当网络安全公司遭遇钓鱼攻击时会发生什么？

一位Sophos员工遭遇了钓鱼攻击，但我们通过端到端防御流程成功化解了威胁。

在网络安全领域，你或许听过这句经典格言：“问题不在于是否会发生攻击，而在于何时发生。”更准确的理解是：尽管培训、经验和对社会工程技术的认知有所帮助，但任何人都可能落入精心设计的圈套。在特定情境、时机和环境下，每个人——包括安全研究人员——都存在可能被利用的脆弱性。

网络安全公司绝非例外。2025年3月，一名Sophos高级员工成为钓鱼邮件的受害者，在伪造登录页面输入凭证，导致多因素认证（MFA）被绕过，攻击者试图渗透公司网络但最终失败。

我们在信任中心发布了事件的外部根本原因分析（RCA），但此次事件引发的深层思考值得分享：

首先，MFA绕过攻击正日益普遍。随着MFA的普及，攻击者不断调整策略，多个钓鱼框架和服务已集成MFA绕过功能（这进一步佐证了通行密钥推广的必要性）。

其次，我们分享事件细节并非为了标榜成功拦截攻击（这本是我们的职责），而是因为它生动展现了端到端防御流程，并蕴含重要经验。

最后，我们的响应关键依赖于三大支柱：控制措施、团队协作与安全文化。

控制措施

我们的安全控制采用分层设计，旨在应对人为失误和前置防线被绕过的情况。“纵深防御”策略的核心在于：当一层防护失效时，其他层级应即时启动，尽可能覆盖网络攻击链的各个环节。

如RCA所述，本次事件涉及邮件安全、MFA、条件访问策略（CAP）、设备管理和账户限制等多重防线。虽然攻击者突破了部分层级，但后续控制措施及时生效。

关键的是，我们未因成功防御而自满。事件后我们全面调查攻击链，执行内部根本原因分析，评估每项控制措施的效果。对于被绕过的控制层，我们分析原因并制定改进方案；对于有效运作的防护，则预判攻击者未来可能采用的绕过手段并提前部署缓解措施。

团队协作

内部团队始终保持紧密协作，这种合作文化在应对内部或客户面临的紧急威胁时尤为关键。Sophos实验室、托管检测与响应（MDR）团队、内部检测与响应（IDR）团队及IT部门依托各自专业领域协同作战，共享情报与洞察。未来我们将持续优化情报收集能力并缩短反馈周期——不仅限于内部，更将拓展至更广泛的安全社区。将情报转化为可行动方案并主动防御是我们的核心目标。尽管本次响应有效，我们始终追求更优。

安全文化

我们致力营造聚焦问题解决与安全加固的文化，而非追究责任或指责失误——点击钓鱼链接的员工不会受到处罚。本次事件中，员工能够直接向同事坦白遭受钓鱼诱骗。在某些组织，员工可能因担心报复或尴尬而隐瞒失误，甚至希望问题自动消失。在Sophos，我们鼓励所有员工无论职级主动报告可疑情况。正如开篇所言，我们深知任何人在特定环境下都可能落入社会工程陷阱。

常言道“人是安全中最薄弱的环节”（这种说法并无助益），但人同样是第一道防线。他们在通知安全团队、验证自动警报（或在技术控制失效时直接告警）及提供背景信息等方面发挥着不可替代的作用。

结论

攻击者突破了外围防御，但控制措施、团队协作与安全文化的结合极大限制了其行动范围，最终我们将其逐出系统。事后审查与经验总结使我们的安全防护更为坚固，以应对下一次挑战。通过在此处及RCA中的公开透明分享，我们希望助力提升行业整体防护水平。