黑客正在使用一種我稱之為“深海網(wǎng)絡(luò)釣魚”的方法提升他們的攻擊水平，即結(jié)合使用下面我將提到的一些技術(shù)來使自己變得更具攻擊性。為了跟上步伐，網(wǎng)絡(luò)安全創(chuàng)新者一直在努力開發(fā)工具、技術(shù)和資源來提高防御能力。但是，組織如何才能應(yīng)對尚未啟動甚至尚未構(gòu)想出來的不斷演變的威脅呢？

　　例如，今年2月，10,000名Microsoft用戶成為網(wǎng)絡(luò)釣魚活動的目標，該活動發(fā)送聲稱來自FedEx、DHL Express和其他快遞公司的電子郵件，其中包含指向托管在合法域上的網(wǎng)絡(luò)釣魚頁面的鏈接，目的是獲取收件人的工作電子郵件憑據(jù)。使用合法域名可以使電子郵件逃避安全過濾，而人們因疫情而對快遞服務(wù)以及相關(guān)信息的依賴提高了釣魚活動的成功率。

　　今年5月，攻擊者發(fā)起了大規(guī)模、復雜的以支付為主題的網(wǎng)絡(luò)釣魚活動。網(wǎng)絡(luò)釣魚電子郵件敦促用戶打開附加的“付款建議”--實際上，這根本不是附件，而是一個包含指向惡意域鏈接的圖像。打開后，基于Java的STRRAT惡意軟件被下載到端點上，并通過命令和控制（C2）服務(wù)器連接運行后門功能，例如從瀏覽器收集密碼、運行遠程命令和PowerShell、記錄擊鍵和其他犯罪活動。

　　網(wǎng)絡(luò)釣魚也不再是一直在地下醞釀的小規(guī)模網(wǎng)絡(luò)騷擾。如今，近70%的網(wǎng)絡(luò)攻擊（如上所述）是由有組織的犯罪或與民族國家有關(guān)聯(lián)的行為者精心策劃的。隨著許多recovery tab達到數(shù)百萬，組織需要一個解決方案來保護他們免受尚未設(shè)計的攻擊，即可能造成最大損害的0day攻擊。

　　但是在我們解決防御問題之前，讓我們首先看看我們要防御的對象。下面提到的網(wǎng)絡(luò)釣魚策略的類型按復雜程度的升序排列出。

　　網(wǎng)絡(luò)釣魚的類型

　　并非所有網(wǎng)絡(luò)釣魚攻擊所造成的損害都是相同的，但所有網(wǎng)絡(luò)釣魚攻擊都將在設(shè)計上對組織造成損害，可能涉及巨額財務(wù)支出、補救成本、收入損失和聲譽受損。攻擊范圍從典型的網(wǎng)絡(luò)釣魚電子郵件到復雜的魚叉式網(wǎng)絡(luò)釣魚計劃和“捕鯨”。

　　?釣魚郵件

　　普通的網(wǎng)絡(luò)釣魚活動中，網(wǎng)絡(luò)釣魚者向一大群收件人發(fā)送電子郵件，他們有充分理由期望收件人中的一小部分人會點擊。網(wǎng)絡(luò)釣魚電子郵件通常設(shè)計為看起來像是來自受信任公司的官方消息。然而，當收件人點擊電子郵件中嵌入的看似無害的鏈接時，惡意軟件可能會直接下載到他們的設(shè)備上，或者打開惡意網(wǎng)頁，下載惡意軟件或要求輸入憑據(jù)、帳號或其他有價值的數(shù)據(jù)等個人信息。

　　?魚叉式網(wǎng)絡(luò)釣魚電子郵件

　　與廣泛撒網(wǎng)的網(wǎng)絡(luò)釣魚不同，魚叉式網(wǎng)絡(luò)釣魚電子郵件具有高度針對性，針對特定的個人或組織。網(wǎng)絡(luò)犯罪分子使用社交媒體和其他公共信息為特定個人創(chuàng)建個性化電子郵件，并偽裝成受信任的發(fā)件人。

　　例如，在4月，5億個LinkedIn帳戶的個人信息從社交媒體平臺上被抓取和泄露，并作為魚叉式網(wǎng)絡(luò)釣魚攻擊的誘餌出售。由于魚叉式網(wǎng)絡(luò)釣魚電子郵件是個性化的，因此收件人更有可能點擊其中的惡意鏈接，甚至在登錄頁面上輸入憑據(jù)。

　　?捕鯨

　　捕鯨是魚叉式網(wǎng)絡(luò)釣魚的一種形式，其目標是首席執(zhí)行官和首席財務(wù)官等知名人士，以獲取高度敏感的個人或業(yè)務(wù)數(shù)據(jù)。“發(fā)件人”可能偽裝成業(yè)務(wù)伙伴、客戶或有關(guān)鍵業(yè)務(wù)問題需要目標個人解決的人。捕鯨電子郵件的主要目標是竊取敏感的商業(yè)信息。

　　魚叉式網(wǎng)絡(luò)釣魚和捕鯨與一般網(wǎng)絡(luò)釣魚攻擊的不同之處在于使用個人和專業(yè)數(shù)據(jù)，在接收者眼中建立更高的合法性。它們是每個人都需要防范的一種成功率很高的網(wǎng)絡(luò)釣魚形式。

　　網(wǎng)絡(luò)犯罪分子的成功主要還是歸因于個人

　　更復雜的網(wǎng)絡(luò)釣魚攻擊需要更多的開發(fā)時間和精力，投資會以更大的預期得到回報，尤其是在惡意軟件分層時。這些方法對犯罪分子仍然有效：事實上，根據(jù)對全球MSP的調(diào)查，67%的受訪者表示網(wǎng)絡(luò)釣魚電子郵件是勒索軟件攻擊最常見的傳遞渠道。

　　許多公司要求員工定期接受反網(wǎng)絡(luò)釣魚培訓，但是員工培訓并不足以保護組織，因為人是網(wǎng)絡(luò)安全鏈中最薄弱的環(huán)節(jié)。人是容易上當受騙的、習慣驅(qū)動的生物，我們很容易就會點擊危害組織整個網(wǎng)絡(luò)的鏈接。

　　Verizon的2021年數(shù)據(jù)泄露調(diào)查報告（DBIR）的最高發(fā)現(xiàn)指出，85%的泄露涉及人為因素，36%涉及網(wǎng)絡(luò)釣魚（比上一年增加11%），10%的泄露涉及勒索軟件--是前一年的兩倍年。

　　勒索軟件-網(wǎng)絡(luò)釣魚鏈接

　　各種規(guī)模的組織都應(yīng)該考慮勒索軟件攻擊（通常始于網(wǎng)絡(luò)釣魚）會對他們的績效、財務(wù)穩(wěn)定性和未來產(chǎn)生什么影響。更重要的是，他們應(yīng)該評估他們的網(wǎng)絡(luò)安全策略和安全架構(gòu)。

　　據(jù)SonicWall稱，自2019年以來，勒索軟件攻擊增加了62%。

　　這種沖擊包括小型企業(yè)。估計有一半的網(wǎng)絡(luò)攻擊都針對這一群體，他們可能沒有與大型組織相同的網(wǎng)絡(luò)釣魚意識培訓。由此產(chǎn)生的收入損失和補救成本、停機時間、聲譽損害和法律費用對小型企業(yè)來說都是巨大的打擊。

　　勒索軟件在不停發(fā)展……

　　新的發(fā)展使勒索軟件更具威脅性。根據(jù)FBI的說法，Ryuk是目前勒索金額最高的軟件?，F(xiàn)在，它還添加了類似蠕蟲的功能，這使得它不再依賴于人為點擊來傳播。這是一個重大的令人擔憂的情況。

　　考慮一下：初始感染僅在幾秒鐘內(nèi)發(fā)生。當用戶單擊網(wǎng)絡(luò)釣魚電子郵件中的鏈接時啟動的勒索軟件會迅速開始在整個網(wǎng)絡(luò)中橫向傳播，對PC和服務(wù)器進行加密，從而最大限度地造成損害-并為瞄準您組織的網(wǎng)絡(luò)犯罪分子帶來最大利潤。

　　然后勒索軟件會讀取受感染的文件，搜索用戶憑據(jù)，使其能夠通過網(wǎng)絡(luò)計算機或映射驅(qū)動器之間的遠程桌面連接更快地傳播。在云上備份數(shù)據(jù)雖然是一種很好的做法，但未必就完全足夠。

　　復雜的勒索軟件可以將共享網(wǎng)絡(luò)驅(qū)動器和云備份服務(wù)上的文件作為目標，從而使您的整個組織陷入癱瘓，讓您受到網(wǎng)絡(luò)犯罪分子的肆意擺布。

　　勒索軟件的影響也可能遠遠超出業(yè)務(wù)本身。例如，5月份對Colonial Pipeline（一家擁有900名員工的公司）的勒索軟件攻擊導致5,500英里長的管道關(guān)閉，而這些管道輸送著美國東海岸45%的燃料供應(yīng)。迫于為依賴管道提供燃料的數(shù)千萬人和組織恢復服務(wù)的壓力（包括醫(yī)療服務(wù)、執(zhí)法機構(gòu)、消防部門、機場和廣大公眾），該公司不得不支付440萬美元的贖金。

　　人的行為是很難改變的

　　一封電子郵件只需要在一個易受攻擊的時刻命中，其誘餌就會引誘收到它的員工，讓該人點擊網(wǎng)絡(luò)釣魚電子郵件中看似合法的鏈接來下載受感染的文件。面對當今的0day威脅和高級惡意軟件，需要比基于簽名的掃描技術(shù)和查找已知惡意域更強大的防御。

　　組織不能依賴其用戶作為抵御網(wǎng)絡(luò)釣魚的最后一道防線。畢竟，用戶漏洞是網(wǎng)絡(luò)釣魚如此有效和被廣泛使用的原因。也不要責怪您的員工：網(wǎng)絡(luò)犯罪分子是人類行為研究和利用方面最為最老練的專家。

　　防御選項：遠程瀏覽器隔離

　　出于種種原因，必須考慮一種非常不同的方法，即假定漏洞存在時防止暴露于惡意軟件和勒索軟件的方法。隨著網(wǎng)絡(luò)釣魚攻擊變得越來越多層次和多方面，很難說下一個網(wǎng)絡(luò)犯罪的新方法將是什么，因此面向未來的觀念變得很重要。

　　遠程瀏覽器隔離（RBI）為組織提供了防御，即使是最復雜的基于Web的攻擊。當用戶單擊電子郵件中的鏈接或打開新的瀏覽器選項卡時，RBI會在位于云中遠程隔離容器中的虛擬瀏覽器中執(zhí)行Web內(nèi)容。只有安全的渲染數(shù)據(jù)才會發(fā)送到用戶的常規(guī)端點瀏覽器，從而提供完全交互式的常規(guī)瀏覽體驗。沒有Web內(nèi)容到達用戶設(shè)備，并且可以以只讀模式打開具有潛在風險的站點以防止憑據(jù)被盜，因此用戶可以100%免受惡意網(wǎng)站和網(wǎng)絡(luò)釣魚電子郵件中URL的惡意軟件攻擊。

　　網(wǎng)絡(luò)釣魚不僅存在，而且每天都在變得越來越先進和危險。接受人類易犯錯誤和容易被操縱的這一點至關(guān)重要，因此組織不應(yīng)當將重點放在培訓上，而是要選擇有效保護組織免受網(wǎng)絡(luò)犯罪分子影響的解決方案。使用RBI來隔離用戶并使他們與惡意電子郵件鏈接和網(wǎng)絡(luò)釣魚站點的危險“隔絕”，是一種很好的方法，組織可以采用這種方法來使自己遠離網(wǎng)絡(luò)釣魚。