近日,有媒體公開報(bào)道稱�,知名互聯(lián)網(wǎng)公司搜狐全體員工在5月18日早晨收到一封來自公司內(nèi)部名為《5月份員工工資補(bǔ)助通知》的郵件,部分員工按照附件要求掃碼���,并填寫了銀行賬號(hào)等信息���,最終不但沒有等到所謂的補(bǔ)助����,工資卡內(nèi)的余額也被劃走。
對(duì)此,搜狐公司董事局主席兼CEO張朝陽在個(gè)人微博上回應(yīng)稱�����,該事件系某員工郵箱賬號(hào)被竊取所致���,且沒有想象中那么嚴(yán)重。事發(fā)后技術(shù)部門第一時(shí)間介入了該事件并開展了應(yīng)急響應(yīng)動(dòng)作�,現(xiàn)金損失在5萬元以內(nèi)。
“這是一起典型的釣魚郵件攻擊事件����。”奇安信行業(yè)安全研究中心主任裴智勇就該事件表示����,它再次為政企機(jī)構(gòu)郵件安全敲響了警鐘���。政企機(jī)構(gòu)需要經(jīng)常對(duì)員工安全意識(shí)教育,進(jìn)行有關(guān)郵件安全的實(shí)戰(zhàn)攻防演習(xí)�。同時(shí)�����,企業(yè)郵箱系統(tǒng)需要開啟強(qiáng)制弱口令檢測(cè),強(qiáng)制定期改密碼,以最大限度的減輕郵箱盜號(hào)風(fēng)險(xiǎn)�。
約6000域名被用于攻擊 “工資補(bǔ)貼”僅為冰山一角
事實(shí)上��,這只是郵件釣魚威脅的冰山一角�。根據(jù)奇安信威脅情報(bào)中心的持續(xù)跟蹤�����,推測(cè)該釣魚活動(dòng)可能于2021年12月底左右開始���。自活動(dòng)開始以來����,約有6000個(gè)域名被用于攻擊中�。目前該釣魚活動(dòng)還在持續(xù)進(jìn)行中�����,攻擊者仍在不斷更新升級(jí)系統(tǒng)�����,更新基礎(chǔ)設(shè)施。今年2月份�,上海某互聯(lián)網(wǎng)公司也曾流傳出“詐騙郵件”的截圖。知情人士向記者透露�,該郵件通過群發(fā)形式傳播到全體員工,多位員工受騙��,總計(jì)受騙金額數(shù)萬元����,雖然受騙員工數(shù)量不是很多���,但是傳播范圍很廣。
據(jù)奇安信聯(lián)合Coremail發(fā)布的《2020中國企業(yè)郵箱安全性研究報(bào)告》顯示��,2020年���,全國企業(yè)郵箱用戶共收到各類釣魚郵件約460.9億封�,同比增長(zhǎng)達(dá)33.9%。與釣魚郵件數(shù)量同時(shí)增長(zhǎng)的還包括帶毒郵件(即郵件附件含有病毒等惡意軟件)���,數(shù)據(jù)顯示��,2020年����,全國企業(yè)級(jí)用戶共收到約492.1億封帶毒郵件���,同比增長(zhǎng)了16.0%。
面對(duì)猖獗威脅 部署郵件安全���、零信任策略勢(shì)在必行
“面對(duì)日益猖獗的郵件威脅����,政企機(jī)構(gòu)應(yīng)部署郵件安全系統(tǒng)?�!迸嶂怯聫?qiáng)調(diào)�����,針對(duì)大型企事業(yè)單位在郵件使用場(chǎng)景中可能遇到的高危安全隱患,奇安信集團(tuán)通過多年來深耕網(wǎng)絡(luò)安全領(lǐng)域的優(yōu)勢(shì)經(jīng)驗(yàn)�,結(jié)合海量數(shù)據(jù)研發(fā)出“奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)”�,為企業(yè)定制相應(yīng)的檢測(cè)及處置應(yīng)對(duì)解決方案。
據(jù)奇安信郵件安全專家介紹,要想避免此類事件再次發(fā)生�����,企業(yè)要具備對(duì)惡意釣魚郵件實(shí)時(shí)檢測(cè)和告警的能力,及時(shí)捕獲惡意釣魚行為����,攔截郵件系統(tǒng)中的病毒郵件,可有效避免或減少損失�����。
圖:奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)
針對(duì)惡意郵件檢測(cè)��,奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)具有“更高級(jí)”的能力����。首先,奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)基于郵件行為檢測(cè)模型��、機(jī)器學(xué)習(xí)模型�����,能精準(zhǔn)發(fā)現(xiàn)各種類型的釣魚鏈接����,諸如福利補(bǔ)貼、調(diào)查表填寫���、系統(tǒng)升級(jí)��、銀行通知���、賬戶驗(yàn)證等等。其次�,奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)集成多種病毒檢測(cè)引擎�����,結(jié)合威脅情報(bào)以及URL信譽(yù)庫���,可以對(duì)郵件的鏈接地址進(jìn)行靜態(tài)判定���,并對(duì)郵件附件進(jìn)行動(dòng)態(tài)沙箱檢測(cè)判定,高效識(shí)別郵件的惡意鏈接、惡意附件�。值得一提的是���,機(jī)器學(xué)習(xí)引擎基于云端數(shù)據(jù)可進(jìn)行自主訓(xùn)練���,通過自適應(yīng)學(xué)習(xí)引擎����、綜合檢測(cè)引擎及URL增強(qiáng)判定引擎進(jìn)行綜合檢測(cè)�,在不同的企業(yè)環(huán)境下自適應(yīng)學(xué)習(xí)并準(zhǔn)確高效地檢出釣魚URL。
此外���,奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)還會(huì)通過海量數(shù)據(jù)建模、多維場(chǎng)景化對(duì)郵件內(nèi)容進(jìn)行關(guān)聯(lián)分析��,實(shí)現(xiàn)對(duì)未知的高級(jí)威脅進(jìn)行及時(shí)偵測(cè)。
基于海量郵件數(shù)據(jù)���,“奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)”還可深挖企業(yè)郵件潛在威脅與線索����,包括收發(fā)件異常、暴力破解、單個(gè)IP登陸多個(gè)郵箱�����、異地登陸等異常場(chǎng)景�,并可根據(jù)企業(yè)需求自定義異常場(chǎng)景的檢測(cè)條件���。并通過內(nèi)置龐大的垃圾郵件樣本庫���,使用先進(jìn)的智能算法,有效過濾各種垃圾郵件���。
除了具備對(duì)惡意郵件進(jìn)行檢測(cè)的能力之外����,“奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)”在事后溯源階段也能發(fā)揮作用����。該系統(tǒng)支持郵件數(shù)據(jù)快速檢索����,能在第一時(shí)間統(tǒng)計(jì)出“惡意郵件都發(fā)給了誰”�����,幫助企業(yè)快速定位受害者��,縮小釣魚郵件影響面��,降低所造成的損失�。
分析人士稱,郵件攻擊是針對(duì)企業(yè)最簡(jiǎn)單�,但也最有效、最具迷惑性的攻擊方法���,并已經(jīng)成為歷屆實(shí)戰(zhàn)攻防演習(xí)攻擊隊(duì)���、民間黑客乃至APT團(tuán)伙實(shí)施網(wǎng)絡(luò)入侵的首選方法之一。奇安信安全專家還建議�����,除了部署郵件安全系統(tǒng)之外,企業(yè)應(yīng)采用零信任策略對(duì)現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)進(jìn)行升級(jí)�����。首先�����,收縮網(wǎng)絡(luò)暴露面���,確保只有經(jīng)過強(qiáng)身份驗(yàn)證的合法用戶、可信設(shè)備才能訪問企業(yè)應(yīng)用和數(shù)據(jù);另外��,零信任強(qiáng)調(diào)持續(xù)驗(yàn)證���,持續(xù)構(gòu)建零信任數(shù)據(jù)動(dòng)態(tài)授權(quán)體系;同時(shí)����,要加強(qiáng)員工的安全教育與培訓(xùn)�。企業(yè)要針對(duì)性地幫助員工提升安全意識(shí),進(jìn)行各類實(shí)戰(zhàn)攻防演習(xí)等安全活動(dòng)����,降低由于員工缺乏意識(shí)或無意之間的意識(shí)弱化導(dǎo)致的安全風(fēng)險(xiǎn)�����。
來源:通信產(chǎn)業(yè)網(wǎng)