机器学习+编码,检测并报警妄图从员工处套取口令的尝试。
美国加州大学伯克利分校和劳伦斯伯克利国家实验室的安全研究人员,想出了企业环境中缓解鱼叉式网络钓鱼风险的办法。
来自这两个机构的几位研究员,在 Usenix 2017 上发表了论文《企业环境中检测凭证鱼叉式网络钓鱼》。论文描述了利用网络流量日志和机器学习的一套系统,可以在雇员点击嵌入电子邮件中的可疑URL时,实时触发警报。
鱼叉式网络钓鱼是一种社会工程攻击方法,针对特定个人进行,精心编造电子邮件,诱骗收件人安装恶意文件或访问恶意网站。
此类针对性攻击不像广撒网式的网络钓鱼那么常见,但其破坏力更为巨大。美国人事管理局(OPM)大规模数据泄露事件(2210万人受害),医疗保险提供商Anthem数据泄露事件(8000万病历记录被盗),以及其他引人注目的数据失窃案,均涉及到鱼叉式网络钓鱼。
研究人员将重点放在了凭证窃取上,因为这一攻击相对漏洞利用类攻击要容易得多。如果涉及恶意软件,积极修复和其他安全机制会提供防护,即便目标已经中招。而一旦凭证被找到,就只需诱使目标暴露出数据了。
冒充受信实体,是研究人员重点处理的攻击方式。这种攻击往往涉及冒用电邮名称字段、伪造看起来可信的名称(如helpdesk@example.com),或者从被黑受信账户发送邮件。另一种假冒方式——冒用电子邮件地址,则不在研究人员考虑之列,因为域名密钥识别邮件标准(DKIM)和域名消息验证报告一致性协议(DMARC)之类电子邮件安全机制会处理。
自动化鱼叉式网络钓鱼检测的难点,在于此类攻击比较少见,这也是为什么很多企业仍然依赖用户报告来启动调查的原因所在。研究人员指出,他们的企业数据集包含3.7亿电子邮件——约4年的量,但只有10例已知的鱼叉式网络钓鱼案例。
因此,即便只有0.1%的误报率,都意味着37万次虚假警报——足以瘫痪企业IT部门。而且,鱼叉式网络钓鱼样本的相对稀少性,也使机器学习技术缺少了创建可靠训练模型所需的大量数据。