构筑网络钓鱼深度防御的三大措施

点击蓝字 关注我们            ///

@GoUpSec

网络钓鱼是威胁当今企业和机构的最古老也是最有效的攻击媒介。超过90%的网络攻击始于网络钓鱼电子邮件。据报道，谷歌每天拦截1800万封诈骗电子邮件，并在去年检测到创纪录的200万个钓鱼网站。

网络钓鱼攻击看起来不会很快消失。事实上，随着有组织犯罪集团掌握的暗网泄漏数据越来越多，企业将成为更有针对性的目标，对抗和缓解钓鱼攻击将更具有挑战性，并且需要多层防御。以下，让我们探讨多层、纵深防御方法的三大要素：

01

安全政策、流程和文件

组织必须为员工和供应商制定关于设备和服务以及个人责任和行为（哪些是允许的、哪些是不允许的）指导方针。

可接受使用政策(AUP)是一个关键组成部分，每个人每年都必须对其进行记录、阅读、签署和审查。员工必须就安全意识培训的重要性、如何监控他们的进度以及任何潜在的后果（进一步培训、咨询、互联网访问锁定等）进行透明的沟通，如果一个人一直未能通过模拟练习和测试。

反网络钓鱼政策涵盖了有关网络钓鱼、常见社会工程诈骗和最近示例的意识主题，以及有关利益相关者应如何对待可疑威胁的教育。该文件应概述最佳实践：用户不得安装未经授权的软件；在点击之前总是分析网址；永远不要回复可疑的电子邮件或文本，并始终报告任何看起来（或闻起来）“粗略”的电子邮件或互动。应与请求者口头确认超过特定额度的电汇，以防止商业电子邮件泄露或电汇欺诈。

业务连续性和灾难恢复计划有助于在发生网络攻击时最大限度地减少损失。这可以包括关于联系谁（危机管理顾问、网络安全保险等）的详细步骤，包括哪些团队（法律、人力资源、公共关系等）以及关于是否支付赎金的指导、勒索软件攻击。

02

技术防御

虽然策略是防止网络钓鱼的重要战略基础，但拥有适当的技术防御可以有效地对抗网络钓鱼攻击。以下是最流行的纵深防御方法的摘要：

恶意软件缓解：端点安全和网络安全工具（如防病毒、端点检测和入侵检测）是对抗网络钓鱼攻击（如DDoS、窃听、中间人和缓冲区溢出攻击）的根本原因的一些最重要的工具。

内容过滤：由于员工粗心浏览互联网，许多企业成为网络钓鱼攻击的牺牲品。Web过滤或内容过滤策略可以帮助阻止访问某些站点，从而显着降低访问风险网站的可能性。

电子邮件客户端特定保护：大多数电子邮件客户端、Web浏览器和电子邮件提供商都提供默认或内置的反网络钓鱼功能（例如，默认情况下阻止所有文件下载）。

多因素身份验证：MFA可以显着减少某些类型的网络钓鱼攻击。您的密码可能会意外被盗用，但辅助身份验证方法可以防止您遭到破坏。

信誉服务：信誉服务将提供风险评分，并根据URL的来源建议、阻止或允许内容。黑名单服务将阻止来自已知恶意域的电子邮件，而白名单服务将只允许来自先前验证或授权域的内容。灰名单服务将通过首先拒绝电子邮件并稍后从服务器请求副本来确认无法识别的电子邮件地址的合法性。

密码管理器：密码管理器可以让用户轻松地跨多个站点存储长而复杂的密码，而无需依赖自己的记忆。它们显着降低了密码重复使用和单个密码泄露的风险。

全球网络钓鱼防护标准：诸如发件人策略框架(SPF)、域密钥识别邮件(DKIM)、基于域的消息身份验证、报告和一致性(DMARC)等网络钓鱼标准有助于保护域免受欺骗。启用这些后，接收者可以验证声称来自特定域的电子邮件的真实性。

红绿系统：在低风险容忍度和极高资产价值的环境中，可以为用户提供两个独立的系统。红色系统高度安全，仅包含关键任务应用程序，而绿色系统安全性较低，可用于互联网浏览和日常业务活动。

03

安全意识培训

研究表明，仅靠技术保障不足以提供针对网络钓鱼的最终保护，90天的模拟网络钓鱼有助于培养怀疑态度，并将员工的网络钓鱼倾向(PPP)降低60%。雇主的积极强化，例如特别公众认可、礼券、披萨派对，甚至现金奖励，都可以对采取健康的安全态势产生积极影响。

请记住，网络钓鱼易感性与智商无关。更高的智商并不意味着你不会被钓鱼；一些最聪明的人已经成为网络钓鱼攻击的牺牲品。帮助组织的是采用多层次的方法——将正确的政策和技术防御与发展肌肉记忆相结合，使人们习惯于识别、拒绝和报告网络钓鱼企图。纵深防御方法是提高公司网络弹性的良好开端。

END