停止网络钓鱼!

在最近的一篇博客中我提醒大家，不要让关于勒索软件的频繁(和令人担忧的)头条新闻把太多注意力从BEC(商务邮件妥协)和其他简单的网络钓鱼攻击等不那么引人注目的妥协形式上转移开。在这种情况下，“简单”指的是网络钓鱼不仅仅是一个复杂得多的操作的初始阶段。

网络钓鱼链

的网络杀伤链(CKC)模型是了解攻击如何展开以及在每个阶段有哪些防御选项的有用框架。网络钓鱼当然在CKC和类似的框架中得到了应有的回报，例如斜接的ATT&CK．但如果我们放大网络钓鱼，我们可以看到它也有自己的链。就像CKC或ATT&CK一样，有各种各样的技术和方法可以帮助在该链的不同阶段抵御网络钓鱼。让我们看看这条链;在这个过程中，我们会看到BEC与其他种类的钓鱼鱼有哪些不同的特征。

• 准备:钓鱼者建立基础设施，以支援该活动。有很多讨论网络钓鱼工具因此，总而言之，这个阶段涉及到邮件服务器、域、相似的登录页面模板、附件和C2(命令和控制)服务器等组件。
• 传输:使用上一阶段准备的基础架构发送钓鱼邮件，并在目标邮件服务器上接收。
• 交付:邮件被处理到目的地。这可能是受害者的收件箱、隔离文件夹或垃圾邮件文件夹。
• 交互:如果钓鱼邮件已经到达收件箱，而受害者没有删除它，这就是事情开始“爆炸”的地方。受害者可以点击链接或附件，发起电汇(在BEC的情况下)，或回复钓鱼者。

一个更大的攻击可能会有更多的阶段，但一旦我们到达这里，我们就越过了网络钓鱼本身的领域，进入了攻击的后期阶段。但是，让我们深入研究防御者可用的工具和技术，以解决网络钓鱼链中的每个阶段。

准备

乍一看，似乎我们必须有特异功能才能在钓鱼者点击发送邮件之前阻止他们。但事实并非如此。在打击行动真正开始之前，有几种方法可以领先于钓鱼者。

• 网络钓鱼意识培训．在承认用户是您的风险分析的一部分的同时，重要的是要记住，他们也可以是您早期预警系统的重要组成部分。投资于执行良好的培训，并定期重复。使用激励机制来逐渐灌输成为优秀的网络钓鱼探测器的愿望(成功检测网络钓鱼获得5美元的咖啡卡对于避免攻击来说是非常小的代价)。“善意的社会工程”可以帮助传播好习惯;公开祝贺报告钓鱼(甚至假阳性)的用户。同样重要的是，不要因为人们爱上钓鱼者而感到羞耻。这可能发生在任何人身上。通过质量培训，您可以在任何邮件发送之前执行自己的准备阶段(钓鱼测试邮件除外)。
• 管理层培训鼓励你的管理层欢迎对电汇或礼品卡购买等请求进行带外验证。带外(out -band)意味着不使用发出请求的电子邮件线程，而是让收件人给请求电子邮件上的高管打电话或发送DM(甚至，在办公环境中，走到他们的办公室并要求验证)。在这个话题上，有必要指出的是，如果最高管理层培养了一种恐吓的文化，下属可能不太可能质疑请求，这可能会增加BEC成功的风险。
• 恶搞Domain Monitoring:在网络钓鱼者的准备阶段，他们可能会注册一些专门设计的域名，使目标误以为他们正在与你的公司或与你有密切业务关系的机构进行互动。乐动体育官网下载通过监控模仿你自己的域名和那些属于你的“核心圈子”的供应商、合作伙伴等的新注册域名，你就有机会在这些域名被用来对付你之前建立防御。乐动首页许多BEC钓鱼者在发件人的电子邮件地址或电子邮件正文的链接中使用欺骗域。DNS RPZ、web代理和SMTP代理等工具都可以对可疑或恶意域名的列表进行交叉检查，从而有可能在网络钓鱼的后续阶段阻止网络钓鱼。

传输

你无法阻止钓鱼者点击“发送”，但你有一些工具可以在收到邮件时中断钓鱼链——甚至在邮件有机会进入隔离或收件箱之前。

• DNS RPZ（响应政策区):如果您将DNS RPZ与欺骗域监视和/或摄入域的风险评分结合使用，您可以阻止您的SMTP服务器完成与钓鱼者的服务器的连接。RPZ阻止受保护的主机(在本例中是您的SMTP服务器)解析Internet上的主机(即钓鱼者的服务器)。
• 声誉过滤:这种过滤的效果与RPZ非常相似，但机理不同。一些SMTP代理、防火墙或直接安装在SMTP服务器上的包可以对发送入站邮件的服务器的域和/或IP地址执行信誉查找。这些工具甚至可以在收件箱成为问题的一部分之前阻止SMTP交换本身。

交付

如果网络钓鱼在传播阶段没有被阻止(很多都没有)，有很多技术可以阻止它进入潜在受害者的收件箱。

• 交付规则配置和调优:与HTTP/S等其他协议相比，SMTP的优点之一是根据服务器(或电子邮件代理)的规则提供可用的响应谱。如上所述的信誉过滤也可以作用于交付阶段，对于不同的处置(如丢弃、隔离或交付)具有可配置的评分阈值。这也是扫描电子邮件正文、链接和附件可以检测到可疑特征的阶段。这种扫描可能使用多种方法，从简单的签名匹配到更复杂的分析、沙盒/引爆等。由于这些技术的强大功能，值得花时间调优规则引擎。流行的邮件服务器(如Microsoft Exchange)和专门构建的电子邮件安全网关供应商都有大量关于优化的文档。这可能很耗时，而且这不是一个设置后就忘记的操作，因为网络钓鱼技术在不断发展。然而，经过良好调优的SMTP规则在防止恶意内容的传递方面确实可以取得成功。

交互

如果网络钓鱼者已经到达这里，那么它要么在收件箱中，要么在隔离文件夹中。检疫确实提供了另一道防线;许多隔离规则会禁用链接并阻止附件，直到用户主动将电子邮件释放到收件箱。当网络钓鱼是在收件箱，有更多的方法可以阻止攻击。用户教育当然，成为用户行动在此阶段，如果用户识别到邮件的可疑性质并将其删除，将其转发到指定的安全收件箱，或直接报告，而不单击任何内容。但还有其他方法可以保证相互作用阶段的安全。

• 保持最新的社会工程技术．钓鱼者正在使用新颖的方法，其中许多都不涉及初始邮件中的链接或附件。著名的BazaCall运动，例如，指示受害者拨打一个电话号码取消一个不想要的(但虚构的)订阅。
• 带外验证:制定用户教育或公司政策的地方。乐动体育官网下载潜在的受害者联系必要的人以确定请求是否有效。顺便说一下，这种核查也应该延伸到第三方，如供应链合作伙伴、债权人、政府机构等。乐动首页
• EDR / XDR(端点/可扩展检测和响应):这些技术可以防止恶意附件中的可执行代码被触发。还可以对它们进行配置，以防止用户操作，例如在文档中启用宏。

家里打电话

如果用户点击了启动到对手基础设施连接的链接或附件，那么在钓鱼链中还有最后一道防线:停止该连接。这些连接通常通过HTTP/S，但根据具体的攻击，也可能涉及其他技术，如DNS隧道。

• Web代理和DNS RPZ:如果网络钓鱼包含一个链接，网页代理或上述DNS RPZ可阻止受害者的计算机与对手的基础设施建立连接。EDR/XDR技术也可以在这个阶段发挥作用，如果它们包含针对风险或声誉评分数据库检查域或IP地址的功能。

结论:这是一场艰难的战斗，但值得付出努力

显然，如果有对付网络钓鱼的灵丹妙药，信息安全领域的情况就会大不相同。但是有很多不同的工具可以阻止网络钓鱼。虽然安全问题不能通过技术来“解决”是正确的，但同样正确的是，大量的技能和创造力已经投入到可以在网络钓鱼链的所有阶段提供帮助的技术中。不要失去希望!