一朝成目标,永远是目标
我与遭遇过网络攻击的公司高管交谈时,他们的第一反应往往是自我反省,以回答“为什么”。为什么网络行为者选择攻击我,我们的组织,这个文化?事实上,为什么是很难理解的。当然,攻击的标准动机可能是为了获得金钱、窃取知识产权、进行企业间谍活动、破坏、获得名声或从事政治活动。但为什么是我?为什么是我们?
大多数网络攻击并非特别复杂,它们并没有使用高级计算机科学或量子力学技术。它们可能很聪明,能够表现得很真实,或善于利用情绪。但实际上,网络攻击是一条简陋流水线的一部分,您的组织可能只是永无止境的攻击序列中的最后一个目标。
常有报道称,在 90% 的网络攻击中,造成破坏的根本原因可能与网络钓鱼有关。简单来说,网络钓鱼是试图让某人采取一些不经意间导致破坏的行动。此类攻击容易配置,具有成本效益,而且效果良好。为了发起网络钓鱼攻击,攻击者需要人类目标,由电子邮件地址所代表。攻击者获取这些电子邮件地址,加载到数据库中,然后开始发送攻击。目标是吸引点击。
网络钓鱼更多是以量取胜,而不是有针对性的攻击。一旦进入攻击数据库,您将成为永远成为该攻击者或有组织的团体发起任何网络钓鱼攻击的目标。我在国家安全局的经验——以及我的团队对其他民族国家、犯罪组织等的研究——表明,网络行为者将他们的运作发展成了流水线。不同团队负责目标选定、发动和执行、技术利用方法、针对特定目标的活动、分析和事后利用。随着时间推移,攻击者几乎不会对这些生产线进行任何优化,尤其是在取得成功之后。
成为攻击目标所带来的长期痛苦
Cloudforce One 团队进行了广泛的研究,以了解一个相对简单的网络钓鱼攻击如何对多个组织造成严重的长期损害。我们调查了在 2016 年美国总统选举一天后由一个俄罗斯间谍团伙发起的攻击活动。这个团伙以政治组织为目标,我们称之为 RUS2。
通过重建目标数据库,我们发现网络钓鱼的目标不仅包括现任政府官员,还包括前任官员和政治。即使在目标个人离职后,他们仍然会通过个人电子邮件地址收到网络钓鱼邮件。2016 年攻击发生时,有些人已经在攻击数据库中近 10 年了,而且到今天仍然是攻击的目标。
利用 Zero Trust 预防严重损害
这是事情变得耐人寻味的地方。
泄露的姓名、电话号码和电子邮件地址会永远留在网络钓鱼数据库中。不管电子邮件是否被退回或收件人是否未上钩,攻击者都不会费神清理他们的列表。一旦成为钓鱼攻击的目标,您就可能永远都是目标。
对于企业和政府机构来说,联系人信息在网络钓鱼数据库中的持久存在增加了一层额外的危险性。当一个成为目标的人换工作时,他会将他的新组织置于风险之中,为新组织的网络带来了一个新的攻击途径。
鉴于网络钓鱼攻击的简单性和有效性,网络攻击者将在可预见的未来继续使用这种策略。我们并没有什么好办法能阻止他们的尝试。然而,我们可以防止他们成功。
我们必须假设这种风险始终存在,并且每个人都是潜在的入口点。
在我职业生涯的过去 20 年里,我在国家安全局、美国网络司令部工作,并构建用于预防网络钓鱼攻击的技术。我发现,减轻网络钓鱼攻击的影响的最佳方法是采用 Zero Trust 安全策略。传统的 IT 网络安全信任网络内的任何人和任何设备:一旦个人或设备获得网络访问权限,该个人或设备就会默认被信任。
使用 Zero Trust,任何人和任何事物都不被信任。没有人能够对�网络中所有应用或其他资源拥有完全不受限制、受信任的访问权限。
最佳的 Zero Trust 方法是多层次的。例如,作为第一道防线,可以预先搜寻网络钓鱼基础设施,并在用户点击文本或电子邮件中的恶意链接之前就阻止攻击活动。即使攻击者成功获得用户名和密码,您也可以使用附带硬件安全性的多因素身份验证(MFA)来保护网络。可以应用最小权限原则,以确保即使攻击者绕过了 MFA 控制,他们也只能访问有限的一组应用。您可以使用微分段技术对网络进行分区,以便及早控制任何安全漏洞。
亲身体验多层安全措施的有效性
At Cloudflare, we thwarted a phishing attack last year using MFA with hardware security keys as part of our multi-layered zero trust approach. The attack began when a number of employees received a text message that led them to an authentic-looking Okta login page, which was designed for credential harvesting. The attacker attempted to log in to Cloudflare systems using those stolen credentials along with time-based one-time password (TOTP) codes—the attack required that employees participate in the authentication process. Unfortunately for the attacker, Cloudflare had previously transitioned from TOTP to hard keys.
If the hard keys hadn’t been in place, other security measures would have prevented the attack from reaching its objective but, fortunately, the threat didn’t get that far. Our Security Incident Response team quickly blocked access to the domain used for the fake login page and then killed active, compromised sessions using our zero trust network access service. If the attacker had somehow reached the point of installing malicious software, the endpoint security we use would have stopped the installation. A multi-layered strategy like this one helps to ensure that even if one aspect of an attack is successful, the attack itself won’t cause substantial damage.
获得优势
网络攻击来势汹汹,但停下细看,就会发现它们并没有什么重大变化。
您如何防止攻击得逞呢?
首先,确保采取了强有力的反钓鱼控制措施。并非所有的 MFA 控制都具有相同的功效,因此请确保您采用了防网络钓鱼的 MFA,并使用基于身份和上下文的策略实施选择性执行。在任何地方,对所有用户、所有应用程序、甚至传统和非 Web 系统实施强身份验证。最后,确保每个人都成为“网络安全团队”的一份子,做法是建立一种多疑但不责难的文化,以及早并经常报告可疑活动。
阻止网络钓鱼方面能做的并不多,但可以做很多事情来预防损害。采用 Zero Trust 策略,您可以帮助确保,下一次网络钓鱼攻击发送电子邮件到您的地址时,不会造成任何损失。进一步了解多层的 Cloudflare Zero Trust 平台 。
Cloudflare 就影响当今技术决策者的最新�趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《Zero Trust 架构分步实施路线图》报告,了解如何逐步实现 Zero Trust 安全,并保护企业免受网络钓鱼攻击的影响。
作者
Oren Falkowitz — @orenfalkowitz
Cloudflare 前安全官
关键要点
阅读本文后,您将能够了解:
一旦您的个人信息被攻击者获得,就会无限期地存在于攻击者的数据库中
钓鱼攻击是一条简陋流水线的一部分
阻止网络钓鱼方面能做的并不多,但可以做很多事情来预防损害。