科技云報(bào)道原創(chuàng)。

網(wǎng)絡(luò)釣魚(yú)，作為一種“古老”的攻擊技術(shù)已盛行多年。盡管企業(yè)的安全設(shè)備不斷上新，卻依然防不住釣魚(yú)的層層套路，令無(wú)數(shù)企業(yè)頭疼不已。

在每年的攻防演練中，“網(wǎng)絡(luò)釣魚(yú)”也是最有效的攻擊方式之一。攻擊方通常偽裝成行政、獵頭等對(duì)目標(biāo)企業(yè)員工進(jìn)行郵件釣魚(yú)，成功繞過(guò)企業(yè)現(xiàn)有的安全設(shè)備，讓企業(yè)重金建設(shè)的安全堡壘成為不堪一擊的“馬奇諾防線”。

釣魚(yú)攻擊屢試不爽的原因，正是凱文·米特尼克在《反欺騙的藝術(shù)》中提到的“人為因素是安全的軟肋”。

相關(guān)報(bào)告顯示，42%的員工承認(rèn)在上網(wǎng)時(shí)采取過(guò)危險(xiǎn)行動(dòng)，如點(diǎn)擊未知鏈接、下載文件或暴露個(gè)人數(shù)據(jù)，未遵循網(wǎng)絡(luò)釣魚(yú)預(yù)防的最佳實(shí)踐等。

隨著傳播渠道的不斷豐富，攻擊技術(shù)以及生成式AI技術(shù)的快速升級(jí)，網(wǎng)絡(luò)釣魚(yú)的花樣還在不斷翻新。企業(yè)僅憑提升全員安全意識(shí)，根本無(wú)法徹底杜絕釣魚(yú)攻擊，頗有一種“看不慣卻又干不掉”的無(wú)奈。

為什么網(wǎng)絡(luò)釣魚(yú)這么難防？企業(yè)真的就治不了這個(gè)頑疾嗎？

日益隱秘的釣魚(yú)攻擊

相比于其他網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)釣魚(yú)顯得更加簡(jiǎn)單直接，一般通過(guò)網(wǎng)站、語(yǔ)音、短信、郵件、WiFi等渠道，引誘企業(yè)員工、個(gè)人用戶點(diǎn)擊惡意鏈接或提供個(gè)人信息，從而進(jìn)行滲透或欺詐活動(dòng)。

但令人憂心的是，近年來(lái)網(wǎng)絡(luò)釣魚(yú)事件仍呈爆發(fā)式增長(zhǎng)。Perception Point《2023年年度報(bào)告：網(wǎng)絡(luò)安全趨勢(shì)與洞察》顯示，2022年威脅行為者嘗試的高級(jí)網(wǎng)絡(luò)釣魚(yú)攻擊數(shù)量增長(zhǎng)了356%。

Zimperium《2023年全球移動(dòng)威脅報(bào)告》顯示，2022年，以移動(dòng)設(shè)備為目標(biāo)的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站的比例從75%增加到80%。

伴隨著攻擊數(shù)量的飆升，網(wǎng)絡(luò)釣魚(yú)的手段也在走向高級(jí)化、多樣化。據(jù)騰訊安全總經(jīng)理王宇觀察，近幾年網(wǎng)絡(luò)釣魚(yú)攻擊呈現(xiàn)四大新特征：

一是傳播渠道更廣泛，網(wǎng)絡(luò)釣魚(yú)的傳播渠道已經(jīng)從最初的網(wǎng)站、垃圾郵件、短信，逐步擴(kuò)大到社交媒體、短視頻平臺(tái)，可謂是無(wú)孔不入。

二是隱蔽性越來(lái)越強(qiáng)，網(wǎng)絡(luò)釣魚(yú)充分利用人性的弱點(diǎn)進(jìn)行攻擊，通過(guò)利誘、威逼、假冒等隱蔽方式來(lái)達(dá)到誘騙目的；

三是場(chǎng)景化，過(guò)去網(wǎng)絡(luò)釣魚(yú)不分行業(yè)和客群，攻擊者普遍采用通用方式去釣魚(yú)，但現(xiàn)在是針對(duì)金融、醫(yī)療等不同場(chǎng)景實(shí)施定向釣魚(yú)；

四是跨國(guó)化，網(wǎng)絡(luò)釣魚(yú)已經(jīng)從單一的國(guó)內(nèi)攻擊發(fā)展為跨國(guó)攻擊，不少釣魚(yú)行為是針對(duì)國(guó)內(nèi)企業(yè)在境外的員工，或在國(guó)內(nèi)工作的華僑人士。

以上種種攻擊新趨勢(shì)，都意味著網(wǎng)絡(luò)釣魚(yú)比以往來(lái)得更加兇猛，更加難以防范。

對(duì)此，王宇舉了一個(gè)騰訊安全處理的真實(shí)案例：

攻擊者通過(guò)短視頻平臺(tái)添加了基金經(jīng)理A的社交軟件，仿冒潛在客戶咨詢理財(cái)產(chǎn)品，向A發(fā)送了一個(gè)釣魚(yú)文件。

A在看到一個(gè)潛在大客戶的咨詢后，毫無(wú)防備地點(diǎn)擊下載運(yùn)行了攻擊程序，從而被攻擊者悄悄控制了社交軟件。

當(dāng)天晚上，攻擊者開(kāi)始查看A的客戶群，充分了解其業(yè)務(wù)狀況。一段時(shí)間后，攻擊者展開(kāi)攻擊，將自己設(shè)置為群管理員，并將A踢出群，然后迅速對(duì)群內(nèi)上千個(gè)客戶實(shí)施詐騙，最終涉案金額高達(dá)千萬(wàn)級(jí)。

王宇表示，這已經(jīng)不是過(guò)去簡(jiǎn)單的釣賬號(hào)行為，而是針對(duì)證券行業(yè)的定向攻擊，提前進(jìn)行大量的情報(bào)收集，這種釣魚(yú)攻擊針對(duì)性、隱蔽性更強(qiáng)，并且很難通過(guò)員工培訓(xùn)完全防范杜絕。

網(wǎng)絡(luò)釣魚(yú)為何難防？

盡管網(wǎng)絡(luò)釣魚(yú)花樣繁多，但畢竟是一個(gè)存在多年的網(wǎng)絡(luò)安全“毒瘤”，為什么網(wǎng)絡(luò)釣魚(yú)就如此難以防范，而現(xiàn)有的安全設(shè)備也難以發(fā)揮作用呢？

我們不妨從攻防雙方的特點(diǎn)來(lái)看：

從攻擊方看，釣魚(yú)本質(zhì)上是利用人的弱點(diǎn)，攻擊者可以用被釣魚(yú)人員的身份，是一種典型的可信攻擊，原則上只能不斷提升人的安全意識(shí)，但無(wú)法徹底杜絕。

即便企業(yè)經(jīng)過(guò)多年攻防演練，總部的投入大、安全意識(shí)教育足夠重視，但是子公司、分支、供應(yīng)鏈等的安全意識(shí)還遠(yuǎn)遠(yuǎn)不足，大部分被釣魚(yú)成功也來(lái)源于此。

更加嚴(yán)峻的是，當(dāng)前生成式人工智能(AIGC)技術(shù)也極大提升了釣魚(yú)攻擊的效率。王宇表示，攻擊者能夠利用AIGC技術(shù)高效生成更加難以分辨的釣魚(yú)郵件。

“很多釣魚(yú)攻擊都會(huì)有很明顯的團(tuán)伙特征，比如說(shuō)一個(gè)俄羅斯的黑客團(tuán)伙，他去給其他國(guó)家的人發(fā)釣魚(yú)郵件，其實(shí)是可以通過(guò)內(nèi)容識(shí)別他不是用native的語(yǔ)言去寫(xiě)的，而現(xiàn)在利用AIGC就讓模仿的精細(xì)度更高，能夠消弭這樣的一些差異，加大了防御的難度。”王宇舉例稱。

從防守方看，當(dāng)攻擊者通過(guò)釣魚(yú)成功投遞樣本后，隨之而來(lái)的是持久化的駐留、信息收集、內(nèi)網(wǎng)橫向移動(dòng)等行為，攻擊者會(huì)通過(guò)多種技術(shù)繞過(guò)現(xiàn)有安全設(shè)備，進(jìn)行持續(xù)對(duì)抗。

而企業(yè)現(xiàn)有安全建設(shè)往往是煙囪式的，無(wú)論是WAF、IDS、EDR還是IAM、數(shù)據(jù)防泄漏等安全設(shè)備，都是各自為戰(zhàn)，無(wú)法對(duì)偽裝成正常行為的釣魚(yú)攻擊形成聯(lián)動(dòng)檢測(cè)和響應(yīng)，單點(diǎn)設(shè)備難免會(huì)漏報(bào)。

即便是擁有SOC安全運(yùn)營(yíng)中心的大型企業(yè)，現(xiàn)階段也較難實(shí)現(xiàn)有效的安全設(shè)備聯(lián)動(dòng)，海量告警導(dǎo)致難以判斷哪些是真正的釣魚(yú)攻擊行為。

換句話說(shuō)，面對(duì)來(lái)勢(shì)洶洶的網(wǎng)絡(luò)釣魚(yú)，人防不如技防，而技防則需端到端的聯(lián)防。

防釣魚(yú)需要新法器

知易行難，當(dāng)單點(diǎn)的安全設(shè)備無(wú)力應(yīng)戰(zhàn)時(shí)，企業(yè)在防釣魚(yú)這件事上顯然需要一種“新法器”。

在王宇看來(lái)，“打蛇打七寸”，想要防住網(wǎng)絡(luò)釣魚(yú)，首先得研究清楚釣魚(yú)的攻擊路徑，然后再有針對(duì)性地制定防護(hù)策略。

據(jù)王宇介紹，網(wǎng)絡(luò)釣魚(yú)攻擊一般會(huì)分為“事前-事中-事后”三個(gè)步驟：

“事前”即投遞環(huán)節(jié)，通過(guò)IM、郵箱、社交媒體等渠道投遞釣魚(yú)文件，誘導(dǎo)用戶點(diǎn)擊或下載文件執(zhí)行，而執(zhí)行程序則隱藏其中。

“事中”即執(zhí)行/內(nèi)網(wǎng)橫移環(huán)節(jié)，當(dāng)受害者運(yùn)行了惡意程序后，惡意程序會(huì)在受害終端執(zhí)行，建立持久化駐留，獲取憑據(jù)，信息收集，橫向移動(dòng)等操作。為了能在系統(tǒng)中運(yùn)行，惡意程序通常都會(huì)經(jīng)過(guò)免殺處理，從而逃避殺軟的查殺。

“事后”即命令和控制(外聯(lián)C2)環(huán)節(jié)，外連控制臺(tái)，為了將竊取到的有價(jià)值的信息回傳，攻擊者會(huì)采用一些隱匿加密通信技術(shù)進(jìn)行外聯(lián)通信，從而實(shí)現(xiàn)遠(yuǎn)控。

事實(shí)上，釣魚(yú)攻擊的每一個(gè)環(huán)節(jié)都有相應(yīng)的行為特征，關(guān)鍵在于是否能有效檢測(cè)出這些異常行為。

結(jié)合騰訊多年以來(lái)的攻防技術(shù)和經(jīng)驗(yàn)，騰訊零信任iOA釣魚(yú)防護(hù)方案能夠針對(duì)釣魚(yú)攻擊的三個(gè)階段攻擊特點(diǎn)，分別從對(duì)釣魚(yú)攻擊的來(lái)源路徑監(jiān)測(cè)、釣魚(yú)文件形態(tài)識(shí)別、程序聯(lián)網(wǎng)零信任審計(jì)，實(shí)施外連監(jiān)測(cè)和關(guān)聯(lián)分析，確保“看得見(jiàn)”&“防得住”的效果，具體而言：

來(lái)源路徑監(jiān)測(cè)

在投遞環(huán)節(jié)，騰訊iOA在每個(gè)終端都建立本地基線數(shù)據(jù)，對(duì)新入的文件實(shí)現(xiàn)來(lái)源分析和追蹤。目前已實(shí)現(xiàn)覆蓋釣魚(yú)攻擊常見(jiàn)利用路徑，如郵件、IM工具等來(lái)源實(shí)行監(jiān)測(cè)。

未來(lái)將會(huì)和常用企業(yè)IM工具（企業(yè)微信等）合作，更精準(zhǔn)識(shí)別和還原出釣魚(yú)入侵的源頭。

文件形態(tài)識(shí)別

在第二環(huán)節(jié)，騰訊iOA基于釣魚(yú)樣本檢測(cè)引擎，可以準(zhǔn)確識(shí)別出釣魚(yú)樣本，專項(xiàng)識(shí)別樣本免殺技巧。

聯(lián)網(wǎng)零信任審計(jì)

針對(duì)聯(lián)網(wǎng)行為，騰訊iOA建立了聯(lián)網(wǎng)基線，聯(lián)網(wǎng)基線與新入文件基線實(shí)行關(guān)聯(lián)分析，對(duì)新入未知程序，可信程序（被注入）的聯(lián)網(wǎng)實(shí)行零信任審計(jì)，徹底攔截少量免殺的漏網(wǎng)之魚(yú)。

有了準(zhǔn)確的檢測(cè)，騰訊iOA就可以在“事前-事中-事后”的每一個(gè)環(huán)節(jié)進(jìn)行處置，比如：事前限制敏感數(shù)據(jù)的下載；事中阻止內(nèi)網(wǎng)橫移等惡意行為；事后及時(shí)阻斷文件外傳行為等。

這種全生命周期的檢測(cè)和響應(yīng)，使得騰訊iOA在理論上可以對(duì)釣魚(yú)攻擊行為實(shí)現(xiàn)100%覆蓋。目前在國(guó)家級(jí)的攻防演練實(shí)戰(zhàn)中，騰訊iOA已實(shí)現(xiàn)釣魚(yú)防護(hù)0漏報(bào)。

如此理想的效果，正是在于騰訊iOA采用了零信任理念。

在過(guò)去的幾年中，騰訊零信任iOA實(shí)現(xiàn)了零信任網(wǎng)絡(luò)訪問(wèn)、辦公安全、身份安全、終端安全管理、數(shù)據(jù)安全等維度的功能，將身份、設(shè)備、應(yīng)用、鏈路關(guān)聯(lián)起來(lái)，并強(qiáng)制所有訪問(wèn)都必須經(jīng)過(guò)認(rèn)證、授權(quán)和加密，避免了單點(diǎn)安全設(shè)備之間無(wú)法關(guān)聯(lián)上下文分析的弊端，擁有了更全面和更易用的威脅溯源與風(fēng)險(xiǎn)控制的能力，從而實(shí)現(xiàn)了立體化的、端到端的安全防護(hù)。

這種全面的零信任安全能力，來(lái)源于騰訊20多年的攻防實(shí)戰(zhàn)技術(shù)和經(jīng)驗(yàn)。

作為多次在大型攻防演練中奪冠的攻擊隊(duì)，騰訊安全掌握著最新的攻擊手法，擁有一手的威脅情報(bào)；同時(shí)，騰訊自身也是被釣魚(yú)攻擊最多的互聯(lián)網(wǎng)公司之一，有著多年對(duì)抗釣魚(yú)攻擊的經(jīng)驗(yàn)。

作為國(guó)內(nèi)唯一擁有“云+管+端+IM+郵件”產(chǎn)品聯(lián)動(dòng)的廠商，騰訊在防釣魚(yú)攻擊方面極具優(yōu)勢(shì)。

零信任是 網(wǎng)絡(luò)安全的未來(lái)

不可否認(rèn)，近幾年零信任理念在國(guó)內(nèi)備受追捧，頭部安全廠商無(wú)一例外都在推廣零信任的優(yōu)勢(shì)。但零信任如何落地，如何真正解決像釣魚(yú)攻擊這樣的實(shí)際問(wèn)題，始終是企業(yè)關(guān)心的方向。

在過(guò)去多年的安全建設(shè)中，企業(yè)大多部署了網(wǎng)絡(luò)側(cè)、終端側(cè)、應(yīng)用側(cè)的安全設(shè)備。面對(duì)功能全面的零信任安全產(chǎn)品，難道企業(yè)需要全盤(pán)拋棄現(xiàn)有安全設(shè)備、從頭來(lái)過(guò)？

答案是否定的。

在王宇看來(lái)，零信任方案的落地是有節(jié)奏的，一定是從業(yè)務(wù)視角出發(fā)，從企業(yè)最關(guān)心的場(chǎng)景切入，先與現(xiàn)有的安全設(shè)備做結(jié)合，看到實(shí)際效果之后再進(jìn)行逐步替代。

事實(shí)上，作為國(guó)內(nèi)率先實(shí)踐零信任的互聯(lián)網(wǎng)公司之一，騰訊內(nèi)部的零信任實(shí)踐也是分步實(shí)現(xiàn)的。

從2016年內(nèi)部上線，到2017年實(shí)現(xiàn)內(nèi)部職場(chǎng)辦公一體化安全平臺(tái)，再到2020年新冠疫情期間，騰訊零信任iOA支撐了騰訊全球10W +設(shè)備的隨時(shí)隨地接入辦公，實(shí)現(xiàn)了安全零事故，騰訊iOA也因此成為國(guó)內(nèi)最大規(guī)模落地的自研自用零信任解決方案。

而從目前企業(yè)客戶需求看，遠(yuǎn)程辦公帶來(lái)的安全接入問(wèn)題，是其最關(guān)注的業(yè)務(wù)場(chǎng)景。因此，替代或新建VPN成為零信任最為明晰的切入點(diǎn)，其帶來(lái)的價(jià)值也非常直觀。

隨著遠(yuǎn)程接入安全問(wèn)題的解決，企業(yè)下一步關(guān)心的安全問(wèn)題是權(quán)限的控制，即能否對(duì)身份、設(shè)備、數(shù)字資產(chǎn)等實(shí)現(xiàn)靈活可控的權(quán)限收放，而這正是釣魚(yú)防護(hù)、勒索防護(hù)、入侵防御等安全場(chǎng)景的關(guān)鍵所在。

對(duì)此，王宇建議在實(shí)現(xiàn)VPN替代之后，企業(yè)可以進(jìn)一步增加防釣魚(yú)功能，之后再補(bǔ)充終端安全功能，將零信任方案中的更多功能聯(lián)動(dòng)起來(lái)，實(shí)現(xiàn)一體化的安全防護(hù)。

針對(duì)已有SOC的大型企業(yè)，騰訊零信任iOA也能夠與SOC聯(lián)動(dòng)，基于多維監(jiān)測(cè)數(shù)據(jù)場(chǎng)景實(shí)現(xiàn)關(guān)聯(lián)分析，為安全運(yùn)營(yíng)帶來(lái)更精準(zhǔn)和效率的檢測(cè)。

目前，騰訊零信任iOA的防釣魚(yú)功能已在金融、游戲、運(yùn)營(yíng)商等多個(gè)行業(yè)頭部企業(yè)中應(yīng)用。

憑借成熟的產(chǎn)品能力和商業(yè)交付能力，騰訊零信任iOA 終端部署量級(jí)達(dá)數(shù)百萬(wàn)，成為了國(guó)內(nèi)首個(gè)部署終端突破百萬(wàn)的零信任產(chǎn)品。

結(jié)語(yǔ)

高端的獵手，往往采用最樸素的攻擊方式。當(dāng)企業(yè)把安全防線做到萬(wàn)無(wú)一失時(shí)，最直接的攻破手段，反而是網(wǎng)絡(luò)釣魚(yú)這類古老的攻擊方式。

但無(wú)論網(wǎng)絡(luò)釣魚(yú)多么難防，終歸是攻防雙方的技術(shù)對(duì)抗，在零信任“持續(xù)驗(yàn)證，永不信任”的防護(hù)理念之下，釣魚(yú)攻擊正在迎來(lái)史上最黑暗的時(shí)刻。

【關(guān)于科技云報(bào)道】

專注于原創(chuàng)的企業(yè)級(jí)內(nèi)容行家——科技云報(bào)道。成立于2015年，是前沿企業(yè)級(jí)IT領(lǐng)域Top10媒體。獲工信部權(quán)威認(rèn)可，可信云、全球云計(jì)算大會(huì)官方指定傳播媒體之一。深入原創(chuàng)報(bào)道云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領(lǐng)域。

審核編輯 黃宇