网络安全公司遭遇钓鱼攻击时会发生什么？

一位Sophos员工遭遇了钓鱼邮件攻击，但我们通过端到端防御流程成功应对了这一威胁。

事件概述

在网络安全领域，我们经常听到这样的格言：“不是是否会被攻击的问题，而是何时被攻击的问题”。更准确地说，尽管培训、经验和对社会工程技术的熟悉度有所帮助，但任何人都可能落入精心设计的圈套。每个人——包括安全研究人员——在特定情境、时机和环境下都可能存在易受攻击的弱点。

2025年3月，一名Sophos高级员工成为了钓鱼邮件的受害者，在伪造的登录页面输入了凭证，导致多因素认证（MFA）被绕过，威胁行为者试图——但最终失败——渗透我们的网络。

随着MFA的广泛普及，威胁行为者已经适应并进化。多个钓鱼框架和服务现在都包含了MFA绕过功能（这进一步支持了通行密钥的更广泛采用）。

我们分享此事件细节的目的不是为了强调我们成功抵御了攻击——这是我们的日常工作——而是因为它很好地展示了端到端防御流程，并包含了一些有趣的学习点。

我们的响应依赖于三个关键要素：控制措施、团队协作和文化建设。

我们的安全控制措施采用分层设计，目标是能够抵御人为失误和早期层的绕过。深度防御安全策略的指导原则是：当一个控制措施被绕过或失效时，其他措施应该立即介入——在尽可能多的网络杀伤链环节提供保护。

如我们在相应的根本原因分析（RCA）中讨论的，此事件涉及多个层面：

虽然威胁行为者绕过了其中某些层面，但后续的控制措施随即被触发。

重要的是，我们在事件发生后并未满足于现状。尽管威胁行为者未能成功，但我们没有简单地庆贺并继续日常工作。我们调查了攻击的每个方面，进行了内部根本原因分析，并评估了每个相关控制措施的性能。

我们的内部团队始终紧密合作，其中一个关键成果就是建立了协作文化——特别是在面临紧急和活跃威胁时，无论是内部威胁还是影响客户的威胁。

Sophos实验室、托管检测与响应（MDR）、内部检测与响应（IDR）以及我们的内部IT团队各自发挥专业特长，共同消除威胁，分享信息和见解。展望未来，我们正在探索改进情报收集能力和加强反馈循环的方法——不仅内部如此，在整个更广泛的安全社区内也是如此。

我们努力培养一种文化，其中主要重点是解决问题和确保安全，而不是追究责任或批评同事的错误——我们不会对点击钓鱼链接的用户进行训斥或处分。

在此事件中，涉事员工能够直接告知同事自己落入了钓鱼陷阱。在某些组织中，用户可能不愿意承认错误，无论是出于对报复的恐惧还是个人尴尬。其他人可能希望如果他们忽略可疑事件，问题就会自行消失。在Sophos，我们鼓励所有用户——无论其角色和资历级别——报告任何可疑情况。

攻击者突破了我们的外围防御，但控制措施、团队协作和文化的结合意味着他们在被我们从系统中移除之前，行动能力受到了严格限制。我们的事件后审查和从中吸取的教训意味着我们的安全态势更加强大，为下一次尝试做好了准备。通过在此处和RCA中公开透明地分享这些经验，我们希望您的安全态势也能得到加强。