一次為目標,永遠為目標
當我在一起網路攻擊後與高管交談時,第一反應通常是進行自省式搜尋,來回答「為什麼」問題。為什麼網路執行者選擇攻擊我,攻擊我們的組織,攻擊這種文化?而事實是,很難理解為什麼。當然,確實存在獲取經濟利益、竊取智慧財產、企業間諜、蓄意破壞、追求成名或政治激進主義這些一般動機。但為什麼是我呢?為什麼是我們呢?
大多數網路攻擊在使用進階電腦科學或量子力學方面並非特別高明。其巧妙之處可能在於能夠表現真實或駕馭情感。但實際上,網路攻擊是一條簡陋裝配線的一部分,而您的組織可能只是永無止境的序列中的最後一個目標。
據報導,十分之九的網路攻擊造成損害的根本原因通常與網路釣魚有關。簡而言之,網路釣魚就是試圖讓某人採取行動並在不經意間造成損害。這樣的攻擊不僅易於設定,而且經濟高效。為了發起網路釣魚活動,攻擊者需要由電子郵件地址表示的人類目標。攻擊者會獲取這些地址,將其載入資料庫中,然後開始傳送攻擊。目標就是賺取點擊量。
網路釣魚與其說是一個有針對性的遊戲,不如說是一個規模性遊戲。進入攻擊資料庫後,您就會成為該執行者或任何有組織團體發起的任何網路釣魚活動的永久目標。我在國家安全局的工作經歷,以及我的團隊對其他民族國家、犯罪組織等的研究表明,網路執行者將它們的作業演變成了裝配線。不同的團隊負責確定目標、發起和執行、技術入侵方法、命中目標活動、分析以及活動後惡意探索。隨著時間的推移,很少有人費力去最佳化這些裝配線,特別是在攻擊者得逞之時。
成為目標的持久痛苦
Cloudforce One 團隊對一次相對簡單的網路釣魚活動如何對多個組織造成嚴重的長期損害進行了廣泛的研究。我們調查了 2016 年美國總統大選後第二天,由俄羅斯以政治組織為目標的間諜組織 RUS2 發起的一次攻擊活動。
透過重建目標資料庫,我們發現,網路釣魚目標不僅包括現任政府官員,還包括前任官員和政治夥伴。遭到攻擊的個人在更換工作之後很長時間內,仍會透過個人電子郵件地址收到網路釣魚電子郵件。截至 2016 年攻擊發生之時,一些個人已經在資料庫中留存了將近 10 年,今天仍然是攻擊的目標。
使用 Zero Trust 預防嚴重損害
這正是有趣之處。
外洩的姓名、電話號碼和電子郵件地址會無限期地存留於網路釣魚資料庫中。無論是電子郵件退回還是收件者未能上鉤,攻擊者都不會費力清除清單。一旦您成為網路釣魚攻擊的目標,就可能會無限期地成為目標。
對於企業和政府機構而言,連絡人資訊持續存在於網路釣魚資料庫中會額外增加一層危險。當遭到攻擊的個人更換工作後,這個人會讓新組織面臨風險,為新組織的網路打開了一個新途徑。
鑑於網路釣魚的簡便性和有效性,網路攻擊者將在可預見的未來繼續使用此策略,因為它非常有效。我們無法阻止其進行嘗試。但我們可以防止他們得逞。
我們不得不假設這種風險始終存在,並且每個個人都是一個潛在的進入點。
在過去 20 年的職業生涯中,我在美國國家安全局和美國網路戰指揮部工作,構建用於預先防止網路釣魚攻擊的技術,我發現緩解網路釣魚騙局影響的最佳方式就是採用 Zero Trust 安全性策略。傳統 IT 網路安全信任網路中的任何人和任何事物:在個人或裝置存取網路後,依預設,即會信任該個人或裝置。
採用 Zero Trust,則不信任任何人或事物。沒有人或事物能夠完全不受限制地信任地存取網路中的所有應用程式或其他資源。
最佳 Zero Trust 方法是多層的。例如,作為第一道防線,您可以先發制人地尋找網路釣魚基礎架構並封鎖活動,以免使用者點選文字或電子郵件中的惡意連結。您還可以使用多重要素驗證 (MFA) 和基於硬體的網路安全來保護網路,即便攻擊者獲得了使用者名稱和密碼。您可以套用最低權限原則,以確保通過 MFA 控制的駭客只能存取有限的一組應用程式。您可以使用微型分段來分割網路,提前遏阻任何違規行為。
親身體驗多層網路安全的有效性
去年,Cloudflare 使用 MFA 和硬件安全秘鑰作為多層 Zero Trust 方法的一部分,遏止了一起網路釣魚攻擊。當很多員工收到一條簡訊,引導他們進入一個旨在收集憑證的仿真 Okta 登入頁面時,攻擊就開始了。攻擊者試圖使用那些被盜的憑證以及限時一次性密碼 (TOTP) 代碼登入 Cloudflare 系統,攻擊要求員工參與認證程序。對於攻擊者來說,遺憾的是,Cloudflare 先前已經從 TOTP 轉換到硬件秘鑰。
如果未部署硬件秘鑰,則其他網路安全措施會阻止攻擊到達目標,但幸運的是,威脅沒有那麼嚴重。我們的安全事件回應團隊快速封鎖了對偽造登入頁面所用網域的存取,然後使用我們的 Zero Trust 網路存取服務終止了已遭入侵的使用中工作階段。如果攻擊者以某種方式達到安裝惡意軟體的地步,我們使用的端點安全性就會停止安裝。類似於此的多層策略有助於確保即便攻擊有一個方面得逞,攻擊本身也不會造成嚴重的損害。
獲得優勢
網路攻擊速度非常之快,但當您停下來環顧四周時,它們不會真正發生太大的變化。
如何防止他們得逞?
首先,確保您有強大的防網路釣魚控制措施。並非所有 MFA 控制都具有同樣的效力,因此,請確保您採用防網路釣魚攻擊的 MFA,並使用以身分和內容為中心的原則實作選擇性強制採用。針對所有使用者、所有應用程式,甚至舊式及非 Web 系統,在所有地方強制採用增強式驗證。最後,透過建立多疑而不究責的文化,提早並頻繁地回報可疑活動,從而確保每個人都位於「團隊網路」中。
幾乎沒有什麼辦法可以防止網路釣魚,但可以做很多事情來預先防止損害。使用 Zero Trust 方法,您可以幫助確保下次網路釣魚裝配線炮製一封電子郵件並傳送至您的地址時,不會造成任何損害。深入瞭解多層 Cloudflare Zero Trust 平台。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
作者
Oren Falkowitz — @orenfalkowitz
Cloudflare 安全長
重點
閱讀本文後,您將能夠瞭解:
您的個人資訊一經獲取,便會無限期存留於攻擊者資料庫中
網路釣魚攻擊是一條簡陋裝配線的一部分
幾乎沒有什麼辦法可以防止網路釣魚,但可以做很多事情來預先防止損害