以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)

admin 2022年6月9日10:10:20企业安全评论9 views2536字阅读8分27秒阅读模式

引子

网络钓鱼有哪几种

防钓鱼与反诈骗

    反诈之防骗意识之“淹没式宣传”

    反诈之安装“国家反诈APP”

    反诈之“国家反诈APP”之“来电预警守护”

    反诈之异常网站访问告警

来自“国家反诈骗”的启示——企业如何防御网络钓鱼

    意识宣导

        如何进行网络钓鱼演习?

        进行安全意识考试(不)

    防网络钓鱼策略

    发生钓鱼攻击事件后的应急响应

最后


引子


昨天处理了一个简单的钓鱼事件,同时结合最近准备攻防对抗的一些思考,简单聊一下“如何应对网络钓鱼”这个难题。


网络钓鱼有哪几种


网络诈骗钓鱼类型

  • 预付金诈骗(贪)

  • 帐户停用诈骗(怕)

  • 伪造网站诈骗(粗心)


网络攻击钓鱼方式

  • 鱼叉式网络钓鱼

  • 克隆网络钓鱼

  • 捕鲸诈骗

参考自https://www.cloudflare.com/zh-cn/learning/access-management/phishing-attack/


防钓鱼与反诈骗


2021年,国家反诈中心去年共紧急止付涉案资金3200余亿元人民币,拦截诈骗电话15.5亿次、成功避免2800余万名民众受骗。公安机关共破获电信网络诈骗案件44.1万余起,抓获违法犯罪嫌疑人69万余名,打掉涉“两卡”违法犯罪团伙3.9万个,追缴返还人民群众被骗资金120亿元。


围绕网络钓鱼的攻防对抗,本质上是人性弱点的对抗。在本质上,当前声势浩大的“反电信诈骗”和“防网络钓鱼”是一样的,国家反诈就是最佳实践,所以先来看一下国家是如何做“反诈骗”的。


反诈之防骗意识之“淹没式宣传”


对于如何提升广大群众的防骗意识,国家采用的是地毯式、淹没式的铺天盖地的宣导,无论是各种奇形怪状的口号、传单,还是“本小区本月发生xx起诈骗事件,被骗xx元”,基本上就是按住你的脑袋,从眼睛、耳朵里灌输防骗意识。


这样的做法笔者是非常认同的,虽然没有一个具体的数据来说明这样做的效果,但是从笔者自身的经验来说,在曾经被骗过一次之前,自负满满的认为自己不会被网络诈骗,然后打脸打的啪啪响(金额不大),曾经很长一段时间引以为耻。相信在看本文的读者应该也认为自己不会被骗,大忌。


反诈之安装“国家反诈APP”


相信现在没有人的手机上没有这个APP了吧,挨家挨户的地毯式安装,各种网络直播宣传等等,相当于每个人的手机上都装了一个“EDR”。


反诈之“国家反诈APP”之“来电预警守护”


为什么要在每个手机上装上反诈APP,核心作用就是和大数据威胁情报关联,当诈骗电话进线或接收短信的时候可以实时识别和预警。


反诈之异常网站访问告警


应该很多人都收到过当地派出所打电话过来说“你xx时间是不是访问了xx网站,这个网站涉嫌电信诈骗……”


来自“国家反诈骗”的启示——企业如何防御网络钓鱼


从上一小节可以看到,为了反诈骗,国家的主要手段是“意识宣导”、“覆盖EDR”、“威胁情报告警(实时)”和“网站访问日志分析(延时)”等等,这几个做法和我们日常建设防网络钓鱼基本大同小异,但是如何做好这几部分,是需要和“国家反诈中心”认真学习的。


意识宣导


总结下反诈骗的宣导,“形式多样”、“案例真实”、“题材丰富”、“高频次”、“一对一”等等,之前看到的一个演讲中也提到了同样的点,核心就在于“重复”。


以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)


在真实的企业安全环境中,在没有切实感受到钓鱼危害之前,是很难做到这点的,更多的是发一发全员邮件告诉大家小心网络钓鱼,这种做法的作用基本为零,毕竟每天来自各个团队的宣传邮件早就把邮箱填满了。


不过在企业防网络钓鱼的宣导上,比反诈骗有一个最大的优势,因为性质的不同,可以进行“网络钓鱼演习”。


如何进行网络钓鱼演习?


  1. 演习必须要真实
    何为真实,就是不论是邮箱、域名、网站还是文案,都要和员工息息相关,而不是在邮件里写“我来钓鱼了”,emmm
    参考:《你好,捕鱼人》https://vipread.com/library/topic/3233

  2. 全员参与(特别是TL)
    在演练结束后的复盘中,可以做到层层团队的内部宣导和复盘,我们往往对发生在身边的事件更能有体感


  3. 重复重复重复
    投入资源,阶段性重复、多样性演练、复盘,直到受害者成为零


进行安全意识考试(不)


其实笔者不太喜欢考试的这种形式,但是不得不说,考试是可以让员工在百忙之中快速学习某些知识的有效手段,同时还可以比较容易的量化工作成果,这或许就是为什么现在有这么多考试的原因吧。


不过如果做好激励,也许能成为一个好的宣导方式。


防网络钓鱼策略


像“外部邮箱变色”、“URL跳转弹窗”这些方式基本上每个企业邮箱/企业IM都具备了,然后再深一点,会做“SPF IP地址验证”、“DKIM 数字签名验证”、“DMARC From地址验证”等协议验证,这些手段可以有效的防止垃圾邮件和外部恶意邮件。


但是因为业务的复杂性,往来邮件的多样,这些协议策略很难完整的上线,同时也会因为配置策略问题,存在各种绕过的可能性。


所以目前的趋势是“钓鱼邮件的智能检测”,不过这是一个大工程,目前有效的落地实践应该并不多,更多的还是在特殊时期采用特殊策略。


以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)

(图源Splunk)

以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)

(图源Fireeye https://www.fireeye.com/company/press-releases/2019/fireeye-secure-email-gateway-protects-against-threats-others-mis.html)


以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)

(《邮件防线的攻防研究实践》https://vipread.com/library/topic/3699)


发生钓鱼攻击事件后的应急响应


  1. 止血
    当通过各种途径或知到某员工收到钓鱼邮件后,第一时间并行做两件事:止血该员工和获取其他收到钓鱼邮件/消息的员工列表


  2. 修复
    将相关IP、URL、邮箱等恶意信息加入黑名单,同时排查为什么会绕过恶意邮件防御策略


  3. 溯源
    通过相关线索进行溯源,判断钓鱼攻击类型,来决定后续采取相应措施


  4. 复盘/宣导
    如果有员工中招,要重点复盘
    如果是员工主动发现,要有激励
    同时,真实的CASE一定要把握住进行宣导


最后


当然了,做了再多,人性也是永远的弱点,但是多做一点,风险就少一分。

持续对抗才是安全的魅力所在。


原文始发于微信公众号(电驭叛客):以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月9日10:10:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示) http://cn-sec.com/archives/1099523.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: