企业如何保护自己免受无负载社会工程威胁

时间:2020-05-09 11:15:28来源:
导读 但是新一代的无负载攻击开始出现。企业如何保护自己免受这些威胁?我们与电子邮件安全专家Abnormal Security的首席执行官兼联合创始人Evan

但是新一代的无负载攻击开始出现。企业如何保护自己免受这些威胁?我们与电子邮件安全专家Abnormal Security的首席执行官兼联合创始人Evan Reiser进行了交谈, 以找出答案。

BN:您在野外看到的是哪种新型的现代社会工程攻击,为什么它们逃避了大多数安全团队?

ER:多年来,电子邮件一直是网络攻击的主要攻击媒介。作为响应,组织已在电子邮件安全解决方案上投入了大量资金。然而,尽管人们的意识有所提高,但企业电子邮件泄露(BEC)损失仍在继续增长。联邦调查局(FBI)的互联网投诉中心(IC3)说,BEC骗局已造成260亿美元的损失。

当今的威胁行为者正在制造越来越复杂的BEC攻击,这些攻击依赖于社会工程学,并且缺乏触发检测的常见威胁信号。这些攻击没有带有恶意软件的附件。它们也不包含导致恶意网站的URL。电子邮件的内容通常很简单,并且针对每个目标定制攻击。这些BEC攻击的无负载性质避免了传统电子邮件安全解决方案的检测。

异常安全研究小组发现,这类无负载攻击的情况正在增加。通过对我们威胁中心的调查,该团队发现69%的无有效载荷攻击会冒充接收者认识的人;而无负载攻击的不安全攻击比其他类型攻击的不安全攻击要高17倍。最近几周,该团队发现与COVID-19相关的攻击数量迅速增加。

BN:为什么认为无负载攻击比传统的网络钓鱼攻击具有更大的威胁?

急诊:BEC攻击通常只占整个电子邮件攻击媒介的一小部分。我们发现,在客户所面临的所有攻击中,只有5%的无负载。但是,尽管与基于有效负载的垃圾邮件和恶意软件活动相比,这只是一小部分,但是BEC攻击几乎总是手工制作的,并包含了社会工程学的重要元素。因此,它们不成比例地代表了最大的财务风险。

BN:无负载攻击的典型特征是什么?

ER:最复杂的BEC攻击分为几类。例如,冒充行政人员是威胁行为者最容易执行的攻击之一。这些类型的电子邮件可能来自可靠的已知电子邮件服务,例如Gmail。由于使用这些服务与个人通信的广泛使用和一般业务需求,因此无法简单地阻止来自那些发送域的电子邮件。

供应商和员工危害攻击都使用了会话黑客技术,这两种方法都很难识别。随着供应商的妥协,电子邮件来自受信任的关系,并且攻击者可能会回复现有的电子邮件线程,从而显得更加可信。而且由于员工的妥协,不仅电子邮件来自受信任的员工,而且内部到内部(即域内邮件流)通常不会被传统的电子邮件安全解决方案扫描。

凭据网络钓鱼尝试是诸如Microsoft,Amazon,FedEx,Google等已知品牌的假冒尝试。尽管某些电子邮件安全解决方案可能会检测到这些攻击(高熵URL,以前视为威胁情报源一部分的URL等)。这些攻击很难可靠地捕获。凭据网络钓鱼站点通常不包含恶意软件,从而使典型的沙盒方法无效。

毫不奇怪,在过去的几周中,研究团队发现,大多数电子邮件攻击都具有与COVID-19相关的元素。2020年2月,研究小组研究了无负载攻击的最常见特征,以及与威胁行为者使用频率有关的统计数据。当时,他们发现:

65%的参与度(威胁演员询问“你在吗?”之类的东西)

18%的比特币勒索

10%的礼品卡欺诈

7%欺诈性工资更新

2020年4月,团队发现与COVID-19相关的攻击增加了90%。它发现大多数攻击是由COVID-19垃圾邮件驱动的,该垃圾邮件增加了150%。攻击包括 COVID-19疫苗捐赠骗局,WHO捐赠骗局,COVID-19药物骗局,刺激支付攻击以及因失业而感到担忧的Zoom恶意软件攻击。

BN:安全团队可以采取哪些步骤来确保他们不会检测不到无负载攻击?

急诊:为了防止受到现代社会工程学的攻击,当今的安全团队需要分析更广泛的数据集,以便更好地了解通信环境。例如:

对内部和外部(合作伙伴,供应商,客户)实体执行身份建模,并分析更多数据源作为该建模的一部分。

创建关系图不仅要了解每个连接的强度和通信的频率,还要了解通信的内容和基调。

使用计算机视觉技术,自然语言处理,深度URL分析和威胁情报等技术执行电子邮件内容分析。

这些技术将提供自动化的见解,供分析人员查看。攻击日益复杂,这意味着安全团队需要采用更复杂的保护措施。利用能够更好地了解通信环境的技术是最好的起点。

最新文章