网络钓鱼攻击防御指南:构建四层纵深防护体系

本文详细介绍了防御网络钓鱼攻击的四层纵深防护策略,涵盖技术控制、用户培训、流程优化和事件响应,帮助企业构建全面的电子邮件安全防护体系,有效降低网络钓鱼攻击风险。

网络钓鱼攻击:如何保护您的组织

引言

本指南提出了提高组织对网络钓鱼攻击韧性的缓解措施,同时最大限度地减少对用户工作效率的干扰。本指南中建议的防御措施对其他类型的网络攻击也很有用,将帮助您的组织整体上变得更有韧性。

本指南面向负责为中型到大型组织设计和实施防御措施的技术、运营或安全人员。这包括负责网络钓鱼培训的工作人员。

注意: 小型组织的工作人员也会发现本指南很有用,但应事先参考NCSC的网络行动工具包。

什么是网络钓鱼?

网络钓鱼是指攻击者发送包含恶意网站链接的欺诈电子邮件(或短信)。这些网站可能包含恶意软件(如勒索软件),可能破坏系统和组织。或者它们可能旨在诱骗用户泄露敏感信息(如密码)或转账。

网络钓鱼电子邮件可能袭击任何规模和类型的组织。您可能陷入大规模活动(电子邮件被 indiscriminately 发送到数百万个收件箱),也可能是针对您公司或特定员工的定向攻击的第一步。在这些定向活动中,攻击者使用有关您员工或公司的信息,使他们的信息更具说服力和真实性。这通常被称为鱼叉式网络钓鱼。

本指南中描述的缓解措施主要侧重于防止网络钓鱼攻击在您组织内的影响,但如果您实施这些措施,您将有助于保护整个英国。例如,设置DMARC可以阻止网络钓鱼者欺骗您的域名(即,使他们的电子邮件看起来像是来自您的组织)。这样做有很多好处:

  • 您公司真正的电子邮件更有可能到达收件人的收件箱,而不是被过滤为垃圾邮件。
  • 从声誉角度来看,没有组织希望自己的名字成为诈骗和欺诈的代名词。
  • 设置DMARC的组织越多,网络钓鱼者成功的难度就越大。

为什么需要多层方法

网络钓鱼缓解措施通常过分强调用户发现网络钓鱼电子邮件的能力。正如我们在下面解释的,这种方法可能浪费时间和金钱,却没有提高安全性。相反,您应该扩大防御范围,包括技术措施,而用户教育只是您方法的一个方面。分层方法意味着您将有多个机会检测网络钓鱼攻击,然后在它造成损害之前阻止它。一些网络钓鱼攻击总是会突破防御,因此您应该为事件做好计划,这意味着您可以最大限度地减少它们造成的损害。

下面的缓解措施需要技术、流程和基于人员的方法相结合。要使您的防御真正有效,必须考虑所有这些因素。更具体地说,本指南将缓解措施分为四个层次,您可以在此基础上建立防御:

  • 使攻击者难以接触到您的用户
  • 帮助用户识别和报告可疑的网络钓鱼信息
  • 保护您的组织免受未被发现的网络钓鱼电子邮件的影响
  • 快速响应事件

如果您无法实施所有缓解措施,请尝试从每个层次中至少解决一些缓解措施。

网络钓鱼模拟的问题

没有任何培训包(包括网络钓鱼模拟)可以教会用户发现每一次网络钓鱼尝试。要求用户深入检查他们收到的每一封电子邮件,将没有足够的时间来完成工作任务。这是一个不切实际且适得其反的目标,因为回复电子邮件和点击链接是工作不可或缺的一部分。

网络钓鱼模拟也会产生法律风险。既然不能指望任何人发现所有网络钓鱼电子邮件,惩罚那些点击您发送的电子邮件的人开始类似于诱捕。因此,在进行任何网络钓鱼模拟之前,您应始终与您的人力资源部门核实(NPSA有一套免费资源来帮助您设计培训)。

更实际地说,指责用户点击链接是行不通的。人们点击链接有多种原因。这些可能是 personality traits 或 situational(例如,如果一个人忙碌且有压力)。用惩罚威胁某人并不能改变这些因素。

网络钓鱼模拟还会侵蚀员工与安全部门之间的信任。害怕丢掉工作的员工不会报告错误。相反,员工应该创造一种积极的网络安全文化,使员工能够轻松报告网络钓鱼事件,从这个意义上说,他们可以成为一个有价值的早期预警系统。

那么,为什么网络钓鱼模拟如此受欢迎?一个原因是它们据称提供了清晰的、可量化的指标,展示了(在您关心的领域)进展如何。然而,指标表达了组织的价值观,如果您似乎重视没有报告问题,您就会激励人们对问题保持沉默。您应该考虑如何制定您的安全指标,以也包括成功案例。例如,除了衡量有多少人点击了网络钓鱼电子邮件外,还要关注有多少人报告了它。

四层缓解措施

第1层:使攻击者难以接触到您的用户

本部分描述了可以使攻击者甚至难以接触到您的最终用户的防御措施。

不要让您的电子邮件地址成为攻击者的资源

攻击者“欺骗”受信任的电子邮件,使他们的电子邮件看起来像是由信誉良好的组织(如您的组织)发送的。这些被欺骗的电子邮件可用于攻击您的客户或您组织内的人员。

如何做到这一点?

  • 通过采用反欺骗控制措施:DMARC、SPF和DKIM,使来自您域名的电子邮件更难被欺骗,并鼓励您的联系人做同样的事情。

减少攻击者可用的信息

攻击者使用您网站和社交媒体账户上自由获取的信息(称为您的“数字足迹”)使鱼叉式网络钓鱼信息更具说服力。

如何做到这一点?

  • 考虑网站访问者需要知道什么,哪些细节是不必要的(但可能对攻击者有用)?这对您组织中的高级别成员尤其重要,因为这些信息可能被用来制作个性化的鲸钓攻击(一种针对“大鱼”的鱼叉式网络钓鱼,例如有权访问有价值资产的董事会成员)。
  • 帮助您的员工了解分享他们的个人信息如何影响他们和您的组织,并将其发展为所有用户的清晰的“数字足迹政策”。NPSA的数字足迹活动包含一系列有用的材料,可以帮助解决这个问题。
  • 注意您的合作伙伴、承包商和供应商在线泄露了关于您组织的哪些信息。

过滤或阻止传入的网络钓鱼电子邮件

电子邮件在到达您的用户之前,应过滤/阻止垃圾邮件、网络钓鱼和恶意软件。理想情况下,这应该在服务器上完成,但也可以在设备上完成(即在邮件客户端中)。过滤服务通常将电子邮件发送到垃圾邮件/垃圾文件夹,而阻止服务确保它们永远不会到达您的用户。确定阻止或过滤的规则需要根据您组织的需求进行微调。

如何做到这一点?

  • 对于入站电子邮件,应遵守发件人域的反欺骗策略。如果发件人制定了DMARC策略,策略为隔离或拒绝,那么如果验证检查失败,您应按要求执行。
  • 如果您使用基于云的电子邮件提供商,请确保他们的过滤/阻止服务满足您的需求,并且默认情况下为所有用户开启。如果您托管自己的电子邮件服务器,请确保已部署经过验证的过滤/阻止服务。这可以在本地实施和/或作为基于云的服务购买。再次强调,确保默认情况下为所有用户开启。
  • 如果您将所有可疑电子邮件过滤到垃圾邮件/垃圾文件夹,用户将不得不管理大量电子邮件,增加了他们的工作量,并留下了点击恶意链接的可能性。但是,如果您阻止所有可疑电子邮件,一些合法电子邮件可能会丢失。您可能不得不随着时间的推移更改规则,以确保最佳折衷,并响应您业务不断变化的需求和工作方式。
  • 在设备上过滤电子邮件可以提供额外的防御层,抵御恶意电子邮件。然而,这不应补偿无效的基于服务器的措施,后者可以完全阻止大量传入的网络钓鱼电子邮件。
  • 可以使用多种技术过滤或阻止电子邮件,包括IP地址、域名、电子邮件地址允许/拒绝列表、公共垃圾邮件和开放中继拒绝列表、附件类型和恶意软件检测。

第2层:帮助用户识别和报告可疑的网络钓鱼电子邮件

本部分概述了如何帮助您的员工发现网络钓鱼电子邮件,以及如何改善您的报告文化。

仔细考虑您的网络钓鱼培训方法

培训您的用户——特别是以网络钓鱼模拟的形式——是网络钓鱼防御中经常被过分强调的层次。然而,发现所有网络钓鱼电子邮件很难,而鱼叉式网络钓鱼攻击更难检测。许多培训包中给出的建议(基于标准警告和迹象)将帮助您的用户发现一些网络钓鱼电子邮件,但它们不能教会所有人发现所有网络钓鱼电子邮件。

如何做到这一点?

  • 确保您的用户了解网络钓鱼带来的威胁性质,尤其是那些可能更容易受到攻击的部门。面向客户的部门可能会收到大量未经请求的电子邮件,而被授权访问敏感信息、管理财务资产或管理IT系统的员工则更受攻击者关注(并且可能是复杂的鱼叉式网络钓鱼活动的目标)。确保这些更脆弱的员工意识到风险,并为他们提供额外支持。
  • 帮助您的用户识别网络钓鱼信息的共同特征。NCSC已经发布了关于如何识别诈骗信息的指南。
  • 不要斥责难以识别网络钓鱼电子邮件的用户。害怕报复的用户不会及时报告错误(如果会报告的话)。培训应 reassure 用户,如果他们报告网络钓鱼事件,他们不会遇到麻烦。这一信息需要所有部门的支持,包括人力资源、支持部门和高级管理层。
  • 一些公司不使用模拟,而是要求参与者制作自己的网络钓鱼电子邮件,让他们更丰富地了解所使用的影响技巧。同行之间的友好竞争可以避免网络钓鱼模拟可能产生的无益的“我们与他们”的场景,在这种场景中,员工可能觉得他们正在被安全团队测试。

让您的用户更容易识别欺诈请求

攻击者可以利用“工作方式”诱骗用户交出信息(包括密码)或进行未经授权的支付。考虑哪些流程可能被攻击者模仿,以及如何审查和改进它们,以便更容易发现网络钓鱼攻击。

如何做到这一点?

  • 确保员工熟悉关键任务(如付款方式)的正常工作方式,以便他们能更好地识别不寻常的请求。
  • 通过确保所有重要的电子邮件请求都使用第二种通信类型(如SMS消息、电话、登录账户,或通过邮件或当面确认)进行验证,使流程更能抵抗网络钓鱼。改变流程的其他例子包括使用不同的登录方法,或通过访问控制的云账户共享文件,而不是将文件作为附件发送。
  • 考虑您的外发通信在供应商和客户看来如何。您的收件人能轻松区分您的真实电子邮件和网络钓鱼攻击吗?收件人是否期待电子邮件,他们会认出您的电子邮件地址吗?他们有任何方法知道链接是否真实吗?
  • 考虑告诉您的供应商或客户需要注意什么(例如“我们永远不会索要您的密码”,或“我们的银行详细信息在任何时候都不会改变”)。这给了收件人另一个检测网络钓鱼的机会。

创造一个鼓励用户报告网络钓鱼尝试的环境

建立一种用户能够报告网络钓鱼电子邮件(包括他们点击过的电子邮件)的文化,可以为您提供关于正在使用何种类型网络钓鱼攻击的重要信息。您还可以了解哪些类型的电子邮件被误认为是网络钓鱼,以及这可能对您的组织产生什么影响。

如何做到这一点?

  • 拥有一个有效的流程供用户报告网络钓鱼。该流程是否清晰、简单且快速使用?快速提供关于已采取何种行动的反馈,并明确表示他们的贡献有所作为。
  • 考虑如何利用非正式沟通渠道(通过同事、团队或内部留言板)创造一个环境,使用户在可能面临网络钓鱼尝试时能够轻松“大声询问”支持和指导。
  • 避免围绕网络钓鱼创造一种惩罚或指责导向的文化。重要的是,即使用户已经“点击”并后来认为某些事情可能可疑,他们也能感到被支持而站出来。

第3层:保护您的组织免受“成功”网络钓鱼电子邮件的影响

由于不可能阻止所有攻击,本部分概述了如何最小化到达您的用户并被点击的网络钓鱼电子邮件的影响。

保护您的设备免受恶意软件侵害

恶意软件通常隐藏在网络钓鱼电子邮件中,或它们链接的网站中。配置良好的设备和良好的端点防御可以阻止恶意软件安装,即使电子邮件被点击。一些防御措施针对特定威胁(如禁用宏),有些可能不适用于所有设备(反恶意软件软件可能预装在某些设备上,而其他设备则不需要)。最后,恶意软件对您更广泛系统的影响将取决于您系统的设置方式。更多信息,请参阅我们安全设计原则中关于减少泄露影响的部分。

如何做到这一点?

  • 通过仅使用受支持的软件和设备,防止攻击者利用已知漏洞。确保软件和设备始终保持最新补丁更新。
  • 通过将管理员账户限制为需要这些权限的人员,防止用户从网络钓鱼电子邮件中意外安装恶意软件。拥有管理员账户的人不应使用这些账户检查电子邮件或浏览网页。

保护您的用户免受恶意网站侵害

指向恶意网站的链接通常是网络钓鱼电子邮件的关键部分。然而,如果链接无法打开网站,那么攻击就无法继续。

如何做到这一点?

  • 大多数现代浏览器会阻止已知的网络钓鱼和恶意软件网站。请注意,在移动设备上情况并非总是如此。
  • 组织应运行代理服务,无论是在内部还是在云端,以阻止任何尝试访问已被识别为托管恶意软件或网络钓鱼活动的网站。
  • 公共部门组织应使用公共部门DNS服务,这将阻止用户解析已知恶意的域名。

通过有效的身份验证和授权保护您的账户

密码是攻击者的主要目标,特别是如果它们是用于具有特权(如访问敏感信息、处理财务资产或管理IT系统)的账户。您应该使所有账户的登录过程更能抵抗网络钓鱼,并将具有特权访问的账户数量限制在绝对最小值。

如何做到这一点?

  • 通过设置多因素认证(MFA)为您的登录过程增加额外的安全性,这在某些网络服务上也称为“两步验证(2SV)”。拥有第二个因素意味着攻击者无法仅使用被盗密码访问账户。
  • 考虑使用密码管理器,其中一些可以识别真实网站,并且不会在虚假网站上自动填充。类似地,您可以使用单点登录方法(设备识别并自动登录真实网站)。采用这些技术意味着手动输入密码变得不寻常,用户可以更容易地识别可疑请求。
  • 考虑使用替代认证机制(如生物识别或智能卡),这些机制比密码更难窃取。
  • 攻击者可能造成的损害与他们窃取的凭据所分配的特权成正比。仅向需要其角色的人员提供特权访问。定期审查这些权限,如果不再需要则撤销。删除或暂停不再使用的账户,例如当您组织的成员离开或转到新角色时。
  • 考虑审查您的密码策略。这样做可能会(例如)减少员工在家庭和工作账户之间重复使用密码的可能性。

第4层:快速响应事件

所有组织在某个时候都会经历安全事件,因此请确保您处于能够快速检测它们并以有计划的方式响应它们的位置。

快速检测事件

尽早了解事件可以让您限制它可能造成的损害。

如何做到这一点?

  • 确保用户事先知道如何报告事件。请记住,如果他们的设备受损,他们可能无法访问正常的通信方式。
  • 使用安全日志系统来发现您的用户未意识到的事件。要收集这些信息,您可以使用内置在现成服务(如云电子邮件安全面板)中的监控工具,建立内部团队,或外包给托管安全监控服务。
  • 可能缺乏专用日志资源的小型组织可能希望尝试CISA的Logging Made Easy开源项目,它提供了一种实用的方法来设置对您IT资产的基本端到端Windows监控。
  • 一旦监控能力建立起来,需要保持更新以确保其持续有效。

制定事件响应计划

一旦发现事件,您需要知道该做什么,以尽快防止任何进一步的损害。

如何做到这一点?

  • 确保您的组织知道在不同类型事件的情况下该做什么。例如,如果密码泄露,您将如何强制重置密码?谁负责从设备中移除恶意软件,他们将如何操作?更多信息,请参考NCSC的事件管理指南。
  • 事件响应计划应在事件发生前进行练习。最好的方法是通过演练。如果您是新手,NCSC创建了Exercise In A Box,一个免费的在线工具,帮助您了解自己对网络攻击的韧性,并让您在安全的环境中练习。

案例研究:多层网络钓鱼缓解措施实例

以下真实世界的例子说明了一家金融领域的公司如何使用有效的分层缓解措施来防御网络钓鱼攻击。依赖任何单一层次都会遗漏一些攻击,并导致昂贵且耗时的清理操作。

这家拥有约4000名员工的公司收到了1800封包含多种Dridex恶意软件变体的电子邮件。该电子邮件声称是一张需要紧急处理的发票,这与一些收件人的角色相关。它没有使用任何个人信息针对个别用户,但写得很好,拼写和语法正确。

网络钓鱼攻击摘要:

  • 该活动向该组织发送了 1800 封电子邮件
  • 1750 封被识别出存在恶意软件的电子邮件过滤服务阻止。

这留下了 50 封到达用户收件箱的电子邮件。

  • 其中,36 封被用户忽略,或使用其电子邮件客户端中的按钮报告。总共报告了25封,包括一些点击后报告;这是攻击突破初始防御层的第一个迹象。

这留下了 14 封被点击的电子邮件,它们启动了恶意软件。

  • 13 次恶意软件实例由于设备是最新的而未能按预期启动。

  • 1 次恶意软件实例被安装。

  • 恶意软件向其操作者的回连被检测到、报告并阻止。

  • 1台设备在几小时内被扣押、调查和清理。

下载

主题

  • 网络钓鱼
  • 以人为中心的安全
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次