网络钓鱼威胁已是企业组织常年关注的安全议题,除了每天从不间断的各种事故发生之外,目前情况究竟有多严重?我们该如何防范?
去年12月8日,美国网络安全暨基础设施安全局(CISA)公布的网络钓鱼资讯图表(Phishing-infographic)提供了一些答案。这其中提到网络钓鱼是一种社交工程的手法,普遍冒充值得信赖的同事与组织,企图引诱受害者上当,而且可利用的渠道很多,包含电子邮件、通信软件或SMS短信,以及电话。特别的是,特别的是,该份报告提供防御指引,也呈现组织员工面临网络钓鱼模拟攻击反应。
根据这份报告的内容显示,每10个接受CISA模拟网络钓鱼测试的人中,就有1人点击连接,或是下载附件,而且,每10家企业组织就有8间至少1人沦为模拟网络钓鱼测试的受害者。此外,CISA也指出,有70%的恶意程序或恶意连接未被网络边界防护服务阻挡,有15%的恶意程序未被端点防护产品阻挡,有84%的员工在收到恶意邮件的前10分钟内,就迳自回复敏感资讯或是点击连接与附件,并且只有13%的目标锁定员工回应自己遭遇网络钓鱼事件。
从上述公布的比例来看,虽然CISA并未公布相关细节与防护概况,但企业在执行相关教育训练时,可以让员工更了解两件事:边界防护与端点防护虽然能帮助过滤大部分的威胁,但仍有小部分不被阻挡,尤其是边界防护竟只阻挡了3成,这或许已经打破了一般的既定印象。
因此用户本身这道防线,其防护意识也相当重要;再者,员工回应网络钓鱼事件的比例相当低,需要多创建这方面的观念。
除了披露网络钓鱼模拟测试统计数据,CISA还特别提供了面对网络钓鱼的完整建议与行动,其中归纳为4大面向,并综合整理出多项安全建议措施。
首先,以阻挡诱饵(Block the Bait)而言,有3项措施,包括:普遍熟知的基本网络边界安全防护强化,验证电子邮件合法性采用SPF、DKIM与DMARC,以及将封锁清单或网络威胁情报等资讯导入防火墙规则,以阻挡已知恶意域名、URL与IP地址,
第二,以不被诱骗(Don’t take the bait)而言,有两大重点,一是增进员工对于钓鱼邮件的识别能力,另一是要让员工知道在所有通信平台都应保持警惕。值得留意的是,后者的预防措施以往较少针对员工宣导,但攻击者锁定企业员工已不只是通过邮件进行攻击,利用不同渠道的网络钓鱼越来越多。
第三,以回应网络钓鱼事件(Report the hook)而言,这部分特别重要,毕竟前述调查提到收到网络钓鱼信的员工只有13%回应。对此,CISA建议采取的行动,包括:教育员工接收到网络钓鱼邮件时的处置方式,不论他们是否上当,其中有两个要点,首先是将该邮件回应给公司的安全团队,并且不要将恶意邮件转发给公司内其他人,另一方面,组织应变人员要能确认事件与防范入侵范围扩大。
(图片来源:美国网络安全暨基础设施安全局CISA-Phishing-infographic)
最后,以保护整体范围(Protect the waters)而言,面向相当广,包括:遵循最小权限,审查并减少可访问关键资料与设备的账号数量,对密码共享与重复使用做出限制,防止权限提升、取消用户不必要的高权限,以及报名免费CISA服务进行网络钓鱼演练的评估。同时,还有几项通用的防护机制,例如,做好安全更新、增加端点与EDR防护,以及实施软件限制政策。
特别的是,在此其中还提到一项关键措施,那就是导入可抗网络钓鱼的多因素身份验证(Phishing-Resistant MFA)。
什么是抗网络钓鱼MFA?CISA在2022年10月底发布的导入指引曾介绍这类型的做法,其中对于各种MFA在应对网络钓鱼威胁也有清楚说明。这份文件的主要目的,是让企业组织能了解不同MFA的强弱,并且向更强健的MFA迈进,最佳结果就是导入抗网络钓鱼MFA(如FIDO/WebAuthn验证、基于PKI的方式)。
值得一提的是,在此资讯图表上,所列出的一些实践措施大多附上可参考的资源,主要对应到CISA另一份简称为CPG(Cross-Sector Cybersecurity Performance Goals)的安全指引,这份文件可视为比NIST网络安全框架(CSF)更容易上手的指南,主要适用于规模较小与资源较少的组织,并鼓励这些中小企业组织都能实施最低安全基准。例如,在教育员工收到网络钓鱼邮件时的处置上,对应的是CPG 4.3,也就是治理与教育训练中的基本网络安全训练,范围是全体员工与合约商;而组织应变人员收到员工通报网络钓鱼邮件的处置,对应的是CPG 7.1、7.2,也就是回应与恢复的安全事件应变(IR)的报告与计划。
整体而言,CISA通过简易呈现的资讯图表内容,不仅利于美国国内推广安全,也能作为其他国家企业组织在防范网络钓鱼攻击的参考。
(图片来源:美国CISA-Phishing-infographic)
●每10家企业组织就有8间有至少一人,在CISA模拟网络钓鱼测试中成为受害者
●每10个接受CISA模拟网络钓鱼测试的人,就有1人点击恶意连接或下载恶意附件
(图片来源:美国CISA-Phishing-infographic)
●有70%的恶意程序或恶意连接未被网络边界防护服务阻挡
●有15%的恶意程序未被端点防护产品阻挡
●有84%的员工在收到恶意邮件的前10分钟内,回复了敏感资讯或是点击连接与附件
●仅有13%的网络钓鱼目标员工回应了网络钓鱼事件,这限制了企业组织回应事件或提醒他人注意威胁
美国CISA在2022年10月底曾发布“抗网络钓鱼多因素验证”(Phishing-Resistant MFA)导入指引,其中说明了不同MFA的安全强度,鼓励组织朝向导入抗网络钓鱼MFA迈进,也就是采用FIDO/WebAuthn验证,以及基于PKI的方式,至于还无法导入的中小企业,则建议先采用安全强度较次的三种MFA,包括App推送OTP验证码、App推送数字配对通知,以及基于Token的OTP。至于短信或语音形式的MFA,则应视为织过渡到实施更强式的MFA的临时方案。