电子邮件网络钓鱼可能是当今最古老也是最有效的网络威胁。超过90%的网络攻击始于电子邮件网络钓鱼。据报道,谷歌每天拦截1800万封诈骗电子邮件,并在去年发现了创纪录的200万个网络钓鱼网站。
网络钓鱼攻击似乎不会很快消失。事实上,随着有组织的犯罪集团掌握了暗网漏数据,网络钓鱼的针对性和有效性越来越高。对抗和缓解网络钓鱼是非常具有挑战性的,需要多层次的防御。让我们探索三个要素:对抗电子邮件网络钓鱼的多层次和深度防御方法:
1.政策、程序和文件
企业必须在个人责任范围内为员工和供应商制定允许和不允许的设备和服务行为指导方针。
可接受使用政策(AUP)它是每个人每年都必须记录、阅读、签名和审查的关键组成部分。员工必须透明地沟通安全意识培训的重要性,如何监控他们的过程,以及未能通过模拟实践和测试任何潜在后果(进一步培训、咨询、互联网访问锁定等)。
反网络钓鱼政策通常涵盖网络钓鱼、普通社会工程欺诈和相关安全意识的主题,以及相关人员如何处理和处理可疑威胁的培训工作。本文件应总结以下最佳实践内容:用户不得安装未经授权的软件;点击前总是分析网站;永远不要回复可疑的电子邮件或文本,并总是报告任何看起来可疑的电子邮件或口头确认超过特定金额的电汇,防止商业电子邮件攻击或电汇欺诈。
业务连续性和灾难恢复计划有助于在网络攻击中减少损失。这可以包括联系谁(危机管理顾问、网络安全保险等)的详细步骤,包括哪些团队(法律、人力资源、公共关系等),以及是否支付赎金的指导(勒索软件攻击)。
2.技术防御
虽然战略是防止网络钓鱼的重要战略基础,但适当的技术防御可以有效地对抗网络钓鱼攻击。以下是最流行的深度防御方法摘要:
恶意软件缓解:恶意软件缓解:端点安全和网络安全工具(如防病毒、端点检测和入侵检测)是对抗网络钓鱼攻击(如DDoS、最重要的工具是窃听、中间件和缓冲区溢出攻击)。
内容过滤:由于员工对互联网的粗心浏览,许多企业网络钓鱼攻击的受害者。Web过滤或内容过滤策略有助于防止访问某些网站,从而显著降低访问风险网站的可能性。
电子邮件客户端特殊保护:大多数电子邮件客户端,Web浏览器和电子邮件提供商提供默认或内置的反网络钓鱼功能(例如,在默认情况下阻止所有文件下载)。
多因素身份验证:多因素身份认证MFA它可以显著减少某些类型的网络钓鱼攻击。您的密码可能会意外被盗,但辅助身份验证方法可以避免进一步攻击。
声誉服务:声誉服务将提供风险评分,并根据URL来源建议、阻止或允许内容。黑名单服务将阻止已知恶意领域的电子邮件,而白名单服务只允许以前验证或授权领域的内容。灰名单服务将首先拒绝电子邮件,然后通过服务器请求副本进一步确认当时无法识别的电子邮件地址的合法性。
密码管理器:密码管理器允许用户在不依赖自己记忆的情况下,轻松地在多个网站上存储长而复杂的密码。它们显著降低了密码重复使用和单个密码泄漏的风险。
全球网络钓鱼防护标准,如发件人战略框架(SPF)、域密钥识别邮件(DKIM)、基于域名的信息身份验证、报告和一致性(DMARC)网络钓鱼标准有助于保护区免受欺骗。使用此类电子邮件后,接收者可以验证声称来自特定域的电子邮件的真实性。
红绿系统:在低风险容忍度和高资产价值的环境中,为用户提供两个独立的系统。红色系统高度安全,只包括关键任务应用程序,而绿色系统安全性低,可用于互联网浏览和日常业务活动。
3.安全意识培训
研究表明,仅仅依靠技术保障是不足以为网络钓鱼提供最终保护的。90天的模拟网络钓鱼可以帮助培养组织的安全文化,并倾向于在线钓鱼(PPP)减少60%以上。公开表扬、礼券、晚宴甚至现金奖励等用人单位采取的积极强化工作,都会对健康安全形势的培养产生积极影响。
请记住,在线钓鱼的敏感性与智力无关。更高的智商并不意味着你不会被钓鱼,一些非常聪明的人已经成为在线钓鱼攻击的受害者。组织需要采用多层次的方法,将正确的策略和技术防御与肌肉记忆的培养相结合,使人们习惯于识别、拒绝和报告在线钓鱼尝试。一种完整的深度防御方法是提高公司网络安全灵活性的良好开端。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章