一朝成目标,永远是目标
我与遭遇过网络攻击的公司高管交谈时,他们的第一反应往往是自我反省,以回答“为什么”。为什么网络行为者选择攻击我,我们的组织,这个文化?事实上,为什么是很难理解的。当然,攻击的标准动机可能是为了获得金钱、窃取知识产权、进行企业间谍活动、破坏、获得名声或从事政治活动。但为什么是我?为什么是我们?
大多数网络攻击并非特别复杂,它们并没有使用高级计算机科学或量子力学技术。它们可能很聪明,能够表现得很真实,或善于利用情绪。但实际上,网络攻击是一条简陋流水线的一部分,您的组织可能只是永无止境的攻击序列中的最后一个目标。
常有报道称,在 90% 的网络攻击中,造成破坏的根本原因可能与网络钓鱼有关。简单来说,网络钓鱼是试图让某人采取一些不经意间导致破坏的行动。此类攻击容易配置,具有成本效益,而且效果良好。为了发起网络钓鱼攻击,攻击者需要人类目标,由电子邮件地址所代表。攻击者获取这些电子邮件地址,加载到数据库中,然后开始发送攻击。目标是吸引点击。
网络钓鱼更多是以量取胜,而不是有针对性的攻击。一旦进入攻击数据库,您将成为永远成为该攻击者或有组织的团体发起任何网络钓鱼攻击的目标。我在国家安全局的经验——以及我的团队对其他民族国家、犯罪组织等的研究——表明,网络行为者将他们的运作发展成了流水线。不同团队负责目标选定、发动和执行、技术利用方法、针对特定目标的活动、分析和事后利用。随着时间推移,攻击者几乎不会对这些生产线进行任何优化,尤其是在取得成功之后。
成为攻击目标所带来的长期痛苦
Cloudforce One 团队进行了广泛的研究,以了解一个相对简单的网络钓鱼攻击如何对多个组织造成严重的长期损害。我们调查了在 2016 年美国总统选举一天后由一个俄罗斯间谍团伙发起的攻击活动。这个团伙以政治组织为目标,我们称之为 RUS2。
通过重建目标数据库,我们发现网络钓鱼的目标不仅包括现任政府官员,还包括前任官员和政治。即使在目标个人离职后,他们仍然会通过个人电子邮件地址收到网络钓鱼邮件。2016 年攻击发生时,有些人已经在攻击数据库中近 10 年了,而且到今天仍然是攻击的目标。
利用 Zero Trust 来预防严重损害
这是事情变得耐人寻味的地方。
泄露的姓名、电话号码和电子邮件地址会永远留在网络钓鱼数据库中。不管电子邮件是否被退回或收件人是否未上钩,攻击者都不会费神清理他们的列表。一旦成为钓鱼攻击的目标,您就可能永远都是目标。
对于企业和政府机构来说,联系人信息在网络钓鱼数据库中的持久存在增加了一层额外的危险性。当一个成为目标的人换工作时,他会将他的新组织置于风险之中,为新组织的网络带来了一个新的攻击途径。
鉴于网络钓鱼攻击的简单性和有效性,网络攻击者将在可预见的未来继续使用这种策略。我们并没有什么好办法能阻止他们的尝试。然而,我们可以防止他们成功。
我们必须假设这种风险始终存在,并且每个人都是潜在的入口点。
在我职业生涯的过去 20 年里,我在国家安全局、美国网络司令部工作,并构建用于预防网络钓鱼攻击的技术。我发现,减轻网络钓鱼攻击的影响的最佳方法是采用 Zero Trust 安全策略。传统的 IT 网络安全信任网络内的任何人和任何设备:一旦个人或设备获得网络访问权限,该个人或设备就会默认被信任。
使用 Zero Trust,任何人和任何事物都不被信任。没有人能够对网络中所有应用程序或其他资源拥有完全不受限制、受信任的访问权限。
最佳的 Zero Trust 方法是多层次的。例如,作为第一道防线,可以预先搜寻网络钓鱼基础设施,并在用户点击文本或电子邮件中的恶意链接之前就阻止攻击活动。即使攻击者成功获得用户名和密码,您也可以使用附带硬件安全性的多因素身份验证(MFA)来保护网络。可以应用最小权限原则,以确保即使攻击者绕过了 MFA 控制,他们也只能访问有限的一组应用。您可以使用微分段技术对网络进行分区,以便及早控制任何安全漏洞。
亲身体验多层安全措施的有效性
去年,Cloudflare 使用硬件安全密钥形式的 MFA (我们多重 Zero Trust 方法的一部分)挫败了一次网络钓鱼攻击。攻击开始时,一些员工收到了一条短信,引导他们前往一个外观逼真的 Okta 登录页面,这个页面旨在收集凭据。攻击者试图使用这些窃取的凭据以及基于时间的一次性密码(TOTP)代码登录 Cloudflare 系统——攻击要求员工参与身份验证过程。对攻击者而言,不幸的是,Cloudflare 已经从 TOTP 转移到硬件密钥。
即使没有实施硬件密钥,其他安全措施也会防止攻击达到目的,但幸运的是,这一攻击没有走到那一步。我们的安全事件响应团队迅速阻止了对假冒登录页面所用域的访问,并使用我们的 Zero Trust 网络访问服务终止了活动的受攻击会话。如果攻击者以某种方式到达了安装恶意软件的地步,我们使用的端点安全措施将会阻止其安装。通过类似这样的多重策略,即使攻击的某个方面得逞,攻击本身也不能造成重大破坏。
获得优势
网络攻击来势汹汹,但停下细看,就会发现它们并没有什么重大变化。
您如何防止攻击得逞呢?
首先,确保采取了强有力的反钓鱼控制措施。并非所有的 MFA 控制都具有相同的功效,因此请确保您采用了防网络钓鱼的 MFA,并使用基于身份和上下文的策略实施选择性执行。在任何地方,对所有用户、所有应用程序、甚至传统和非 Web 系统实施强身份验证。最后,确保每个人都成为“网络安全团队”的一份子,做法是建立一种多疑但不责难的文化,以及早并经常报告可疑活动。
阻止网络钓鱼方面能做的并不多,但可以做很多事情来预防损害。采用 Zero Trust 策略,您可以帮助确保,下一次网络钓鱼攻击发送电子邮件到您的地址时,不会造成任何损失。进一步了解多层的 Cloudflare Zero Trust 平台。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
作者
Oren Falkowitz — @orenfalkowitz
Cloudflare 安全官
关键要点
阅读本文后,您将能够了解:
一旦您的个人信息被攻击者获得,就会无限期地存在于攻击者的数据库中
钓鱼攻击是一条简陋流水线的一部分
阻止网络钓鱼方面能做的并不多,但可以做很多事情来预防损害。