阻止商業(yè)電子郵件犯罪 (BEC) 攻擊的最佳策略
商業(yè)電子郵件犯罪 (BEC) 是指沒(méi)有有效載荷的所有類型的電子郵件攻擊。盡管有多種類型,但攻擊者利用 BEC 技術(shù)滲透組織的主要機(jī)制主要有兩種:欺騙和帳戶接管攻擊。
在最近的一項(xiàng)研究中,71% 的組織承認(rèn)他們?cè)谶^(guò)去一年中遇到了企業(yè)電子郵件泄露 (BEC) 攻擊。 43% 的組織在過(guò)去 12 個(gè)月內(nèi)經(jīng)歷過(guò)安全事件,35% 的組織表示商業(yè)電子郵件犯罪/網(wǎng)絡(luò)釣魚攻擊占事件的 50% 以上。
FBI 的互聯(lián)網(wǎng)犯罪投訴中心 (IC3) 報(bào)告稱,BEC 詐騙是 2020 年企業(yè)經(jīng)濟(jì)損失最大的網(wǎng)絡(luò)攻擊,有 19369 起投訴,調(diào)整后損失約為 18 億美元。最近的 BEC 攻擊包括對(duì) Shark Tank 主機(jī) Barbara Corcoran 的欺騙攻擊,損失了 380,000 美元;波多黎各政府的損失金額達(dá) 400 萬(wàn)美元,日本媒體巨頭 Nikkei 根據(jù)欺詐性電子郵件中的要求已經(jīng)轉(zhuǎn)移了 2900 萬(wàn)美元。
為了阻止 BEC 攻擊,組織必須專注于更嚴(yán)格的轉(zhuǎn)賬流程、數(shù)據(jù)的安全、員工和技術(shù)的統(tǒng)一。
更嚴(yán)格的轉(zhuǎn)賬流程
每個(gè)組織的財(cái)務(wù)部門都有財(cái)務(wù)支出授權(quán)政策,該政策為保護(hù)公司資產(chǎn)的任何財(cái)務(wù)支出/付款設(shè)立了明確的批準(zhǔn)級(jí)別。
雖然所有財(cái)務(wù)支出/付款都應(yīng)是批準(zhǔn)預(yù)算的一部分,但該政策為財(cái)務(wù)部門提供了一種工具,以確保每筆付款均由正確的個(gè)人或個(gè)人根據(jù)金額授權(quán)。
在某些情況下,公司的 CEO 或總裁在要求付款時(shí)被授予無(wú)限權(quán)力。攻擊者意識(shí)到這一點(diǎn),這就是為什么他們欺騙高級(jí)主管個(gè)人的電子郵件帳戶。
鑒于當(dāng)前的網(wǎng)絡(luò)安全形勢(shì),財(cái)務(wù)部門應(yīng)重新評(píng)估該政策,以制定更嚴(yán)格的流程。這可能意味著需要對(duì)通過(guò)支票、網(wǎng)絡(luò)轉(zhuǎn)賬或任何其他渠道支付的主要財(cái)務(wù)支出進(jìn)行多次授權(quán),以確保付款請(qǐng)求是合法的,它還可以說(shuō)明如何獲得電子授權(quán)。
例如,如果財(cái)務(wù)部門的某個(gè)人收到 CEO 要求網(wǎng)絡(luò)轉(zhuǎn)賬的電子郵件,則處理該請(qǐng)求的管理員需要遵循公司政策以獲得額外的批準(zhǔn),包括將電子郵件發(fā)送到預(yù)先批準(zhǔn)的傳播列表以獲得電子批準(zhǔn)以及通過(guò)電話確認(rèn)。財(cái)務(wù)支出金額決定了誰(shuí)可以簽署和共同簽署,這基于組織的風(fēng)險(xiǎn)偏好。
作為 IT 團(tuán)隊(duì)的一員,網(wǎng)絡(luò)安全主管應(yīng)該與財(cái)務(wù)部門溝通,解釋 BEC 和其他欺騙攻擊是如何發(fā)生的。提供最近 BEC 攻擊的真實(shí)示例,并集思廣益,以便公司會(huì)采取更有針對(duì)性的方式來(lái)阻止攻擊。基于這些例子,財(cái)務(wù)部門應(yīng)該重新評(píng)估當(dāng)前的政策,考慮到網(wǎng)絡(luò)安全欺騙和 BEC。
數(shù)據(jù)的安全
近幾個(gè)月來(lái),擴(kuò)展檢測(cè)和響應(yīng)(XDR)已成為安全供應(yīng)商和分析人員的一個(gè)突出話題。與大多數(shù)傳統(tǒng) SIEM 部署一樣,早期的 XDR 客戶一直在努力平衡投入和產(chǎn)出的關(guān)系。事實(shí)上,大多數(shù)企業(yè)尚未充分考慮與某些供應(yīng)商 XDR 解決方案所需的數(shù)據(jù)收集和分析相關(guān)的成本和產(chǎn)出的關(guān)系。本文就讓我們?cè)敿?xì)地了解一下這些挑戰(zhàn),并考慮 SentinelOne 如何通過(guò)解決威脅XDR 的最大和最復(fù)雜的障礙——大規(guī)模數(shù)據(jù)管理,來(lái)徹底改變 XDR 碰到的安全困局。
數(shù)據(jù)呈指數(shù)增長(zhǎng)。IDC預(yù)測(cè),到2025年,全球存儲(chǔ)的數(shù)據(jù)總量將達(dá)到175ZB!這比 2018 年 (33ZB) 增長(zhǎng)了 5 倍。對(duì)于那些停止以千兆字節(jié)計(jì)算的人來(lái)說(shuō),1 澤字節(jié)等于 1 萬(wàn)億 GB。但是這些數(shù)據(jù)是如何分解的?這些數(shù)據(jù)中有多少可以用于提供更好的安全決策,以確保企業(yè)免受有針對(duì)性的攻擊?在預(yù)測(cè)的 175ZB 中,大約 85% 是企業(yè)和或公共云數(shù)據(jù)存儲(chǔ)。更重要的是,IDC 預(yù)測(cè),到 2025 年,多達(dá) 30% 的數(shù)據(jù)將被歸類為自終端和物聯(lián)網(wǎng)設(shè)備的追蹤分析數(shù)據(jù)。對(duì)于希望通過(guò)利用豐富的數(shù)據(jù)來(lái)改善其安全狀況的企業(yè)來(lái)說(shuō),這既是一個(gè)巨大的挑戰(zhàn),也是一個(gè)機(jī)遇。數(shù)據(jù)本身是沒(méi)有用的,數(shù)據(jù)必須經(jīng)過(guò)上下文化和分析才能成為信息。基于同樣的理解,我們知道只有當(dāng)我們?cè)诙鄠€(gè)信息點(diǎn)之間應(yīng)用有意義的聯(lián)系,將情境化的數(shù)據(jù)組合成可操作的結(jié)果時(shí),信息才會(huì)成為知識(shí)。因此,沒(méi)有背景的數(shù)據(jù)往往是多余的。
有效的數(shù)據(jù)管理。如今,大多數(shù)企業(yè)都會(huì)生成大量數(shù)據(jù),包括來(lái)自用戶、設(shè)備、應(yīng)用程序和傳感器的活動(dòng)日志。如果沒(méi)有相應(yīng)的記錄,就不會(huì)發(fā)生任何重要的事情。這通常采用日志或事件的形式:描述實(shí)體、操作、屬性和可能的響應(yīng)條件的事務(wù)性消息。遙測(cè)技術(shù)的其他形式可以包含包含采樣或匯總測(cè)量的簡(jiǎn)單度量。
信息安全告訴我們,即使是最無(wú)害和平庸的數(shù)據(jù)集也可能以某種方式與調(diào)查或惡意檢測(cè)的范圍相關(guān)。Singularity ActiveEDR/XDR 利用 SentinelOne 獲得專利的 Storyline 技術(shù)的獨(dú)特功能,將不同的安全事件拼接成一個(gè)單一的時(shí)間線和攻擊可視化,并在可能的情況下使用 MITRE ATT&CK 技術(shù)歸因以及攻擊者的詳細(xì)信息。
員工
所有公司員工都必須接受培訓(xùn),了解網(wǎng)絡(luò)安全攻擊是什么樣的,做什么,不做什么,而且這種培訓(xùn)應(yīng)該持續(xù)進(jìn)行,因?yàn)榫W(wǎng)絡(luò)安全形勢(shì)變化如此之快。
財(cái)務(wù)部門的員工或任何有權(quán)以任何形式支付資金的人都應(yīng)該接受有關(guān) BEC 和其他欺騙攻擊的培訓(xùn)。
需要強(qiáng)調(diào)的是,這些攻擊中有許多采取來(lái)自高層管理人員的電子郵件形式,它們往往是“緊急”請(qǐng)求,有時(shí)該請(qǐng)求是在營(yíng)業(yè)結(jié)束前幾分鐘發(fā)送的,需要立即付款。通過(guò)此培訓(xùn),再加上要求所有員工遵守財(cái)務(wù)支出授權(quán)政策,公司應(yīng)該能夠阻止 BEC 攻擊。
許多公司購(gòu)買保險(xiǎn)來(lái)支付這些 BEC 損失,但沒(méi)有組織可以確定承運(yùn)人會(huì)支付。例如,貿(mào)易公司 Virtu Financial公司在 BEC 騙局中損失了 690 萬(wàn)美元,但他們的保險(xiǎn)公司 Axis Insurance 拒絕付款,聲稱“未經(jīng)授權(quán)訪問(wèn) Virtu 的計(jì)算機(jī)系統(tǒng)不是損失的直接原因,而是由Virtu 員工的單獨(dú)行為造成的,因?yàn)樗麄兿嘈乓筠D(zhuǎn)移資金的‘欺騙性’電子郵件是真實(shí)的。”
Virtu Financial公司已對(duì) Axis Insurance 提出投訴,稱其因拒絕為網(wǎng)絡(luò)攻擊提供保險(xiǎn)而違反合同。
技術(shù)
下一代先進(jìn)的網(wǎng)絡(luò)安全技術(shù)可以幫助阻止任何電子郵件威脅,包括垃圾郵件、網(wǎng)絡(luò)釣魚、BEC 和后續(xù)攻擊、高級(jí)持續(xù)性威脅 (APT) 和攻擊漏洞的零日漏洞。
這些類型的解決方案包括:
- 一個(gè)反垃圾郵件引擎,通過(guò)反垃圾郵件和基于信譽(yù)的過(guò)濾器阻止惡意通信;
- 一個(gè)反網(wǎng)絡(luò)釣魚引擎,用于檢測(cè)惡意 URL 并在到達(dá)最終用戶之前阻止任何類型的網(wǎng)絡(luò)釣魚攻擊;
- 一個(gè)反欺騙引擎,可防止無(wú)載荷攻擊,例如欺騙、相似域和顯示名稱欺騙;
- 反逃避技術(shù)通過(guò)遞歸地將內(nèi)容解包成更小的單元(文件和 URL)來(lái)檢測(cè)惡意隱藏內(nèi)容,然后由多個(gè)引擎在幾秒鐘內(nèi)動(dòng)態(tài)檢查;
機(jī)器智能 (MI) 和自然語(yǔ)言處理 (NLP) 以檢查內(nèi)容和上下文中是否與規(guī)范有偏差,例如識(shí)別異常書寫風(fēng)格、可能表示惡意活動(dòng)的關(guān)鍵詞、奇怪的 IP 地址、地理位置、時(shí)間等;檢測(cè)以防止高級(jí)威脅和零日攻擊。
對(duì)最終用戶進(jìn)行臨時(shí)電子郵件分析,以便在采取魯莽行動(dòng)之前識(shí)別可疑電子郵件。
最終用戶上下文幫助基于策略和規(guī)則使用可定制的橫幅標(biāo)記電子郵件,為最終用戶提供額外的上下文信息并提高他們的安全意識(shí)。
該解決方案應(yīng)該能夠檢測(cè)并阻止欺騙和帳戶接管攻擊,其中攻擊者可以訪問(wèn)合法的電子郵件帳戶并試圖進(jìn)一步進(jìn)入網(wǎng)絡(luò)。
本文翻譯自: https://thehackernews.com/2021/07/best-practices-to-thwart-business-email_29.html
