BEC 战场: 为什么“零信任”和员工培训 是您的最佳防线?
--Robert Haist, TeamViewer 首席信息安全官
商业电子邮件破坏(BEC)攻击事件,即网络犯罪分子未经授权访问机密信息或诱骗受害者转移资金的骗局发生数量正在急剧上升。事实上,根据 Abnormal Security 的一份报告,BEC 攻击在 2022 年增加了 81% 以上,在过去两年中增加了 175%。这一趋势是由向混合办公和远程办公的转变,以及随之而来的员工习惯和安全环境的变化引发的。例如,工作中使用个人设备次数的增多造成了安全漏洞,因为这些设备往往缺乏针对公司配发设备的保护协议。此外,对分散在各地的员工进行管理,使 IT 团队更难保持网络的可视性和对数据访问的控制。这两点都为 BEC 攻击者提供了机会,他们可以利用个人设备上的漏洞或诱骗员工授予未经授权的系统访问权限来盗取信息。
这些攻击所带来的后果可能是毁灭性的,其不仅会造成经济损失,还会使声誉受损,以及造成业务中断。事实上,一次成功的 BEC 攻击,其平均成本估计超过 125,000 美元。此类骗局主要是利用了人类的弱点,而传统的预防策略仅仅侧重于过滤电子邮件,并不足以保证公司的安全。打击 BEC 的关键在于构建起安全意识文化,并将零信任作为全面安全模式的核心要点。
赋予员工权力:你的第一道防线
安全意识培训使员工能够积极参与打击网络钓鱼攻击,包括 BEC 诈骗。
网络钓鱼电子邮件日益复杂,其利用社交工程学策略,不仅能绕过最善意的过滤器,还能从最警觉的员工身边悄然通过。攻击者利用从社交媒体或以往数据泄露事件中收集到的信息,通常会参考内部信息和过去的对话,以此使他们所冒充的真人(如高管、同事或供应商等)可信度更高。这种信任感加上攻击者营造的虚假紧迫感,很容易诱使未经培训的员工泄露敏感信息或授权欺诈性付款。
传统的培训只是提醒员工对网络钓鱼邮件加以注意,这已然不足以防止攻击得逞。现代的安全意识计划必须充满活力且引人入胜。其应模拟真实世界的场景,教员工如何识别电子邮件中的危险信号,使他们掌握识别社会工程学策略的技能。例如,让员工具备识别欺骗性发件人地址和语法错误等蛛丝马迹的能力。培训员工对意外请求持怀疑态度,尤其是涉及金融交易或更改账户信息的请求。应鼓励员工通过既定渠道独立核实信息。例如,拨打已知的电话号码或通过不同的通信方式联系发件人,以确认请求的合法性。这些计划应持续进行,而非一次性的行为,从而确保员工对可疑通信始终保持警惕和怀疑。
零信任:安全远程环境的核心
即使对员工进行了高水平的培训,某些 BEC 诈骗仍会突破人为障碍。这就需要全面的安全流程来限制其可能造成的损害。零信任——一种假定网络内外任何人都不具备固有信任的安全模式,应当成为核心所在。零信任模式意味着每个用户和设备,无论其所在位置或被感知的信任级别如何,在访问任何资源之前都必须经过持续的身份验证。如此一来,极大地提高了攻击者的难度,因为即使他们设法破坏了单个登录凭证,也无法自动访问整个系统。
零信任的一个关键组成部分是多因素身份验证(MFA),其就像每一个接入点上设置的多把锁。如同物理安全系统需要多种形式的身份验证一样,多因素身份验证不仅需要用户名和密码,还需要额外的验证因素,例如手机应用程序代码或指纹扫描等。这就大大增加了未经授权进入(包括通过 BEC 诈骗)的难度。因此,任何 IT 基础设施的实施都必须以零信任和 MFA 为核心要点。
零信任的补充原则是最低权限访问原则,即仅授予用户完成其工作所需的最低权限。试想一下,分配的钥匙只能打开城堡内的特定区域,而不是整个大殿。这将最大限度地减少凭证泄露造成的损失,因为攻击者只能访问分配给特定用户的数据和资源。
除了这些策略外,公司还应该利用持续监控和基于风险的访问决策,就像在堡垒大厅巡逻的卫兵一样。安全团队可以利用先进的分析技术监控用户活动,进而识别出可能显示可疑行为的异常情况。此外,零信任允许实施基于风险的访问控制。譬如,从未被认可的位置访问可能会触发更强的身份验证挑战,或在授予访问权限前需要额外的审批。
最后,安全团队可以利用网络分割来遏制威胁,这包括将网络划分为较小的区域。这就意味着,即使攻击者设法攻破了其中一个部分,他们的行动也将受到限制,从而无法入侵整个网络。想象一下,堡垒有不同功能的独立隔间,如军械库、金库和生活区等。如果攻击者攻破外墙进入庭院,他们仍然无法接触到里面存放的贵重物品。
多层面方法是 BEC 防御的关键
若要对 BEC 攻击建立强大的防御,就需要采取多层次的方法。利用零信任的全面安全策略是必须的。但是,这些策略无法单独完成所有繁重的工作。企业还必须让员工有能力做出正确决定的能力。开展结合实际场景的持续安全意识培训,教导员工如何识别和报告可疑活动。只有在这两方面均落实行动,企业才能阻止 BEC 诈骗的上升趋势。
原文链接
