当网络安全公司遭遇钓鱼攻击时会发生什么？

一名Sophos员工遭遇了钓鱼攻击，但我们通过端到端的防御流程成功抵御了威胁。

如果你在网络安全领域工作，你可能听过那句关于网络攻击的老生常谈：“这不是会不会发生的问题，而是何时发生的问题。”或许更好的理解方式是：尽管培训、经验和对社会工程技术的熟悉度有所帮助，但任何人都可能成为精心设计的骗局的受害者。每个人——包括安全研究人员——都有其脆弱性，在特定的情境、时机和环境下都可能中招。

网络安全公司绝非免疫。2025年3月，Sophos的一名高级员工成为一封钓鱼邮件的受害者，在一个伪造的登录页面输入了其凭证，导致了多因素身份验证（MFA）被绕过，威胁行为体试图——但失败了——渗透进入我们的网络。

我们已在信任中心发布了关于此事件的外部根因分析（RCA），其中深入探讨了细节——但这一事件引发了一些更广泛的有趣话题，我们也想分享一些看法。

首先，值得注意的是，MFA绕过正变得越来越普遍。随着MFA的广泛应用，威胁行为体也在适应，一些钓鱼框架和服务现已整合了MFA绕过能力（这为更广泛采用通行密钥提供了另一个论据）。

其次，我们分享此事件的细节，并非为了强调我们成功击退了一次攻击——那是我们的日常工作——而是因为它很好地阐释了一个端到端的防御流程，并包含了一些值得借鉴的学习要点。

第三，我们的响应有三大关键要素：控制措施、团队协作和企业文化。

控制措施

我们的安全控制是分层的，旨在对人为失误和绕过早期防护层具有弹性。“深度防御”安全策略背后的指导原则是，当一层控制被绕过或失效时，其他控制应启动——在尽可能多的网络杀伤链环节提供保护。

正如我们在相应的RCA中讨论的，此事件涉及多个层面——邮件安全、MFA、条件访问策略（CAP）、设备管理和账户限制。虽然威胁行为体绕过了其中一些层面，但随后的控制措施被触发。

然而，至关重要的是，我们在事件发生后并未固步自封。威胁行为体没有得逞，但我们没有沾沾自喜然后照常工作。我们调查了攻击的每一个方面，进行了内部根因分析，并评估了每一个涉及的控制措施的性能。对于被绕过的控制，我们审查了原因以及我们如何改进它。对于有效运作的控制，我们自问威胁行为体未来可能采取什么手段来绕过它，然后研究如何缓解这种风险。

合作

我们的内部团队始终紧密合作，其关键成果之一便是协作文化——尤其是在面临紧急且活跃的威胁时，无论威胁是针对内部还是影响我们的客户。

Sophos实验室、托管检测与响应（MDR）、内部检测与响应（IDR）以及我们的内部IT团队，各自在其不同的专业领域内协作，共享信息和见解，以消除威胁。展望未来，我们正在探索如何改进情报收集能力并缩短反馈循环——不仅是在内部，也在更广泛的安全社区内。吸收情报并将其付诸实践，使其具有可操作性，并主动利用它来保护我们的资产，是一个关键优先事项。虽然我们对此事件响应有效，但我们始终可以做得更好。

文化

我们努力培养一种以解决问题和确保安全为主要焦点的文化，而不是归咎或批评同事的错误——我们不会训诫或处罚点击了钓鱼链接的用户。

在此次事件中，涉事员工能够直接告知同事自己中了钓鱼圈套。在一些组织中，用户可能因害怕报复或个人尴尬而不愿承认错误。另一些人可能希望，如果他们忽视可疑事件，问题就会消失。在Sophos，我们鼓励所有用户——无论其角色和资历级别——报告任何可疑情况。正如我们在本文开头提到的，我们知道在特定情况下任何人都可能成为社会工程骗局的受害者。

人们常说——虽然未必有帮助——人是安全中最薄弱的一环。但他们也常常是第一条防线，可以在通知安全团队、验证自动警报（甚至在技术控制失效时自行发出警报）以及提供额外背景信息和情报方面发挥至关重要的作用。

结论

攻击者曾突破我们的外围防御，但控制措施、团队协作和企业文化的结合，意味着他们在被我们从系统中清除之前，其所能进行的操作受到了严重限制。我们的事件后审查以及从中汲取的经验教训，意味着我们的安全态势得到了加强，为应对下一次尝试做好了准备。通过在此处和在RCA中公开、透明地分享这些经验，我们希望您的安全态势也能得到加强。