面对鱼叉式网络钓鱼攻击，蓝队如何防御？

恶灵退散

i春秋签约作家

大家好，我是i春秋的老朋友恶灵退散，95后安全运营工程师，信息安全专业，目前在职于中国某通信厂商做蓝军建设的工作。

很高兴受邀i春秋的采访，在本期访谈中，我将给大家介绍下真实的实网攻防经历，以及作为蓝军的经验感悟和知识分享，如果你也是网络安全爱好者，或者对实网攻防感兴趣，欢迎阅读本篇内容，也可随时找我交流切磋，一起学习进步 !

在实网攻防演练中，有哪些惊心动魄的时刻，或印象深刻的经历？

在最近一次的实网攻防演练中，我作为蓝军负责保障企业的网络安全，包括不限于监控企业所有的安全设备、网站不被篡改、业务能够正常运行等。明确了职责后，我开始对企业所有的安全设备进行仔细排查，杜绝可能存在的安全隐患。

然而，尽管我已经做了充分的准备，但仍然未能预见到那些黑客的狡猾，他们瞄准了我们的区域人员，并向其发送了钓鱼邮件。幸运的是，我们的内网防御系统及时发现并阻止了这一攻击。

通过查看系统日志和分析网络行为，我锁定了发起攻击的IP地址，这个IP地址揭示了被黑客利用的那个内部人员的身份。我们立即采取行动，对该设备进行了杀毒操作，成功避免了进一步的损失。

网络攻防技术发展到今天，红队可以用到的攻击手段有很多，为什么依旧热衷于钓鱼邮件攻击呢？

对于绝大多数企业来说，邮件是一个攻击成本低但防护有难度的互联网服务，故而钓鱼邮件攻击成了针对企业最简单有效、也最具迷惑性的攻击方法，也是黑客获取数据的主要途径，在世界范围内每年都造成巨大损失，严重威胁数据安全和企业经营。

网络钓鱼攻击已成为目前最常见且成功率极高的攻击手段之一，这里着重介绍一种网络钓鱼的特殊类型：鱼叉式网络钓鱼攻击。

（图片来源于网络）

鱼叉式网络钓鱼攻击是针对特定组织内的特定目标个体，相对于普通钓鱼攻击来说，针对的目标更加精准，黑客花时间研究他们的预期目标，通过编写与目标相关性极强的消息来完成攻击。

通常，鱼叉式网络钓鱼攻击使用电子邮件欺骗，电子邮件“发件人”可能是目标信任的人，例如社交网络中的个人、密友或商业伙伴，使得受害者难以发觉，具有精准且较强的欺骗性，然后将带有恶意附件链接的电子邮件发给目标，并且通过加密等手段绕过邮件过滤器，一旦下载或者点击附件恶意程序，病毒就会立即执行，为黑客进一步渗透攻击做准备。

（图片来源于网络）

举个例子，假如我现在是红队，想要发起一次钓鱼攻击，可以提前在网上收集已泄露的数据库用户名和密码，利用这些信息进行邮箱用户撞库攻击，获取可以登录到企业内部邮箱的合法邮箱账号，通过导出通信录中所有联系人的联系方式，进行弱口令爆破攻击。

另外，还可以采用发件人伪造的方式进行邮件伪造。利用第三方或自行搭建邮件服务，通过收件服务器未进行严格SPF校验的漏洞，伪造发件人身份，这样的方法隐蔽性较强，能够绕过一些安全措施。

鱼叉攻击具有易利用、实施成本低、高精准度、强隐蔽性的特点，受害者在不知情的情况下，一次简单的点击，就可以为黑客开启一扇实施攻击的“任意门”，因此鱼叉攻击也深受黑客组织的青睐。

针对鱼叉式钓鱼攻击，防御方法有哪些？

鱼叉式网络钓鱼，虽然看上去花样百出，套路层出不穷，但是利用一些强大的软件是可以精准防御的，像比较知名的Paloalto防火墙，它有针对网络钓鱼攻击检测和分类功能，可以对电子邮件中的链接进行分析，当系统判定是网络钓鱼攻击的一部分时，防火墙将立即产生告警，并生成相应的记录，这些信息会及时通知网关人员，以便他们采取必要的措施来保护企业的网络安全。

与此同时，还有一些防火墙产品可以为终端提供保障，通过事前、事中、事后不同的阶段防护各类威胁，包括0-day、高级APT以及新型恶意软件等，帮助用户构建强大的终端安全防护平台。

除了强大的软件防御，内部人员的网络安全意识和行为也至关重要，这里可以拓展讲讲吗？

在实网攻防演练中，我们不仅需要关注技术防御，更要持续加强内部人员的网络安全意识培训，每年都会组织1—2期的安全培训，帮助员工了解网络攻击的常见手段和防范措施，提高安全意识和防护能力。不同于传统的填鸭式枯燥学习，我们现在的培训都以寓教于乐的形式，通过线上的打卡学习、游戏互动，在轻松愉快的氛围中，就掌握了安全小技巧。

与此同时，建立网络安全规章制度也是至关重要的：

• 像我们的企业邮箱一定要制定专门的风控策略，只有在办公网络以及可信的设备上才能通过密码登录，否则需要通过安全码等两步验证方式；
• 对于群发邮件这样的敏感操作，需要提前申报审批；
• 凡是涉及财务的敏感操作一定要和行政或者财务部门的工作人员进行核实；
• 所有密码设置都是12位以上的数字、字母、特殊符号相结合，并且会定期更新。

最后，定期进行网络安全演练也是非常必要的。帮助员工了解网络攻击的真实场景和应对方法，提高应急响应能力。下面这张图是我们企业连续三年进行的钓鱼邮件演练，通过不同的域名、模板、手段进行钓鱼邮件攻击。

钓鱼邮件演练

让错发生在靶场

大家可以看到，能够识别出钓鱼邮件的人员已经从最初的71.2%提升至92.5%，而且，在钓鱼演练期间还有很多员工主动联系HR或者IT询问或反馈，这就是网络安全意识持续提升的意义，让每个人都能成为企业的安全防线。

本期知识点分享到这里就结束了，感谢大家的阅读，如果也你对网络钓鱼感兴趣，或者是对钓鱼邮件有更深入的研究，欢迎在文末留言，大家一起互动讨论。

工作之余，我经常与朋友相约打羽毛球或玩游戏，作为放松身心的活动。身体是革命的本钱，劳逸结合非常重要，希望大家都能保持良好的身心状态。

 

 

原文始发于微信公众号（i春秋）：实网攻防演练丨面对鱼叉式网络钓鱼攻击，蓝队如何防御？