概述
社會工程學是試圖誘騙他人洩露信息(如密碼)或采取可用于入侵系統或網絡的行動。網絡釣魚是社會工程學的一種形式,在此情境中,惡意行爲者會引誘受害者(通常通過電子郵件)訪問惡意網站或欺騙他們提供登錄憑據。
惡意行爲者主要利用網絡釣魚實現以下目的:
·獲取登錄憑據。惡意行爲者進行網絡釣魚活動,以竊取用于初始網絡訪問的登錄憑據。
·部署惡意軟件。惡意行爲者通常通過網絡釣魚活動部署惡意軟件,以開展後續活動,例如中斷或破壞系統、提升用戶權限以及在受損系統上維持持久性。
近日,網絡安全和基礎設施安全局(CISA)、國家安全局(NSA)、聯邦調查局(FBI)和多國信息共享與分析中心(MS-ISAC)發布了這份聯合指南,概述了惡意行爲者常用的網絡釣魚技術,并爲網絡防禦者和軟件制造商提供了指導。這将有助于減少網絡釣魚攻擊在獲取憑據和部署惡意軟件方面的影響。
該指南爲所有規模的組織提供了網絡防禦建議,但考慮到中小型企業可能沒有足夠的資源雇傭專門的 IT 人員來持續防禦網絡釣魚威脅,因此專爲中小型企業量身定制了一系列建議。
針對軟件制造商的指南側重于安全設計和默認(secure-by-design and -default)策略與技術,建議制造商應該開發和提供能夠抵禦最普遍的網絡釣魚威脅的安全軟件,從而提高客戶的網絡安全态勢。
獲取登錄憑據的網絡釣魚
定義
在用于獲取登錄憑據的網絡釣魚攻擊中,惡意行爲者會冒充可信來源(如同事、熟人或組織)來引誘受害者提供登錄憑據。惡意行爲者可以使用被洩露的憑據(如用戶名和密碼)來訪問企業網絡或受保護資源,例如電子郵件帳戶。
技術示例
爲了獲取登錄憑據,惡意行爲者通常會執行以下操作:
·冒充主管、信任的同事或 IT 人員發送有針對性的電子郵件,欺騙員工提供登錄憑據。
·使用智能手機或平闆電腦以及短信系統(SMS),在 Slack、Teams、Signal、WhatsApp 或 Facebook Messenger 等平台上發送私信,引誘用戶洩露自己的登錄憑據。(注意:在混合環境中運營的組織面對面互動較少,虛拟交流頻繁;因此,這些環境中的用戶更有可能被針對其常用平台量身定制的社會工程技術所欺騙。)
·用互聯網協議語音(VoIP)輕松欺騙來電者身份(ID),此舉濫用了公衆對電話服務(尤其是固定電話)安全性的信任。
多因素身份驗證(MFA)可以減少惡意行爲者使用洩露憑據進行初始訪問的能力。盡管如此,如果啓用了弱形式的 MFA,惡意行爲者仍然可以通過網絡釣魚和其他技術獲得訪問權限。弱 MFA 實現的實例包括以下幾種:
·使用未啓用快速身份在線(FIDO)MFA 或基于公鑰基礎設施(PKI)的 MFA 賬戶。這些形式的 MFA 很容易受到惡意行爲者的影響,因爲他們會利用洩露的合法憑據作爲合法登錄門戶中的用戶進行身份驗證。
·沒有号碼匹配的推送通知 MFA。惡意行爲者可以發送大量的批準或拒絕 " 推送請求 ",直到用戶接受請求爲止。因此,如果沒有啓用号碼匹配功能,惡意行爲者可能會使用受損用戶的憑據進行身份驗證。
·SMS 或語音 MFA。惡意行爲者可以說服手機運營商代表轉移用戶電話号碼的控制權,以接收任何基于短信或呼叫的 MFA 代碼。惡意行爲者還可能通過發送包含惡意網站(模仿公司的合法登錄門戶)鏈接的電子郵件,來欺騙用戶提交他們的用戶名、密碼和 6 位數 MFA 代碼,惡意行爲者随後會接收這些信息,以在合法登錄門戶中冒充用戶進行身份驗證。
基于惡意軟件的網絡釣魚
在基于惡意軟件的網絡釣魚攻擊中,惡意行爲者會利用可信來源(如同事、熟人或組織)引誘受害者與惡意超鏈接進行交互或打開電子郵件附件,以便在主機系統上執行惡意軟件。
爲了在主機系統上執行惡意軟件,惡意行爲者通常會執行以下操作:
·發送惡意超鏈接或附件,導緻用戶下載惡意軟件,爲初始訪問、信息竊取、破壞或中斷系統或服務和 / 或提升賬戶權限提供便利。
(1)惡意行爲者可能會使用免費、公開的工具(如 GoPhish 或 Zphisher)來促進魚叉式網絡釣魚活動,在這些活動中,個人用戶會被特定的、令人信服的誘餌鎖定。
(2)惡意行爲者可能會發送帶有宏腳本的惡意附件或帶有看似無害或混淆鏈接的信息,這些鏈接會下載惡意可執行文件。
·使用智能手機或平闆電腦應用程序發送短信或在協作平台聊天,以引誘用戶與執行惡意軟件的惡意超鏈接或附件進行交互。(注意:用戶很難在這些小型平台上檢測到惡意的 URL,因爲它們使用受約束的用戶界面。)
緩解措施
所有組織适用。以下緩解措施與 CISA 和 NIST 爲組織制定的跨部門網絡安全性能目标(CPG)保持一緻,以幫助緩解組織網絡中面臨的最普遍的網絡威脅。
1. 保護登錄憑證
CISA、NSA、FBI 和 MS-ISAC 建議組織實施以下措施,以降低登錄憑證網絡釣魚成功的可能性。
·實施有關社會工程和網絡釣魚攻擊的用戶培訓。定期教育用戶識别可疑電子郵件和鏈接,不與可疑項目互動,以及報告打開可疑電子郵件、鏈接、附件或其他潛在誘惑的重要性。
·對收到的電子郵件啓用基于域的消息驗證、報告和一緻性(DMARC)。
(1)DMARC 與發件人策略框架(SPF)和域密鑰識别郵件(DKIM)一起,通過檢查已發布的規則來驗證所收電子郵件的發送服務器。如果電子郵件未通過檢查,則會被視爲欺騙性電子郵件地址,郵件系統會将其隔離并報告爲惡意郵件。
(2)可以爲接收 DMARC 報告定義多個收件人。
(3)當啓用拒絕 DMARC 策略時,這些工具會拒絕任何域名被欺騙的傳入電子郵件。
·确保将 DMARC 策略設置爲 " 拒絕 "。這提供了強大的保護,防止其他用戶收到冒充域名的電子郵件。
(1)被欺騙的電子郵件在發送前會被郵件服務器拒絕。
(2)DMARC 報告提供了一種機制,用于通知欺騙域名的所有者,包括明顯僞造者的來源。
(3)啓用 DMARC 策略,以降低網絡威脅行爲者僞造看似來自您組織域的電子郵件的機會。
·實施内部郵件和信息監控。監控内部郵件和信息流量以識别可疑活動是必不可少的,因爲用戶可能會在目标網絡之外或在組織安全團隊不知情的情況下被釣魚。建立正常網絡流量基線,并仔細檢查任何偏差。
·使用免費的安全工具,以防止網絡威脅者将用戶重定向到惡意網站以竊取他們的憑證。
·通過以下方式加固憑證:
(1)實施基于 FIDO 或 PKI 的 MFA。這些形式的 MFA 可抵禦網絡釣魚,并能抵禦前幾節列出的威脅。如果使用基于移動推送通知的 MFA 的組織無法實施防網絡釣魚的 MFA,可使用号碼匹配來緩解 "MFA 倦怠 "。
(2)優先爲管理員和特權用戶賬戶提供抗網絡釣魚的 MFA。
(3)圍繞單點登錄(SSO)計劃實施集中登錄。單點登錄是一種用戶生命周期管理機制,它可以降低用戶被社會網絡誘騙而放棄登錄憑據的幾率,尤其是與 MFA 或抗網絡釣魚 MFA 搭配使用時。SSO 還可爲 IT 專業人員提供審計跟蹤功能,以便在發生可疑或确認的安全漏洞後主動或追溯檢查。
·審查 MFA 鎖定和警報設置,并跟蹤被拒絕的 MFA 登錄。
(1)當出現異常活動或持續的惡意登錄嘗試時,執行賬戶鎖定,以防止惡意行爲者繞過 MFA。
(2)盡量減少不必要的幹擾。這包括優先考慮組織和消費者數據的健康,而非單個員工的短期生産力。重大網絡安全事件不僅會影響許多員工的生産,還會影響資源可用性和潛在客戶或合作夥伴的數據。
(3)識别并修複成功的網絡釣魚嘗試。
(4 ) 及時報告網絡釣魚事件。
(5)制定文檔化的事件響應計劃。
2. 防止惡意軟件執行
CISA、NSA、FBI 和 MS-ISAC 建議組織實施以下措施,以減少網絡釣魚攻擊後成功執行惡意軟件的可能性。
·在電子郵件網關中加入拒絕列表,并啓用防火牆規則,以防止惡意軟件的成功部署。
·使用拒絕列表來阻止已知的惡意域、URL 和 IP 地址以及 .scr、.exe、.pif 和 .cpl 等文件擴展名和錯誤标記的文件擴展名(例如,标記爲 .doc 文件的 .exe 文件)。
·限制 MacOS 和 Windows 用戶擁有管理權限。
·在管理用戶賬戶時執行最小特權原則(PoLP),隻允許指定的管理員賬戶用于管理目的。
·實施應用程序允許列表,這是一種安全控制措施,可根據定義的基線列舉網絡中授權存在的應用程序組件。
·默認情況下阻止宏。
·實施遠程浏覽器隔離(RBI)解決方案,通過在用戶執行時隔離惡意軟件樣本來防止惡意軟件傳播。RBI 解決方案在用戶與惡意鏈接或二進制文件交互時運行隔離惡意軟件的應用程序,以防止其進一步擴散到環境中。在遠程工作站中配置 RBI 解決方案,以便将任何惡意軟件都限制在隔離邊界内,無法訪問組織的資源。
·使用免費安全工具,在用戶執行時識别并阻止惡意軟件。
·建立自助式應用程序商店,客戶可在此安裝經批準的應用程序,并阻止來自其他來源的應用程序和可執行文件。
·實施免費的保護性 DNS 解析器,防止惡意行爲者将用戶重定向到惡意網站以竊取其憑據。
中小型企業(SMB)或組織适用。CISA、NSA、FBI 和 MS-ISAC 建議資源有限的中小型組織優先考慮以下最佳實踐,以保護網絡資源免受流行的網絡釣魚威脅:
·用戶網絡釣魚意識培訓:實施标準的反網絡釣魚培訓計劃,并要求員工每年複習網絡釣魚培訓材料。此外,在計劃結束時進行培訓檢查,以證明員工已掌握培訓計劃中的所有信息。
·識别網絡釣魚漏洞:鼓勵聯邦機構參與 CISA 的網絡釣魚漏洞掃描評估服務。
·啓用 MFA:激活強大的 MFA 是小型企業保護其面向互聯網的企業賬戶免受網絡釣魚相關威脅的最佳方法。
此外,CISA、NSA、FBI 和 MS-ISAC 還建議中小企業實施以下技術解決方案,以防止與網絡釣魚相關的危害:
·實施強密碼策略來驗證用戶身份。這些密碼必須遵守密碼強度政策,其中要求最小字符長度、數字、特殊字符和區分大小寫,并禁止用戶重複使用以前使用過的密碼。
·實施 DNS 過濾或防火牆拒絕列表,阻止已知的惡意網站。
·實施反病毒解決方案,以減少惡意軟件,并在打開惡意超鏈接或電子郵件附件時阻止惡意軟件執行。
·實施文件限制策略,防止下載和執行惡意高風險文件擴展名(如 .exe 或 .scr)。這些類型的文件對于日常操作來說是不必要的,應該在标準業務賬戶中加以嚴格限制。
·确保軟件應用程序設置爲自動更新,以便網絡軟件始終升級到最新版本。這有助于防止惡意行爲者利用企業網絡軟件中的漏洞。
·啓用安全網頁浏覽策略,确保員工隻能訪問日常業務運營所需的網站。這些策略還能防止用戶訪問惡意網站,這些網站通常包含惡意軟件,可以獲取用戶憑據或部署額外的惡意軟件來破壞組織系統。
·在啓用 MFA 的情況實現安全的虛拟專用網絡(VPN)。
·考慮遷移到信譽良好的第三方供應商提供的托管雲電子郵件服務。CISA、NSA 和 MS-ISAC 鼓勵資源有限的小型企業從可信的第三方供應商處尋求托管雲電子郵件服務。
軟件制造商适用。CISA、NSA、FBI 和 MS-ISAC 建議軟件制造商将安全設計和默認原則和策略納入其軟件開發實踐中,以降低客戶遭受網絡釣魚攻擊的可能性。
爲減少網絡釣魚電子郵件成功到達用戶以及用戶與電子郵件互動的情況,建議軟件制造商遵循以下策略:
·對電子郵件軟件進行現場測試。實現威脅建模,針對各種部署情況測試電子郵件軟件,同時考慮到從小型到大型組織的用例,并根據測試結果爲軟件配置安全默認值。
·提供默認已啓用 DMARC 的電子郵件軟件。
·提供帶有默認 " 拒絕 "DMARC 配置的電子郵件軟件。
·提供默認已啓用内部郵件和信息監控機制的電子郵件産品。鼓勵電子郵件軟件制造商在默認情況下包括自動電子郵件流量監控機制,以自動掃描電子郵件流量,檢查電子郵件中是否存在惡意附件或 URL。
·對特權用戶強制執行 MFA。通常,惡意行爲者會将其滲透技術集中在管理員賬戶上。管理員賬戶擁有更高的權限,默認情況下,應該受到強大的 MFA 保護。
·通過現代開放标準爲應用程序實施 SSO。例如,安全斷言标記語言(SAML)或 OpenID Connect(OIDC)。
·在電子郵件軟件産品中使用非安全配置時,考慮爲客戶實施安全通知。例如,如果管理員沒有注冊 MFA,可反複發送安全通知,警告組織當前的安全風險,以便他們知道如何降低風險。
爲了減少網絡釣魚攻擊後惡意軟件的成功執行,可以遵循以下建議:
·确保默認情況下電子郵件軟件中包含網絡釣魚過濾和阻止機制,以防止惡意軟件成功部署。
·提供默認具有有限管理權限的電子郵件軟件。隻允許指定的管理員賬戶用于管理目的。
·提供默認帶有應用程序允許列表的電子郵件軟件。
·提供自助式應用程序商店,客戶可在其中安裝經批準的應用程序。阻止來自外部、未經批準的、組織政策不允許的應用程序和可執行文件。
·在電子郵件産品中加入默認阻止宏的機制。
·默認包含 RBI 解決方案。
事件響應
如果組織從網絡釣魚活動中發現了洩露的憑據和 / 或成功的惡意軟件,則可以通過以下方式進行補救:
1. 重新配置可疑或已确認受損的用戶賬戶,以防止惡意行爲者保持對環境的持續訪問。
2. 在确認網絡釣魚事件後審計賬戶訪問,以确保惡意行爲者不再能夠訪問最初受影響的賬戶。
3. 在檢測到網絡釣魚攻擊後隔離受影響的工作站。這有助于阻止已執行的惡意軟件進一步擴散到組織的網絡中。
4. 分析惡意軟件。隔離受影響的工作站後,請專門從事惡意軟件分析的團隊對惡意軟件進行分析。
5. 清除惡意軟件。從網絡中清除惡意軟件,使組織網絡中的其他工作站不再受到已執行惡意軟件的負面影響。
6. 恢複系統正常運行,并确認其功能正常。這一階段的主要挑戰是确認修複是否成功、重建系統、重新連接網絡以及糾正錯誤配置。
最後,CISA、NSA、FBI 和 MS-ISAC 鼓勵組織使用内置在 Microsoft Outlook 和其他雲電子郵件平台中的報告功能,以及直接向 Microsoft、Apple 和谷歌報告垃圾郵件。報告可疑的網絡釣魚活動是保護組織最有效的方法之一,因爲它可以幫助電子郵件服務提供商識别新的或潛在的網絡釣魚攻擊。
