以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)
langu_xyz

引子

昨天处理了一个简单的钓鱼事件,同时结合最近准备攻防对抗的一些思考,简单聊一下“如何应对网络钓鱼”这个难题。

网络钓鱼有哪几种

网络诈骗钓鱼类型

  • 预付金诈骗(贪)
  • 帐户停用诈骗(怕)
  • 伪造网站诈骗(粗心)

网络攻击钓鱼方式

  • 鱼叉式网络钓鱼
  • 克隆网络钓鱼
  • 捕鲸诈骗

参考自https://www.cloudflare.com/zh-cn/learning/access-management/phishing-attack/

防钓鱼与反诈骗

2021年,国家反诈中心去年共紧急止付涉案资金3200余亿元人民币,拦截诈骗电话15.5亿次、成功避免2800余万名民众受骗。公安机关共破获电信网络诈骗案件44.1万余起,抓获违法犯罪嫌疑人69万余名,打掉涉“两卡”违法犯罪团伙3.9万个,追缴返还人民群众被骗资金120亿元。

围绕网络钓鱼的攻防对抗,本质上是人性弱点的对抗。在本质上,当前声势浩大的“反电信诈骗”和“防网络钓鱼”是一样的,国家反诈就是最佳实践,所以先来看一下国家是如何做“反诈骗”的。

反诈之防骗意识之“淹没式宣传”

对于如何提升广大群众的防骗意识,国家采用的是地毯式、淹没式的铺天盖地的宣导,无论是各种奇形怪状的口号、传单,还是“本小区本月发生xx起诈骗事件,被骗xx元”,基本上就是按住你的脑袋,从眼睛、耳朵里灌输防骗意识。

这样的做法笔者是非常认同的,虽然没有一个具体的数据来说明这样做的效果,但是从笔者自身的经验来说,在曾经被骗过一次之前,自负满满的认为自己不会被网络诈骗,然后打脸打的啪啪响(金额不大),曾经很长一段时间引以为耻。相信在看本文的读者应该也认为自己不会被骗,大忌。

反诈之安装“国家反诈APP”

相信现在没有人的手机上没有这个APP了吧,挨家挨户的地毯式安装,各种网络直播宣传等等,相当于每个人的手机上都装了一个“EDR”。

反诈之“国家反诈APP”之“来电预警守护”

为什么要在每个手机上装上反诈APP,核心作用就是和大数据威胁情报关联,当诈骗电话进线或接收短信的时候可以实时识别和预警。

反诈之异常网站访问告警

应该很多人都收到过当地派出所打电话过来说“你xx时间是不是访问了xx网站,这个网站涉嫌电信诈骗……”

来自“国家反诈骗”的启示——企业如何防御网络钓鱼

从上一小节可以看到,为了反诈骗,国家的主要手段是“意识宣导”、“覆盖EDR”、“威胁情报告警(实时)”和“网站访问日志分析(延时)”等等,这几个做法和我们日常建设防网络钓鱼基本大同小异,但是如何做好这几部分,是需要和“国家反诈中心”认真学习的。

意识宣导

总结下反诈骗的宣导,“形式多样”、“案例真实”、“题材丰富”、“高频次”、“一对一”等等,之前看到的一个演讲中也提到了同样的点,核心就在于“重复”。

在真实的企业安全环境中,在没有切实感受到钓鱼危害之前,是很难做到这点的,更多的是发一发全员邮件告诉大家小心网络钓鱼,这种做法的作用基本为零,毕竟每天来自各个团队的宣传邮件早就把邮箱填满了。

不过在企业防网络钓鱼的宣导上,比反诈骗有一个最大的优势,因为性质的不同,可以进行“网络钓鱼演习”。

如何进行网络钓鱼演习?

  1. 演习必须要真实
    何为真实,就是不论是邮箱、域名、网站还是文案,都要和员工息息相关,而不是在邮件里写“我来钓鱼了”,emmm
    参考:《你好,捕鱼人》https://vipread.com/library/topic/3233

  2. 全员参与(特别是TL)
    在演练结束后的复盘中,可以做到层层团队的内部宣导和复盘,我们往往对发生在身边的事件更能有体感

  3. 重复重复重复
    投入资源,阶段性重复、多样性演练、复盘,直到受害者成为零

进行安全意识考试(不)

其实笔者不太喜欢考试的这种形式,但是不得不说,考试是可以让员工在百忙之中快速学习某些知识的有效手段,同时还可以比较容易的量化工作成果,这或许就是为什么现在有这么多考试的原因吧。

不过如果做好激励,也许能成为一个好的宣导方式。

防网络钓鱼策略

像“外部邮箱变色”、“URL跳转弹窗”这些方式基本上每个企业邮箱/企业IM都具备了,然后再深一点,会做“SPF IP地址验证”、“DKIM 数字签名验证”、“DMARC From地址验证”等协议验证,这些手段可以有效的防止垃圾邮件和外部恶意邮件。

但是因为业务的复杂性,往来邮件的多样,这些协议策略很难完整的上线,同时也会因为配置策略问题,存在各种绕过的可能性。

所以目前的趋势是“钓鱼邮件的智能检测”,不过这是一个大工程,目前有效的落地实践应该并不多,更多的还是在特殊时期采用特殊策略。

(图源Splunk)

(图源Fireeye https://www.fireeye.com/company/press-releases/2019/fireeye-secure-email-gateway-protects-against-threats-others-mis.html)

(《邮件防线的攻防研究实践》https://vipread.com/library/topic/3699)

发生钓鱼攻击事件后的应急响应

  1. 止血
    当通过各种途径或知到某员工收到钓鱼邮件后,第一时间并行做两件事:止血该员工和获取其他收到钓鱼邮件/消息的员工列表

  2. 修复
    将相关IP、URL、邮箱等恶意信息加入黑名单,同时排查为什么会绕过恶意邮件防御策略

  3. 溯源
    通过相关线索进行溯源,判断钓鱼攻击类型,来决定后续采取相应措施

  4. 复盘/宣导
    如果有员工中招,要重点复盘
    如果是员工主动发现,要有激励
    同时,真实的CASE一定要把握住进行宣导

最后

当然了,做了再多,人性也是永远的弱点,但是多做一点,风险就少一分。

持续对抗才是安全的魅力所在。

  • Post title:以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)
  • Post author:langu_xyz
  • Create time:2022-06-08 17:00:00
  • Post link:https://uxss.net/2022/06/08/以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)/
  • Copyright Notice:All articles in this blog are licensed under BY-NC-SA unless stating additionally.