电子邮件是企业中一种重要的沟通工具,但是,随着网络攻击手段的不断升级,电子邮件也成为了黑客攻击的重要目标。如果电子邮件安全不好,可能会导致信息泄露,给企业造成严重的损失。
电子邮件与勒索软件
根据Verizon的2022年数据泄露调查报告,网络应用程序和电子邮件仍然位居数据泄露原因榜首。同时,Cyber Security Hub的2022年网络安全趋势调查显示,网络钓鱼和社会工程攻击是当今组织面临的最大威胁之一,超过70%的受访者将其列为前三名网络安全威胁。
随着互联网的发展,网络犯罪也变得越来越复杂,其攻击范围也更广。其中,网络钓鱼攻击可以说是自从电子邮件诞生以来,就一直存在存在的网络攻击。而且现在,攻击者正在寻找最小的进入组织基础设施的机会,以期获得巨大的经济回报。
据了解,目前,75%的勒索软件仍然源自电子邮件,而且一些攻击者正在联手大型组织发起联合攻击。曾经被认为是捕鱼演习的活动正在演变为捕鲸行动。而一旦恶意软件威胁参与者使用网络钓鱼电子邮件感染组织的机器和网络,攻击就会横向传播,并将访问权卖给勒索软件经纪人。
当下,勒索团伙把目标逐渐转向大公司,因为他们意识到大公司更有可能支付数百万美元的赎金;但各国政府也不能幸免,2021年,Cyber Research Labs记录了21个国家48个政府机构受到勒索软件影响的情况。
此外,凤凰城大学(University of Phoenix)网络安全项目的首席教授斯蒂芬妮·贝努瓦·库尔茨(Stephanie Benoit Kurtz)指出,勒索软件的一个趋势是窃取合法的电子邮件账户和凭证,这些账户会经常向企业发送电子邮件消息。
用户一般很难发现这些被勒索病毒感染了的邮件与普通邮件的区别。这些邮件消息被勒索软件、恶意代码链接和其他类型的网络病毒所感染,她解释道,没有人真的看到这种威胁即将到来,用户在点击一个引发感染连锁反应的链接之前,往往无法察觉到通信中的细微差别。
美国加州的一家安全公司的专家警告:威胁行为者已经开始招募企业内部人士,并提供加密货币以换取对公司凭证的访问权限。勒索软件的攻击面已经超出了远程桌面协议,并且本质上越来越以人为中心。
忽视电子邮件安全的不良后果
随着勒索即软件服务(RaaS)经济的成熟,勒索软件团伙对他们的破坏行为表现出了极大的信心。
银行技术提供商Jack Henry&Associates的首席信息安全官(CISO) Yonessy Núñez表示:随着网络攻击参与者在不断构思、实施新的攻击方式,威胁形势正在不断演变。但这些勒索组织的名称及其恶意软件总是转瞬即逝,因此重点防范勒索组织的通用攻击策略、攻击技术和勒索软件(TTPs)非常重要。
他解释道:如今,许多勒索组织并不太依赖恶意软件,而是在入侵期间越来越多地滥用微软Windows或公共云中的内置应用程序。因而企业通过专注于防范人员行为而不是恶意软件,将能够更持久地抵御不断演变的威胁。
根据美国联邦调查局(FBI)2022年5月的一份报告,2016年6月至2022年12月期间,BEC邮件诈骗对美国国内和国际的组织造成了430亿美元的损失。在此期间,FBI收到了超过24万起BEC邮件诈骗事件的警报。
Verizon还注意到,2022年勒索软件漏洞增加了13%。尽管存在这些事实,电子邮件仍然是全球许多组织忽视的一个领域。
凤凰城大学的Benoit Kurtz表示:随着组织改变其安全技术策略,电子邮件是一个经常被忽视的环境,可能会给公司的系统和数据带来巨大风险。
Benoit Kurtz引用了Verizon的研究,该研究显示电子邮件仍然是大多数违规行为的罪魁祸首,她表示,通过网络钓鱼、链接、附件和凭证盗窃等方式泄露电子邮件的行为每年都会给企业带来数百万美元的损失。
她建议:由于平均每年的赎金超过420万美元,高管们必须继续对电子邮件系统采取分层防御策略。
就企业数据而言,在攻击的早期阶段,低级数据可能是勒索组织的目标。但最终,这些勒索组织希望窃取更敏感的数据,从而影响他们的目标企业。
Wiki Job.com联合创始人爱德华·梅莱特(Edward Mellett)透露,黑客经常冒充求职者,希望人力资源人员打开来自未知发件人的电子邮件和附件,从而使勒索软件得以传播。然后,攻击者可以访问详细的就业信息和工资信息。
其他目标数据还包括并购计划、源代码、知识产权和商业秘密。威胁行为者可能不是专门针对某一类型的数据,但如果让其(数据)处于脆弱状态,他们会伺机窃取数据。
虽然实施电子邮件提供商提供的安全措施很重要,但在传统安全手段之外,企业还应考虑其他安全策略,后续将在本报告中进一步讲一讲这些策略。
随着勒索组织改变其攻击技术策略,电子邮件是一个经常被忽视的环境,可能会给公司的系统和数据带来巨大风险。凤凰城大学网络安全项目的首席教授斯蒂芬妮·贝努特·库尔茨(Stephanie Benoit Kurtz)如是说。
采用策略克服不断演变的勒索软件威胁
为了克服不断变化的防守战术,攻击者总是会寻找新的途径来展示自己的犯罪能力。例如,面向电话的攻击传递(TOAD),攻击者会调用使用中的电话,在通话中会回答并指导受害者手动下载恶意内容,从而使勒索软件感染计算机。
随着安全挑战的不断变化,组织永远要看到竞争环境对自己不利的一面,加强网络安全策略,从而就有可能阻止勒索软件团伙。
一是,企业可采用分层防御策略。安全专家指出,默认的电子邮件安全解决方案往往会忽略大部分威胁,或者缺乏必要的防御层,或者可用的策略没有有效地集成以最佳地保护用户。
凤凰城大学的Benoit Kurtz评论道:在一些圈子里,有一种误解,认为默认情况下,电子邮件系统具有保护环境所需的配置和安全性。内部和云电子邮件提供商往往会使这种误解永久化。
她建议:强大的电子邮件安全需要分层防御策略,包括双因素认证、邮件安全网关等安全策略。这种方法可以降低勒索软件与网络钓鱼攻击相关的风险。
然而,这一风险没有灵丹妙药,由于越来越复杂的攻击方法和自动化,商业电子邮件妥协(BEC)攻击呈指数级增长。而创建分层防御策略不仅仅能扫描、阻止和识别发送消息的不良行为者,也能对保护业务系统和企业数据有很大帮助。
二是,针对风险用户实施电子邮件风险的隔离培训,或隔离被点击的电子邮件中的URL。此外,再如自动修复传递后恶意消息,禁止滥用邮箱自动化,以及通过DLP等技术加密电子邮件,增强数据保护。
三是,针对员工的安全意识培训,以及访问权限控制。Verizon 2022年数据泄露调查报告,2022年数据泄露事件中82%的违规行为涉及人为因素。从实习生到首席执行官,每个人都是威胁行为者寻求部署勒索软件的主要目标。
现代勒索软件威胁行为者的目标是强制加密企业网络中的所有设备,要执行这种恶意操作,威胁行为者需要特权凭证,这使管理员成为明显的目标。然而,这并不止于此,因为网络犯罪分子将利用企业环境中最小的立足点进行侦察、横向移动和升级特权,直到他们能够接管整个企业网络。
因此,除了加强安全技术防御,对人的安全意识培训、访问权限管控也很重要,要确保企业员工通过教育、培训,对网络安全保护所面临的风险保持警惕。同时,当企业允许员工在个人设备上或远程办公(BYOD)访问公司电子邮件时,也应采用相应的安全措施,确保网络邮件应用程序使用双因素登录并使用加密、为员工创建一个安全的数字办公空间等。
例如,在数影空间,企业员工可随时随地安全上网、安全访问企业内网应用。而且,数影自动对网站进行分类,并强制在地址栏提示给员工,有效帮助识别钓鱼网站,防止员工点击网络钓鱼网站、钓鱼邮件。
大多数威胁行为者的动机都是经济奖励,因此保护数据和确保员工受到安全教育永远不应该成为争论的焦点。Jack Henry&Associates的Yonessy Núñez 早些时候建议,组织应该关注行为,而不是安全产品,以加强对不断演变的威胁的防御。
最后,需要注意的是,以人为中心的勒索软件方法可能不是典型的,但考虑到风险,这是必要的。虽然端点和其他技术可以帮助在勒索软件激活后停止,但在攻击开始之前防御、阻止攻击总是更容易的。