xiàn)內(nèi)部職場辦公一體化安全平臺(tái)，再到2020年新冠疫情期間，騰訊零信任iOA支撐了騰訊全球10W +設(shè)備的隨時(shí)隨地接入辦公，實(shí)現(xiàn)了安全零事故，騰訊iOA也因此成為國內(nèi)最大規(guī)模落地的自研自用零信任解決方案。

而從目前企業(yè)客戶需求看，遠(yuǎn)程辦公帶來的安全接入問題，是其最關(guān)注的業(yè)務(wù)場景。因此，替代或新建VPN成為零信任最為明晰的切入點(diǎn)，其帶來的價(jià)值也非常直觀。

隨著遠(yuǎn)程接入安全問題的解決，企業(yè)下一步關(guān)心的安全問題是權(quán)限的控制，即能否對(duì)身份、設(shè)備、數(shù)字資產(chǎn)等實(shí)現(xiàn)靈活可控的權(quán)限收放，而這正是釣魚防護(hù)、勒索防護(hù)、入侵防御等安全場景的關(guān)鍵所在。

對(duì)此，王宇建議在實(shí)現(xiàn)VPN替代之后，企業(yè)可以進(jìn)一步增加防釣魚功能，之后再補(bǔ)充終端安全功能，將零信任方案中的更多功能聯(lián)動(dòng)起來，實(shí)現(xiàn)一體化的安全防護(hù)。

針對(duì)已有SOC的大型企業(yè)，騰訊零信任iOA也能夠與SOC聯(lián)動(dòng)，基于多維監(jiān)測(cè)數(shù)據(jù)場景實(shí)現(xiàn)關(guān)聯(lián)分析，為安全運(yùn)營帶來更精準(zhǔn)和效率的檢測(cè)。

目前，騰訊零信任iOA的防釣魚功能已在金融、游戲、運(yùn)營商等多個(gè)行業(yè)頭部企業(yè)中應(yīng)用。

憑借成熟的產(chǎn)品能力和商業(yè)交付能力，騰訊零信任iOA 終端部署量級(jí)達(dá)數(shù)百萬，成為了國內(nèi)首個(gè)部署終端突破百萬的零信任產(chǎn)品。

結(jié)語

高端的獵手，往往采用最樸素的攻擊方式。當(dāng)企業(yè)把安全防線做到萬無一失時(shí)，最直接的攻破手段，反而是網(wǎng)絡(luò)釣魚這類古老的攻擊方式。

但無論網(wǎng)絡(luò)釣魚多么難防，終歸是攻防雙方的技術(shù)對(duì)抗，在零信任“持續(xù)驗(yàn)證，永不信任”的防護(hù)理念之下，釣魚攻擊正在迎來史上最黑暗的時(shí)刻。

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。