挫敗BEC攻擊的優(yōu)秀實(shí)踐
商務(wù)電郵入侵(BEC)指的是沒(méi)有任何攻擊載荷的所有電子郵件攻擊類型。盡管種類繁多,但攻擊者基本上通過(guò)兩種主要機(jī)制利用BEC技術(shù)滲透進(jìn)企業(yè)網(wǎng)絡(luò):冒用和賬戶盜用攻擊。
最近發(fā)布的研究顯示,71%的企業(yè)承認(rèn)去年遭到過(guò)商務(wù)電郵入侵(BEC)攻擊。43%的企業(yè)在過(guò)去12個(gè)月里經(jīng)歷過(guò)安全事件,其中35%聲稱BEC/網(wǎng)絡(luò)釣魚攻擊占據(jù)這些事件的50%以上。
美國(guó)聯(lián)邦調(diào)查局(FBI)互聯(lián)網(wǎng)犯罪投訴中心(IC3)報(bào)告稱,BEC欺詐是2020年代價(jià)最高昂的網(wǎng)絡(luò)攻擊,共有19,369起投訴,損失約18億美元。近期的BEC攻擊包括對(duì)Shark Tank主持人Barbara Corcoran的攻擊(損失38萬(wàn)美元);波多黎各政府遭受的攻擊(損失400萬(wàn)美元);還有日本媒體巨頭日經(jīng)新聞社被欺詐電子郵件騙走的2900萬(wàn)美元。
為挫敗BEC攻擊,企業(yè)必須關(guān)注黃金三角:人員、過(guò)程和技術(shù)的協(xié)調(diào)統(tǒng)一。以下就是緩解BEC攻擊應(yīng)遵循的優(yōu)秀實(shí)踐。
過(guò)程
每家公司的財(cái)務(wù)部門都設(shè)置有支出授權(quán)策略。該策略為每筆支出/付款建立了清晰的批準(zhǔn)層級(jí),從而保護(hù)公司的資產(chǎn)。
盡管所有支出/付款都應(yīng)從已批準(zhǔn)的預(yù)算中開支,這一策略還是為財(cái)務(wù)部門提供了工具,確保每筆付款均由適當(dāng)人員根據(jù)金額授權(quán)。
某些情況下,公司首席執(zhí)行官或總裁在要求付款方面被賦予了無(wú)限權(quán)力。網(wǎng)絡(luò)罪犯深知這一點(diǎn),所以經(jīng)常假冒高層人員的電子郵件賬戶。
考慮到當(dāng)前的網(wǎng)絡(luò)安全狀況,財(cái)務(wù)部門應(yīng)當(dāng)重新評(píng)估這種策略,設(shè)置更嚴(yán)格的過(guò)程。這可能意味著要對(duì)通過(guò)支票、電匯或任意其他渠道的重要開支實(shí)施多重授權(quán),從而確保付款請(qǐng)求是合法的。或許還可以闡明如何獲得電子授權(quán)。
比如說(shuō),如果財(cái)務(wù)部門某員工收到了首席執(zhí)行官要求電匯的電子郵件,處理該請(qǐng)求的行政人員須遵從公司策略獲得額外的批準(zhǔn),例如向預(yù)先核準(zhǔn)的通訊組列表發(fā)送電子郵件以獲得電子批準(zhǔn),以及通過(guò)電話確認(rèn)。開支金額決定了誰(shuí)能簽字和共同簽署,并且可能基于公司的風(fēng)險(xiǎn)偏好,即公司愿意承受多大的損失。
IT團(tuán)隊(duì)成員應(yīng)與財(cái)務(wù)部門溝通,解釋BEC及其他欺騙攻擊是如何發(fā)生的,給出近期BEC攻擊真實(shí)案例,并頭腦風(fēng)暴出公司能夠采取哪些不同措施來(lái)阻止攻擊。基于這些案例,財(cái)務(wù)部門應(yīng)在將網(wǎng)絡(luò)安全欺騙和BEC納入考慮的情況下重新評(píng)估當(dāng)前策略。這可能意味著董事會(huì)主席、首席執(zhí)行官或公司總裁并非主要開支的簽字人,且基準(zhǔn)金額取決于公司的風(fēng)險(xiǎn)偏好。
這個(gè)過(guò)程在開支授權(quán)策略范圍內(nèi)建立起來(lái)后,公司必須確保其人員接受培訓(xùn),無(wú)一例外地遵守這一策略。
人員
公司所有員工都必須經(jīng)過(guò)培訓(xùn),知道網(wǎng)絡(luò)安全攻擊長(zhǎng)什么樣子,該做什么,不該做什么;而且培訓(xùn)應(yīng)該持續(xù)進(jìn)行,因?yàn)榫W(wǎng)絡(luò)安全狀況變化很快。
財(cái)務(wù)部門的員工,或者有權(quán)支付任意形式資金的人,應(yīng)該接受有關(guān)BEC及其他欺騙攻擊的培訓(xùn)。
強(qiáng)調(diào)很多這種攻擊都以高管電子郵件的形式出現(xiàn),往往標(biāo)著“緊急”字樣,有時(shí)候會(huì)在逼近下班時(shí)間發(fā)出請(qǐng)求,并要求立即付款。通過(guò)這種培訓(xùn),再加上要求所有員工都遵循開支授權(quán)策略,公司應(yīng)該就能夠阻止BEC攻擊了。
很多公司購(gòu)買網(wǎng)絡(luò)保險(xiǎn)來(lái)彌補(bǔ)BEC損失,但沒(méi)有哪家企業(yè)能夠確定保險(xiǎn)公司會(huì)賠付。例如,貿(mào)易公司Virtu Financial Inc. 在一場(chǎng)BEC騙局中損失了690萬(wàn)美元,但其保險(xiǎn)商Axis Insurance拒絕賠付,宣稱“Virtu計(jì)算機(jī)系統(tǒng)遭受的未授權(quán)訪問(wèn)不是造成損失的直接原因,損失實(shí)際上是由Virtu員工的獨(dú)立干預(yù)行為造成的,因?yàn)樗麄儗?duì)要求轉(zhuǎn)賬的‘假冒’電子郵件信以為真并發(fā)出了電匯。”Virtu Financial Inc.對(duì)Axis Insurance提起訴訟,指控該保險(xiǎn)公司拒絕承保網(wǎng)絡(luò)攻擊,違反了合同。
技術(shù)
下一代高級(jí)網(wǎng)絡(luò)安全技術(shù)有助于在威脅觸及最終用戶之前阻止任何電子郵件威脅,包括垃圾郵件、網(wǎng)絡(luò)釣魚、BEC及后續(xù)攻擊、高級(jí)持續(xù)性威脅(APT)和零日漏洞攻擊。
此類解決方案包括:
- 反垃圾郵件引擎:以反垃圾郵件和基于信譽(yù)的過(guò)濾器阻止惡意通信。
- 反網(wǎng)絡(luò)釣魚引擎:在波及最終用戶前檢測(cè)惡意URL并阻止任意類型的網(wǎng)絡(luò)釣魚攻擊。
- 反欺騙引擎:阻止欺騙、相似域名和顯示名稱欺騙等無(wú)載荷攻擊。
- 反規(guī)避技術(shù):將內(nèi)容遞歸解包成更小的單元(文件和URL),然后由多個(gè)引擎在幾秒鐘內(nèi)動(dòng)態(tài)檢查,從而檢測(cè)惡意隱藏內(nèi)容。
- 機(jī)器智能(MI)和自然語(yǔ)言處理(NLP):檢查內(nèi)容和上下文中偏離正常的畸變,例如識(shí)別異常書寫風(fēng)格、可能預(yù)示惡意活動(dòng)的關(guān)鍵詞、奇怪的IP地址、地理位置、時(shí)間等。
- 檢測(cè):防止高級(jí)威脅和零日攻擊。
- 即時(shí)電子郵件分析:供最終用戶在采取魯莽行動(dòng)之前識(shí)別惡意電子郵件。
- 最終用戶上下文幫助:以基于策略和規(guī)則的定制旗標(biāo)標(biāo)記電子郵件,從而向最終用戶提供額外的上下文信息,提高他們的安全意識(shí)。
解決方案應(yīng)能夠檢測(cè)并阻止欺騙及賬戶盜用攻擊,網(wǎng)絡(luò)罪犯往往會(huì)借助這些攻擊訪問(wèn)合法電子郵件賬戶,并試圖進(jìn)一步深入公司網(wǎng)絡(luò)。
結(jié)語(yǔ)
因精通這些攻擊,Acronis網(wǎng)絡(luò)保護(hù)解決方案廣為企業(yè)和托管服務(wù)提供商(MSP)所推崇。憑借機(jī)器智能(MI)、自動(dòng)化和集成的獨(dú)特組合,該多功能網(wǎng)絡(luò)保護(hù)解決方案有助于降低業(yè)務(wù)風(fēng)險(xiǎn)和提高生產(chǎn)效率,而不管數(shù)據(jù)丟失是如何發(fā)生的。
