发件人身份欺诈进入电子邮件世界并被称为网络钓鱼已经20年了。早期,电子邮件威胁主要以内容为中心,通常包含恶意链接或附件以引诱用户落入陷阱。但尤其是在过去五年中,网络钓鱼已经成熟:现在89%的攻击都使用模拟来发起社会工程攻击。如果您曾收到一封来自CEO的虚假电子邮件,要求您赶快购买大量礼品卡,或者如果该电子邮件诱使您认为CFO需要通过电子邮件提供完整的银行帐号,那么您社会工程攻击目标的目标。事实上,当今的绝大多数(90%)网络钓鱼电子邮件都不包含可能触发内容扫描警报的恶意软件(恶意文件或附件)。由于缺乏可识别的恶意内容,这些电子邮件很容易绕过大多数最新的电子邮件防御。相反,它们旨在与您(收件人)建立信任关系。一旦建立了这种关系,攻击者就可以利用它让你采取违背他们自身利益的行动。持续威胁不幸的是,由于缺乏可识别的恶意代码,电子邮件威胁问题仍然普遍存在并且更难解决。自新型冠状病毒爆发以来,电子邮件安全供应商报告了以大流行为主题的网络钓鱼攻击激增。这些骗局利用了在家工作的人,在这种环境中他们很容易分心,而且计算机硬件和网络的安全性较低。无论是否在家工作,网络钓鱼者都会随时继续部署攻击,网络钓鱼活动的平均持续时间仅为12分钟。谷歌表示,他们每天拦截超过1亿封钓鱼邮件,其中68%是新的、前所未见的诈骗邮件。这是由犯罪分子使用自动网络钓鱼通过从一种骗局逐渐更改为另一种骗局来避免检测来完成的。鉴于形势的变化,有必要更新网络钓鱼攻击的分类:基于身份的电子邮件攻击类型基于身份的电子邮件攻击分为三种类型。每个都利用以内容为中心的电子邮件防御中的特定漏洞。精确域攻击,也称为域欺骗,是通过在电子邮件的“发件人”字段中使用其域来直接冒充受信任的发件人的电子邮件。示例:“@.com”。域模拟攻击,也称为不受信任的域攻击,是来自稍微修改过的“相似”或“同类”域的电子邮件。例如:“<你的老板>@fedexx.com”。开放注册攻击,也称为用户冒充或友好电子邮件,在“友好发件人”字段中显示合法发件人的姓名——这部分通常显示您的全名。但是,这些电子邮件来自在免费在线电子邮件服务(例如Yahoo或Gmail)上创建的帐户。示例:“你朋友的名字为什么模式匹配在现代攻击中不起作用当今市场上的大多数反网络钓鱼解决方案都依赖于识别和响应特定模式。它们会扫描电子邮件中的可疑内容,例如链接、附件、短语或关键字,并应用机器学习来识别不良行为者。不幸的是,虽然这些解决方案在电子邮件内容方面做得不错,但它们没有提供有关发件人身份的可操作、可靠的信息。当网络钓鱼电子邮件来自域欺骗攻击并使用精心制作的邮件,它在形式和内容上几乎与合法邮件没有区别。在这种情况下,内容看起来合法,发件人看起来合法,反网络钓鱼系统被误认为是合法邮件。即使是粗糙的传真也??可以造成重大破坏,例如最近伊朗针对美国民主党选民的欺骗攻击。此外,网络钓鱼者进行自动化攻击,使用机器来欺骗随时对自己的消息进行细微更改,以试图比过滤器领先一步。在这个游戏中,犯罪分子进行增量更改,电子邮件过滤算法以增量更改进行响应,这是一个永无止境的游戏昂贵的防御过程。攻击比以往任何时候都更容易部署,因为这样做的成本大幅下降,机器速度加快,并且能够雇用自主机器人。这个迭代过程没有尽头,因为拼写错误、措辞错误和欺骗的组合是无限的。更糟糕的是,攻击者只需要“赢”一次,而防御者每次都需要正确——这是一个高度不对称的场景。与此同时,企业仍然是非法的电子邮件正在被欺骗,并且随着每一个新闻周期,犯罪分子被进一步激励以继续这种欺骗。解决这种不对称需要不同的方法。定义和执行合法通信要容易得多,而不是进化、预测和增长将描述所有可能的不良行为的所有模式的列表。换句话说,定义一组有限的好行为比定义一组坏的坏行为更容易。了解通信应用程序中行为的合法性从身份和属性开始,确定通信参与者身份的最佳方法是在通信开始时强制执行身份验证。输入:零信任方法以内容为中心的解决方案评估基于每个消息关于它有多糟糕,这造成了一个差距,基于身份的电子邮件攻击可以通过这个差距逃避。零信任电子邮件安全模型对于缩小这一差距至关重要。零信任也可以描述为零假设。要消除犯罪分子潜入的政策模糊区域,您应该什么也不做,对所有内容进行身份验证。这一原则是大多数数字交互的基础,例如付款、登录网站、验证员工身份等。但是,由于历史原因,在电子邮件中,基本的第一种方法是“让一切通过,阻止坏事”。相反,零信任方法重新定义了电子邮件安全性:只有当电子邮件能够证明值得进入您的收件箱时,它才是可信的。这样的模型不允许消息到达收件箱,除非消息来自经过身份验证的发件人,该发件人已被授予向特定收件箱发送消息的明确许可。零信任解决方案侧重于识别可信发件人。这允许收件箱自动标记、阻止或将未包含在您的受信任发件人列表中的所有内容发送到垃圾邮件。用户无需担心定期查找、分析或评估之前进入其收件箱的无数潜在恶意发件人。为了更好地理解这一点,考虑一个传统的登录系统。它会主动识别已知和受信任的用户,而无需您担心分析无数可能的错误登录以确定每个登录是否可疑。同样,零信任电子邮件安全系统可以主动识别已知和可信赖的发件人,同时消除发现恶意发件人的担忧。由于开放标准和电子邮件供应商的支持,零信任方法现在不仅成为现实,而且被视为有效电子邮件安全的基本组成部分。简而言之:如果您只允许来自已知良好发件人列表的流量,则无需花时间寻找所有不良发件人。完美的电子邮件解决方案不存在完美是有点主观的,但真正的安全不是。在评估任何一种解决方案或公司将电子邮件安全委托给您的组织时,请提出以下问题:该解决方案符合哪些开放标准?DMARC、DKIM、SPF和BIMI?这些是公认的身份验证标准,有助于将电子邮件推向本质上的零信任原则,也被电子邮件内部人士称为“无身份验证,不得进入”。虽然这些标准现在不是强制性的,但它们是最佳实践,可能有一天会被要求。你会有什么级别的控制?如果您需要批准某些通常被标记为“不良”的发件人,您的解决方案是否允许您这样做?或者他们会不会太宽容以防止你犯错?决定?他们多久验证一次您的电子邮件?即刻?或者一天一次,在此期间类似的不良行为者可以进入收件箱?您将花费多少时间来管理解决方案?拥有一个简单、直接的界面非常重要,它允许您做您想做的事,然后继续执行其他任务。不必要的复杂性是敌人。计算执行常见管理操作所需的步骤,并找到使您能够以最少的点击次数做出最明智的决策的解决方案。我们必须发展以阻止电子邮件欺诈企业和组织必须保护他们的电子邮件,以避免成为网络钓鱼攻击的受害者。网络钓鱼的成本已经太高,而且只会变得更糟。我们必须采用新的“零信任优先”框架——目前的方法根本跟不上攻击的步伐。电子邮件安全最可靠的基础是“零信任优先”方法:让发件人在真正进入您的收件箱之前证明他们值得进入。然后,在这个坚实的零信任基础之上添加一个过滤解决方案,以捕获任何漏掉的内容,例如从受感染帐户发送的消息。换句话说,先认证,再过滤。只有通过这种电子邮件安全的零信任方法,我们才能创造一个电子邮件真正值得信赖的世界。我们必须发展以阻止电子邮件欺诈企业和组织必须保护他们的电子邮件安全免受网络钓鱼攻击。网络钓鱼的成本已经太高,而且只会变得更糟。我们必须采用新的零信任优先框架——当前的方法根本跟不上攻击的步伐。电子邮件安全最可靠的基础是“零信任”优先方法:让发件人在实际到达您的收件箱之前证明他们的行为。然后,在坚实的零信任基础之上添加一个筛选解决方案,以捕获任何从裂缝中溜走的东西,例如从受感染帐户发送的消息。换句话说,先认证,再过滤。只有采用这种零信任的电子邮件安全方法,我们才能创建一个真正值得信赖的电子邮件世界。
