黑客正在使用一種我稱之為“深海網(wǎng)絡(luò)釣魚”的方法提升他們的攻擊水平，即結(jié)合使用下面我將提到的一些技術(shù)來使自己變得更具攻擊性。為了跟上步伐，網(wǎng)絡(luò)安全創(chuàng)新者一直在努力開發(fā)工具、技術(shù)和資源來提高防御能力。但是，組織如何才能應(yīng)對(duì)尚未啟動(dòng)甚至尚未構(gòu)想出來的不斷演變的威脅呢？

　　例如，今年2月，10,000名Microsoft用戶成為網(wǎng)絡(luò)釣魚活動(dòng)的目標(biāo)，該活動(dòng)發(fā)送聲稱來自FedEx、DHL Express和其他快遞公司的電子郵件，其中包含指向托管在合法域上的網(wǎng)絡(luò)釣魚頁面的鏈接，目的是獲取收件人的工作電子郵件憑據(jù)。使用合法域名可以使電子郵件逃避安全過濾，而人們因疫情而對(duì)快遞服務(wù)以及相關(guān)信息的依賴提高了釣魚活動(dòng)的成功率。

　　今年5月，攻擊者發(fā)起了大規(guī)模、復(fù)雜的以支付為主題的網(wǎng)絡(luò)釣魚活動(dòng)。網(wǎng)絡(luò)釣魚電子郵件敦促用戶打開附加的“付款建議”--實(shí)際上，這根本不是附件，而是一個(gè)包含指向惡意域鏈接的圖像。打開后，基于Java的STRRAT惡意軟件被下載到端點(diǎn)上，并通過命令和控制（C2）服務(wù)器連接運(yùn)行后門功能，例如從瀏覽器收集密碼、運(yùn)行遠(yuǎn)程命令和PowerShell、記錄擊鍵和其他犯罪活動(dòng)。

　　網(wǎng)絡(luò)釣魚也不再是一直在地下醞釀的小規(guī)模網(wǎng)絡(luò)騷擾。如今，近70%的網(wǎng)絡(luò)攻擊（如上所述）是由有組織的犯罪或與民族國(guó)家有關(guān)聯(lián)的行為者精心策劃的。隨著許多recovery tab達(dá)到數(shù)百萬，組織需要一個(gè)解決方案來保護(hù)他們免受尚未設(shè)計(jì)的攻擊，即可能造成最大損害的0day攻擊。

　　但是在我們解決防御問題之前，讓我們首先看看我們要防御的對(duì)象。下面提到的網(wǎng)絡(luò)釣魚策略的類型按復(fù)雜程度的升序排列出。

　　網(wǎng)絡(luò)釣魚的類型

　　并非所有網(wǎng)絡(luò)釣魚攻擊所造成的損害都是相同的，但所有網(wǎng)絡(luò)釣魚攻擊都將在設(shè)計(jì)上對(duì)組織造成損害，可能涉及巨額財(cái)務(wù)支出、補(bǔ)救成本、收入損失和聲譽(yù)受損。攻擊范圍從典型的網(wǎng)絡(luò)釣魚電子郵件到復(fù)雜的魚叉式網(wǎng)絡(luò)釣魚計(jì)劃和“捕鯨”。

　　?釣魚郵件

　　普通的網(wǎng)絡(luò)釣魚活動(dòng)中，網(wǎng)絡(luò)釣魚者向一大群收件人發(fā)送電子郵件，他們有充分理由期望收件人中的一小部分人會(huì)點(diǎn)擊。網(wǎng)絡(luò)釣魚電子郵件通常設(shè)計(jì)為看起來像是來自受信任公司的官方消息。然而，當(dāng)收件人點(diǎn)擊電子郵件中嵌入的看似無害的鏈接時(shí)，惡意軟件可能會(huì)直接下載到他們的設(shè)備上，或者打開惡意網(wǎng)頁，下載惡意軟件或要求輸入憑據(jù)、帳號(hào)或其他有價(jià)值的數(shù)據(jù)等個(gè)人信息。

　　?魚叉式網(wǎng)絡(luò)釣魚電子郵件

　　與廣泛撒網(wǎng)的網(wǎng)絡(luò)釣魚不同，魚叉式網(wǎng)絡(luò)釣魚電子郵件具有高度針對(duì)性，針對(duì)特定的個(gè)人或組織。網(wǎng)絡(luò)犯罪分子使用社交媒體和其他公共信息為特定個(gè)人創(chuàng)建個(gè)性化電子郵件，并偽裝成受信任的發(fā)件人。

　　例如，在4月，5億個(gè)LinkedIn帳戶的個(gè)人信息從社交媒體平臺(tái)上被抓取和泄露，并作為魚叉式網(wǎng)絡(luò)釣魚攻擊的誘餌出售。由于魚叉式網(wǎng)絡(luò)釣魚電子郵件是個(gè)性化的，因此收件人更有可能點(diǎn)擊其中的惡意鏈接，甚至在登錄頁面上輸入憑據(jù)。

　　?捕鯨

　　捕鯨是魚叉式網(wǎng)絡(luò)釣魚的一種形式，其目標(biāo)是首席執(zhí)行官和首席財(cái)務(wù)官等知名人士，以獲取高度敏感的個(gè)人或業(yè)務(wù)數(shù)據(jù)?！鞍l(fā)件人”可能偽裝成業(yè)務(wù)伙伴、客戶或有關(guān)鍵業(yè)務(wù)問題需要目標(biāo)個(gè)人解決的人。捕鯨電子郵件的主要目標(biāo)是竊取敏感的商業(yè)信息。

　　魚叉式網(wǎng)絡(luò)釣魚和捕鯨與一般網(wǎng)絡(luò)釣魚攻擊的不同之處在于使用個(gè)人和專業(yè)數(shù)據(jù)，在接收者眼中建立更高的合法性。它們是每個(gè)人都需要防范的一種成功率很高的網(wǎng)絡(luò)釣魚形式。

　　網(wǎng)絡(luò)犯罪分子的成功主要還是歸因于個(gè)人

　　更復(fù)雜的網(wǎng)絡(luò)釣魚攻擊需要更多的開發(fā)時(shí)間和精力，投資會(huì)以更大的預(yù)期得到回報(bào)，尤其是在惡意軟件分層時(shí)。這些方法對(duì)犯罪分子仍然有效：事實(shí)上，根據(jù)對(duì)全球MSP的調(diào)查，67%的受訪者表示網(wǎng)絡(luò)釣魚電子郵件是勒索軟件攻擊最常見的傳遞渠道。

　　許多公司要求員工定期接受反網(wǎng)絡(luò)釣魚培訓(xùn)，但是員工培訓(xùn)并不足以保護(hù)組織，因?yàn)槿耸蔷W(wǎng)絡(luò)安全鏈中最薄弱的環(huán)節(jié)。人是容易上當(dāng)受騙的、習(xí)慣驅(qū)動(dòng)的生物，我們很容易就會(huì)點(diǎn)擊危害組織整個(gè)網(wǎng)絡(luò)的鏈接。

　　Verizon的2021年數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR）的最高發(fā)現(xiàn)指出，85%的泄露涉及人為因素，36%涉及網(wǎng)絡(luò)釣魚（比上一年增加11%），10%的泄露涉及勒索軟件--是前一年的兩倍年。

　　勒索軟件-網(wǎng)絡(luò)釣魚鏈接

　　各種規(guī)模的組織都應(yīng)該考慮勒索軟件攻擊（通常始于網(wǎng)絡(luò)釣魚）會(huì)對(duì)他們的績(jī)效、財(cái)務(wù)穩(wěn)定性和未來產(chǎn)生什么影響。更重要的是，他們應(yīng)該評(píng)估他們的網(wǎng)絡(luò)安全策略和安全架構(gòu)。

　　據(jù)SonicWall稱，自2019年以來，勒索軟件攻擊增加了62%。

　　這種沖擊包括小型企業(yè)。估計(jì)有一半的網(wǎng)絡(luò)攻擊都針對(duì)這一群體，他們可能沒有與大型組織相同的網(wǎng)絡(luò)釣魚意識(shí)培訓(xùn)。由此產(chǎn)生的收入損失和補(bǔ)救成本、停機(jī)時(shí)間、聲譽(yù)損害和法律費(fèi)用對(duì)小型企業(yè)來說都是巨大的打擊。

　　勒索軟件在不停發(fā)展……

　　新的發(fā)展使勒索軟件更具威脅性。根據(jù)FBI的說法，Ryuk是目前勒索金額最高的軟件?，F(xiàn)在，它還添加了類似蠕蟲的功能，這使得它不再依賴于人為點(diǎn)擊來傳播。這是一個(gè)重大的令人擔(dān)憂的情況。

　　考慮一下：初始感染僅在幾秒鐘內(nèi)發(fā)生。當(dāng)用戶單擊網(wǎng)絡(luò)釣魚電子郵件中的鏈接時(shí)啟動(dòng)的勒索軟件會(huì)迅速開始在整個(gè)網(wǎng)絡(luò)中橫向傳播，對(duì)PC和服務(wù)器進(jìn)行加密，從而最大限度地造成損害-并為瞄準(zhǔn)您組織的網(wǎng)絡(luò)犯罪分子帶來最大利潤(rùn)。

　　然后勒索軟件會(huì)讀取受感染的文件，搜索用戶憑據(jù)，使其能夠通過網(wǎng)絡(luò)計(jì)算機(jī)或映射驅(qū)動(dòng)器之間的遠(yuǎn)程桌面連接更快地傳播。在云上備份數(shù)據(jù)雖然是一種很好的做法，但未必就完全足夠。

　　復(fù)雜的勒索軟件可以將共享網(wǎng)絡(luò)驅(qū)動(dòng)器和云備份服務(wù)上的文件作為目標(biāo)，從而使您的整個(gè)組織陷入癱瘓，讓您受到網(wǎng)絡(luò)犯罪分子的肆意擺布。

　　勒索軟件的影響也可能遠(yuǎn)遠(yuǎn)超出業(yè)務(wù)本身。例如，5月份對(duì)Colonial Pipeline（一家擁有900名員工的公司）的勒索軟件攻擊導(dǎo)致5,500英里長(zhǎng)的管道關(guān)閉，而這些管道輸送著美國(guó)東海岸45%的燃料供應(yīng)。迫于為依賴管道提供燃料的數(shù)千萬人和組織恢復(fù)服務(wù)的壓力（包括醫(yī)療服務(wù)、執(zhí)法機(jī)構(gòu)、消防部門、機(jī)場(chǎng)和廣大公眾），該公司不得不支付440萬美元的贖金。

　　人的行為是很難改變的

　　一封電子郵件只需要在一個(gè)易受攻擊的時(shí)刻命中，其誘餌就會(huì)引誘收到它的員工，讓該人點(diǎn)擊網(wǎng)絡(luò)釣魚電子郵件中看似合法的鏈接來下載受感染的文件。面對(duì)當(dāng)今的0day威脅和高級(jí)惡意軟件，需要比基于簽名的掃描技術(shù)和查找已知惡意域更強(qiáng)大的防御。

　　組織不能依賴其用戶作為抵御網(wǎng)絡(luò)釣魚的最后一道防線。畢竟，用戶漏洞是網(wǎng)絡(luò)釣魚如此有效和被廣泛使用的原因。也不要責(zé)怪您的員工：網(wǎng)絡(luò)犯罪分子是人類行為研究和利用方面最為最老練的專家。

　　防御選項(xiàng)：遠(yuǎn)程瀏覽器隔離

　　出于種種原因，必須考慮一種非常不同的方法，即假定漏洞存在時(shí)防止暴露于惡意軟件和勒索軟件的方法。隨著網(wǎng)絡(luò)釣魚攻擊變得越來越多層次和多方面，很難說下一個(gè)網(wǎng)絡(luò)犯罪的新方法將是什么，因此面向未來的觀念變得很重要。

　　遠(yuǎn)程瀏覽器隔離（RBI）為組織提供了防御，即使是最復(fù)雜的基于Web的攻擊。當(dāng)用戶單擊電子郵件中的鏈接或打開新的瀏覽器選項(xiàng)卡時(shí)，RBI會(huì)在位于云中遠(yuǎn)程隔離容器中的虛擬瀏覽器中執(zhí)行Web內(nèi)容。只有安全的渲染數(shù)據(jù)才會(huì)發(fā)送到用戶的常規(guī)端點(diǎn)瀏覽器，從而提供完全交互式的常規(guī)瀏覽體驗(yàn)。沒有Web內(nèi)容到達(dá)用戶設(shè)備，并且可以以只讀模式打開具有潛在風(fēng)險(xiǎn)的站點(diǎn)以防止憑據(jù)被盜，因此用戶可以100%免受惡意網(wǎng)站和網(wǎng)絡(luò)釣魚電子郵件中URL的惡意軟件攻擊。

　　網(wǎng)絡(luò)釣魚不僅存在，而且每天都在變得越來越先進(jìn)和危險(xiǎn)。接受人類易犯錯(cuò)誤和容易被操縱的這一點(diǎn)至關(guān)重要，因此組織不應(yīng)當(dāng)將重點(diǎn)放在培訓(xùn)上，而是要選擇有效保護(hù)組織免受網(wǎng)絡(luò)犯罪分子影響的解決方案。使用RBI來隔離用戶并使他們與惡意電子郵件鏈接和網(wǎng)絡(luò)釣魚站點(diǎn)的危險(xiǎn)“隔絕”，是一種很好的方法，組織可以采用這種方法來使自己遠(yuǎn)離網(wǎng)絡(luò)釣魚。