网络钓鱼尝试通常就像在桶里钓鱼一样——只要有足够的时间,网络攻击者完全有可能钓到受害者。一旦他们认识到一些受害者在网络安全方面一直比较脆弱,就会继续以他们为目标,这样的网络钓鱼就会一直持续下去。
咨询机构Strategic Security Solutions Consulting公司的首席执行官兼创始人Johanna Baum说:“网络攻击者的动机和资金都非常充足,他们的唯一目的就是成功地吸引受害者。然而对于企业来说,其重要的任务是保护所有潜在受害者。”
忽视或错误判断IT安全将会显著增加网络攻击的可能性。但是,即使遵循的是一种全新的协议,为员工提供了安全培训,反复提醒员工核实可疑的信息,并了解最新的恶意活动,企业在网络安全防范方面仍然是被动或是脆弱的。
以下是企业的反网络钓鱼策略不起作用的6个原因:
1、网络钓鱼攻击正变得越来越复杂和具有迷惑性
Protiviti公司负责网络攻击和渗透测试的总经理兼全球实践负责人Krissy Safi表示,网络犯罪分子正在不断开发新战术,诱使人们泄露敏感信息,因此,网络钓鱼攻击变得越来越复杂。
Safi说,“许多反网络钓鱼解决方案使用静态规则来检测网络钓鱼攻击,网络攻击者可以使用更先进的技术轻松绕过这些规则。此外,随着ChatGPT的引入,逻辑完美并且语法流利的钓鱼电子邮件将会激增,从而使识别网络罪犯发送的钓鱼电子邮件变得更加困难。”
ChatGPT和开源版本可供网络攻击者使用,成为他们盗取数据的灵丹妙药——人工智能技术可以实时了解哪些有效,哪些无效,增加了网络攻击者找到目标的几率。
即使没有使用聊天机器人,网络攻击者也越来越熟练——以2022年云计算通信服务商Twilio公司遭遇的网络攻击为例。在这种情况下,网络攻击者能够使用公开的数据库匹配员工姓名和电话号码。Twilio公司在一份事件报告中说,“社交工程攻击成功地愚弄了一些员工,让他们提供了登陆凭证。然后,网络攻击者使用被盗的登陆凭证进入我们的一些内部系统,在那里他们能够访问和窃取我们的一些客户数据。”
2、把所有的鸡蛋都放在技术的篮子里
许多企业都试图仅靠技术来解决网络钓鱼问题。Thales集团美洲区的首席信息安全官 Eric Liebowitz表示,这些企业正在购买最新的工具来检测可疑电子邮件,并为员工提供阻止这些可疑电子邮件的方法。Thales集团是一家总部位于巴黎的开发商,为航空航天、交通、国防和安全行业开发设备和技术。
他说,尽管这样做很好,但网络攻击者总是会变得更老练。
Liebowitz说:“我认为有很多企业没有重视员工的网络安全培训。他们可能拥有最好的工具,但如果没有对员工进行安全培训,那么也可能会发生糟糕的事情。”
Avanade公司北美安全主管Justin Haney表示,虽然一些企业已经部署了正确的工具,并有适当的工作流程来打击网络钓鱼活动,但他们还没有充分主动地配置这些工具。
他说,“例如,一些工具可能会标记和检测到恶意电子邮件,但不会自动阻止,企业应该部署特定的策略来应对已经识别出的潜在网络钓鱼活动,而不是由分析师人工地完成工作。”
3、没有采取全面和深入的防御策略
一些反网络钓鱼策略失败的企业没有采取全面和深入的防御策略。Haney说,“他们可能专注于特定的技术,例如电子邮件反钓鱼、多因素认证、数据加密、端点/移动安全,而没有关注其他降低风险的技术,例如检测泄露的身份。”
Lexmark公司的首席信息技术官Bryan Willett表示,如果不实施全面和深入的防御策略,而仅仅依靠反网络钓鱼程序,那么只需要一次成功的攻击就能摧毁整个系统。信任基于电子邮件的防御方法或严重依赖用户的安全培训本身就有缺陷,因为人们容易犯错误,而网络攻击者只需要利用其中的一个错误就能成功进行攻击。
Willett表示,防御网络钓鱼攻击的最佳方法是通过分层防御方法。这包括在每个工作站上都有良好的端点检测和响应(EDR)系统,强大的漏洞管理程序,为每个用户和管理帐户启用多因素身份验证,以及在LAN/WAN上实现分割以限制受感染系统的传播。
Willett补充说,“通过采取这些预防措施并实施多层防御,企业可以最好地防止网络钓鱼攻击。我们必须假设网络攻击者会在某一时刻成功攻击。因此,我们需要考虑到这一假设,采用全面和多层次的防御方法。”
4、未能培训员工识别网络钓鱼企图
位于纽约的曼哈顿维尔学院的首席信息官Jim Russel表示,虽然告知员工不要点击未知发件人电子邮件中的链接或打开附件很重要,但企业还必须培训员工如何识别欺诈电子邮件。
他说,“我们在网络安全培训中谈到的一件事是可以采用真实的声音,这是识别欺诈电子邮件的最重要因素之一。然而,人们在电子邮件中进行快速交流是安全漏洞之一。但幸运的是,作为一个学术团体,我们大多数人都是用完整的句子写作的。他们可能有一个标准的称呼。例如,‘嗨,劳伦,你好吗?’就是一种典型的介绍。所以,如果没有这些识别因素,就会缺乏真实性。”他表示,曼哈顿维尔学院的员工也接受过网络安全培训,可以将任何可疑的电子邮件转发给Russel带领的团队,他们将会确定电子邮件的真实性。
戴尔科技公司的首席信息官Cross也认为,成功的反网络钓鱼策略首先需要提高员工的网络安全意识,让他们知道如何识别钓鱼电子邮件,并了解如何报告。这种方法是从许多企业常用的“不点击”策略转变而来的。Cross表示,实现零点击率是一个不切实际的目标。与其相反,教会员工如何报告可疑电子邮件,可以让安全团队快速评估潜在威胁,并减轻其他人受到类似攻击的影响。他指出,企业可以在电子邮件平台中嵌入工具,让员工更容易报告可疑的电子邮件。
然而,全球审计、税务和咨询机构Mazars公司网络安全业务的国家PCI实践负责人Jacob Ansari表示,这种类型的网络安全培训还不够深入。他说:“大多数反网络钓鱼策略的效果有限,因为它们针对的是众所周知的冰山一角:用户行为。”他表示,只有在网络钓鱼计划与合法的商业活动区分开来的情况下,培训用户识别网络钓鱼攻击才是有效的。但是,当员工被期望从事与网络钓鱼计划类似的活动时,任何反网络钓鱼的努力都将很快付诸东流。
他说:“例如,一家企业要求用户点击第三方发送者发送的链接来完成背景调查,或通过在其他地方托管的网页表单中输入个人信息来获得福利,这是一种常规的商业惯例,这会降低反网络钓鱼培训的价值。”
Ansari表示,除了培训用户之外,安全团队还需要与业务主管合作,重新设计业务流程,尽量减少电子邮件中点击链接的使用,并要求员工与第三方互动需要遵守企业安全通信标准,从而使业务流程不再看起来类似于网络钓鱼。
他说:“企业还需要确保业务的所有部分,例如人力资源、营销和财务,以负责任的方式与第三方和企业内部沟通,避免出现网络钓鱼的情况。”
5、缺乏执行/激励措施
Safi表示,即使一家企业制定了强有力的网络安全培训计划和政策,如果违反政策的员工没有受到惩罚,这些培训可能也不会起作用。例如,如果一名员工中了钓鱼邮件的圈套,却没有报告,就应该承担相应的责任,这样将促使其他员工在未来的行为更加安全。
Russell表示,在曼哈顿维尔学院,上当受骗的员工必须在10天内学习一定数量的在线网络培训课程。如果他们只是点击一个链接,就需要完成一次培训。然而,如果他们提供了自己的登录凭证,则必须完成三次。
他补充说:“我还会查看那些中了网络钓鱼圈套的人员名单,并确定那些拥有更高特权的人员(例如副总裁),然后对他们进行惩罚。我还会跟踪屡次犯错和那些没有接受训练的人员,他们也会受到惩罚。”
6、过度依赖模拟网络钓鱼测试
凯捷公司的网络安全服务主管Sushila Nair表示,当前反网络钓鱼策略的另一个致命弱点是,一些企业希望用户将训练成100%不会出错的人员。她说:“人们普遍认为,最终用户在遭受网络钓鱼攻击时应该受到指责。然而,企业必须问自己,‘是否真的在审视和衡量自己的价值,也就是必须确保用户完全不会落入模拟网络钓鱼测试的圈套?’”
如果测试很复杂,那么会有更多的人面临失败。她补充说,如果测试相当简单,那么每个人都能顺利通过。对于一些首席信息安全官来说,在董事会会议上展示改进的用户可靠性指标很具有诱惑力。然而,企业领导者必须接受这样一个事实:无论如何进行网络安全方面培训,仍有一些用户会点击网络钓鱼链接,在工作压力加大的时候,这个数字还会增加。
Nair表示,更糟糕的是,许多企业运行模拟网络钓鱼测试,使点击链接正常化。Nair说:“如果你点击一个链接,它可能会让你进入一个门户网站,然后提示‘你被愚弄了’。 但强迫用户在模拟过程中进行训练会产生相反的效果——他们更有可能点击链接。”Nair补充说,由于在繁忙和紧张的一天中点击了一个链接而不得不接受网络安全培训,这会让大多数用户厌烦完成网络安全培训,并在不集中注意力的情况下尽快完成。
她说:“它不仅会产生这种影响,还会影响用户对钓鱼电子邮件的反应。他们不会点击奇怪的电子邮件,因为他们认为这是一个测试,但他们也不会报告。”
最重要的是,反网络钓鱼项目经常失败,因为人们容易犯错。美国Burr & Forman律师事务所网络安全和数据隐私团队联合主席、律师Elizabeth Shirley表示,尽管经过网络安全培训,并尽了最大努力,但人们还是会犯错。她说:“人们也很情绪化,通常对产生紧迫感或必要性的网络钓鱼邮件具有本能反应。这些情况不会改变。钓鱼邮件仍将继续存在,至少在可预见的未来是这样。”