网络钓鱼的演变:欢迎“网络钓鱼”

  数据泄露的事后分析表明,当今大多数网络攻击都以网络钓鱼活动为前端。最新的CryptoForHealth Twitter黑客只是众多示例之一。这不足为奇,因为威胁行为者访问敏感数据的最简单方法是破坏最终用户的身份和凭据。如果窃取的身份属于特权用户,且特权用户具有更广泛的访问权限,那么情况就更糟了,因此向入侵者提供了“王国的钥匙”。在密切关注既定的黑客策略,技术和程序(TTP)的同时,可以提高组织实施有效网络防御策略的能力,而企业则需要紧跟新兴的TTP。一个很好的例子是许愿,这是对旧骗局的新看法。
 

  到目前为止,安全专业人员已经非常痛苦地意识到了网络钓鱼,该网络钓鱼利用社交工程策略从毫无戒心的用户那里获取个人信息。传统上,威胁行为者会制作仿冒电子邮件,使其看起来好像是从合法组织或已知个人发送的。这些电子邮件经常试图诱使用户单击链接,使他们进入看上去真实的欺诈性网站。然后可能会要求用户提供个人信息,例如帐户用户名和密码,这些信息可能会使他们进一步暴露于未来的威胁之下。此外,这些欺诈性网站可能包含恶意代码。
 

  为了利用无处不在的智能手机,威胁行为者增加了其TTP,现在正通过SMS或直接电话进行攻击。2020年8月20日,联邦调查局(FBI)和网络安全与基础设施安全局(CISA)发布了联合安全公告,警告说,针对美国私营部门的一连串钓鱼攻击正在持续进行。 
 

  网上诱骗是一种犯罪性的电话欺诈手段,将一对一电话与自定义的网上诱骗网站结合在一起。威胁参与者的目的是说服目标对象通过电话公开其凭据,或者在模拟该公司的公司电子邮件或虚拟专用网络(VPN)门户的网络对手建立的网站上手动输入它们的凭据。 
 

  根据该通报,此TTP使用率的上升是由COVID-19大流行驱动的,这导致大规模转移到在家工作,公司VPN的广泛使用以及消除了亲自验证。
 

如何防止吸烟

  IT安全专业人员可以实施以下主动措施来保护其组织:
 

•  安全意识培训:在您的总体安全意识培训计划中纳入垃圾邮件检测教育。这很好地提醒您,经常更新您的培训内容以应对TTP的变化很重要。此外,还可以利用网络钓鱼模拟来增强培训,以评估员工的意识水平并纠正其行为。 

•  限制VPN连接:使用硬件检查或已安装证书之类的机制,因此仅用户输入不足以访问公司VPN。限制VPN访问时间(如果适用),以减少超出允许时间的访问。

•  使用域监视:跟踪公司品牌域的创建或更改。

• Harden Use of MFA: If not yet implemented, enforce multi-factor authentication (MFA) which  requires multiple methods for identification (something you know, something you have, and something you are) and therefore is one of the best ways to prevent unauthorized users from accessing sensitive data and moving laterally within the network. If MFA has been implemented, harden your usage by deploying authenticators that support NIST SP 800-63-3 Assurance Level 3. These hardware-based devices (e.g., YubiKey, Titan Security Key) are proven to be a reliable deterrent. 

•  应用最低权限:配置访问控制-包括文件,目录和网络共享权限-记住最少的权限。如果用户仅需要读取特定文件,则他们不应具有对这些文件,目录或共享的写访问权。Gartner将特权访问管理确定为过去两年中十大信息安全项目之一,因为该领域使组织可以从IT安全投资中获得最大的回报。
 

  最终,网络钓鱼活动是基于凭据的攻击的前兆,这是当今数据泄露的主要原因。组织可以根据威胁参与者的TTP调整其网络防御策略,从而提高其网络弹性。但是,正如网络钓鱼的出现所表明的,组织需要保持警惕并调整其策略以应对其对手TTP的变化。