信息化觀察網(wǎng)

商業(yè)電子郵件犯罪(BEC)是指沒有有效載荷的所有類型的電子郵件攻擊。盡管有多種類型，但攻擊者利用BEC技術(shù)滲透組織的主要機(jī)制主要有兩種：欺騙和帳戶接管攻擊。

在最近的一項(xiàng)研究中，71%的組織承認(rèn)他們在過去一年中遇到了企業(yè)電子郵件泄露(BEC)攻擊。43%的組織在過去12個月內(nèi)經(jīng)歷過安全事件，35%的組織表示商業(yè)電子郵件犯罪/網(wǎng)絡(luò)釣魚攻擊占事件的50%以上。

FBI的互聯(lián)網(wǎng)犯罪投訴中心(IC3)報告稱，BEC詐騙是2020年企業(yè)經(jīng)濟(jì)損失最大的網(wǎng)絡(luò)攻擊，有19369起投訴，調(diào)整后損失約為18億美元。最近的BEC攻擊包括對Shark Tank主機(jī)Barbara Corcoran的欺騙攻擊，損失了380,000美元；波多黎各政府的損失金額達(dá)400萬美元，日本媒體巨頭Nikkei根據(jù)欺詐性電子郵件中的要求已經(jīng)轉(zhuǎn)移了2900萬美元。

為了阻止BEC攻擊，組織必須專注于更嚴(yán)格的轉(zhuǎn)賬流程、數(shù)據(jù)的安全、員工和技術(shù)的統(tǒng)一。

更嚴(yán)格的轉(zhuǎn)賬流程

每個組織的財務(wù)部門都有財務(wù)支出授權(quán)政策，該政策為保護(hù)公司資產(chǎn)的任何財務(wù)支出/付款設(shè)立了明確的批準(zhǔn)級別。

雖然所有財務(wù)支出/付款都應(yīng)是批準(zhǔn)預(yù)算的一部分，但該政策為財務(wù)部門提供了一種工具，以確保每筆付款均由正確的個人或個人根據(jù)金額授權(quán)。

在某些情況下，公司的CEO或總裁在要求付款時被授予無限權(quán)力。攻擊者意識到這一點(diǎn)，這就是為什么他們欺騙高級主管個人的電子郵件帳戶。

鑒于當(dāng)前的網(wǎng)絡(luò)安全形勢，財務(wù)部門應(yīng)重新評估該政策，以制定更嚴(yán)格的流程。這可能意味著需要對通過支票、網(wǎng)絡(luò)轉(zhuǎn)賬或任何其他渠道支付的主要財務(wù)支出進(jìn)行多次授權(quán)，以確保付款請求是合法的，它還可以說明如何獲得電子授權(quán)。

例如，如果財務(wù)部門的某個人收到CEO要求網(wǎng)絡(luò)轉(zhuǎn)賬的電子郵件，則處理該請求的管理員需要遵循公司政策以獲得額外的批準(zhǔn)，包括將電子郵件發(fā)送到預(yù)先批準(zhǔn)的傳播列表以獲得電子批準(zhǔn)以及通過電話確認(rèn)。財務(wù)支出金額決定了誰可以簽署和共同簽署，這基于組織的風(fēng)險偏好。

作為IT團(tuán)隊(duì)的一員，網(wǎng)絡(luò)安全主管應(yīng)該與財務(wù)部門溝通，解釋BEC和其他欺騙攻擊是如何發(fā)生的。提供最近BEC攻擊的真實(shí)示例，并集思廣益，以便公司會采取更有針對性的方式來阻止攻擊?；谶@些例子，財務(wù)部門應(yīng)該重新評估當(dāng)前的政策，考慮到網(wǎng)絡(luò)安全欺騙和BEC。

數(shù)據(jù)的安全

近幾個月來，擴(kuò)展檢測和響應(yīng)(XDR)已成為安全供應(yīng)商和分析人員的一個突出話題。與大多數(shù)傳統(tǒng)SIEM部署一樣，早期的XDR客戶一直在努力平衡投入和產(chǎn)出的關(guān)系。事實(shí)上，大多數(shù)企業(yè)尚未充分考慮與某些供應(yīng)商XDR解決方案所需的數(shù)據(jù)收集和分析相關(guān)的成本和產(chǎn)出的關(guān)系。本文就讓我們詳細(xì)地了解一下這些挑戰(zhàn)，并考慮SentinelOne如何通過解決威脅XDR的最大和最復(fù)雜的障礙——大規(guī)模數(shù)據(jù)管理，來徹底改變XDR碰到的安全困局。

數(shù)據(jù)呈指數(shù)增長。IDC預(yù)測，到2025年，全球存儲的數(shù)據(jù)總量將達(dá)到175ZB！這比2018年(33ZB)增長了5倍。對于那些停止以千兆字節(jié)計算的人來說，1澤字節(jié)等于1萬億GB。但是這些數(shù)據(jù)是如何分解的?這些數(shù)據(jù)中有多少可以用于提供更好的安全決策，以確保企業(yè)免受有針對性的攻擊?在預(yù)測的175ZB中，大約85%是企業(yè)和或公共云數(shù)據(jù)存儲。更重要的是，IDC預(yù)測，到2025年，多達(dá)30%的數(shù)據(jù)將被歸類為自終端和物聯(lián)網(wǎng)設(shè)備的追蹤分析數(shù)據(jù)。對于希望通過利用豐富的數(shù)據(jù)來改善其安全狀況的企業(yè)來說，這既是一個巨大的挑戰(zhàn)，也是一個機(jī)遇。數(shù)據(jù)本身是沒有用的，數(shù)據(jù)必須經(jīng)過上下文化和分析才能成為信息?；谕瑯拥睦斫?，我們知道只有當(dāng)我們在多個信息點(diǎn)之間應(yīng)用有意義的聯(lián)系，將情境化的數(shù)據(jù)組合成可操作的結(jié)果時，信息才會成為知識。因此，沒有背景的數(shù)據(jù)往往是多余的。

有效的數(shù)據(jù)管理。如今，大多數(shù)企業(yè)都會生成大量數(shù)據(jù)，包括來自用戶、設(shè)備、應(yīng)用程序和傳感器的活動日志。如果沒有相應(yīng)的記錄，就不會發(fā)生任何重要的事情。這通常采用日志或事件的形式：描述實(shí)體、操作、屬性和可能的響應(yīng)條件的事務(wù)性消息。遙測技術(shù)的其他形式可以包含包含采樣或匯總測量的簡單度量。

信息安全告訴我們，即使是最無害和平庸的數(shù)據(jù)集也可能以某種方式與調(diào)查或惡意檢測的范圍相關(guān)。Singularity ActiveEDR/XDR利用SentinelOne獲得專利的Storyline技術(shù)的獨(dú)特功能，將不同的安全事件拼接成一個單一的時間線和攻擊可視化，并在可能的情況下使用MITRE ATT&CK技術(shù)歸因以及攻擊者的詳細(xì)信息。

員工

所有公司員工都必須接受培訓(xùn)，了解網(wǎng)絡(luò)安全攻擊是什么樣的，做什么，不做什么，而且這種培訓(xùn)應(yīng)該持續(xù)進(jìn)行，因?yàn)榫W(wǎng)絡(luò)安全形勢變化如此之快。

財務(wù)部門的員工或任何有權(quán)以任何形式支付資金的人都應(yīng)該接受有關(guān)BEC和其他欺騙攻擊的培訓(xùn)。

需要強(qiáng)調(diào)的是，這些攻擊中有許多采取來自高層管理人員的電子郵件形式，它們往往是“緊急”請求，有時該請求是在營業(yè)結(jié)束前幾分鐘發(fā)送的，需要立即付款。通過此培訓(xùn)，再加上要求所有員工遵守財務(wù)支出授權(quán)政策，公司應(yīng)該能夠阻止BEC攻擊。

許多公司購買保險來支付這些BEC損失，但沒有組織可以確定承運(yùn)人會支付。例如，貿(mào)易公司Virtu Financial公司在BEC騙局中損失了690萬美元，但他們的保險公司Axis Insurance拒絕付款，聲稱“未經(jīng)授權(quán)訪問Virtu的計算機(jī)系統(tǒng)不是損失的直接原因，而是由Virtu員工的單獨(dú)行為造成的，因?yàn)樗麄兿嘈乓筠D(zhuǎn)移資金的‘欺騙性’電子郵件是真實(shí)的。”

Virtu Financial公司已對Axis Insurance提出投訴，稱其因拒絕為網(wǎng)絡(luò)攻擊提供保險而違反合同。

技術(shù)

下一代先進(jìn)的網(wǎng)絡(luò)安全技術(shù)可以幫助阻止任何電子郵件威脅，包括垃圾郵件、網(wǎng)絡(luò)釣魚、BEC和后續(xù)攻擊、高級持續(xù)性威脅(APT)和攻擊漏洞的零日漏洞。

這些類型的解決方案包括：

?一個反垃圾郵件引擎，通過反垃圾郵件和基于信譽(yù)的過濾器阻止惡意通信；

?一個反網(wǎng)絡(luò)釣魚引擎，用于檢測惡意URL并在到達(dá)最終用戶之前阻止任何類型的網(wǎng)絡(luò)釣魚攻擊；

?一個反欺騙引擎，可防止無載荷攻擊，例如欺騙、相似域和顯示名稱欺騙；

?反逃避技術(shù)通過遞歸地將內(nèi)容解包成更小的單元（文件和URL）來檢測惡意隱藏內(nèi)容，然后由多個引擎在幾秒鐘內(nèi)動態(tài)檢查；

機(jī)器智能(MI)和自然語言處理(NLP)以檢查內(nèi)容和上下文中是否與規(guī)范有偏差，例如識別異常書寫風(fēng)格、可能表示惡意活動的關(guān)鍵詞、奇怪的IP地址、地理位置、時間等；檢測以防止高級威脅和零日攻擊。

對最終用戶進(jìn)行臨時電子郵件分析，以便在采取魯莽行動之前識別可疑電子郵件。

最終用戶上下文幫助基于策略和規(guī)則使用可定制的橫幅標(biāo)記電子郵件，為最終用戶提供額外的上下文信息并提高他們的安全意識。

該解決方案應(yīng)該能夠檢測并阻止欺騙和帳戶接管攻擊，其中攻擊者可以訪問合法的電子郵件帳戶并試圖進(jìn)一步進(jìn)入網(wǎng)絡(luò)。

本文翻譯自：https://thehackernews.com/2021/07/best-practices-to-thwart-business-email_29.html