面對日益猖獗的網路釣魚攻擊,企業藍隊如何結合技術與管理手段,構建有效的防禦體系,降低攻擊風險,保障組織安全?
現象與議題
網路釣魚攻擊已成為企業組織面臨的主要網路威脅之一,攻擊者利用各種技術和社會工程手段,誘騙員工點擊惡意連結、開啟惡意附件或洩露敏感資訊。 企業藍隊需要充分認識到網路釣魚攻擊的普遍性、多樣性和嚴重性,才能制定有效的防禦策略。
-
網路釣魚攻擊普遍且代價高昂: 釣魚攻擊是駭客最常用的攻擊方式之一,可能導致企業財務損失、資料外洩和信譽受損。
-
攻擊形式日益多樣化: 攻擊者不斷發展新的策略和技術,例如針對高階主管的"捕鯨攻擊" (Whaling Attack)。 藍隊需要了解不同類型的攻擊,例如偷竊密碼、惡意附件等,並學習如何識別和防範。
-
難以偵測: 攻擊者使用社交工程技術,將攻擊郵件偽裝成合法來源,例如偵察郵件通常不包含惡意指示符,難以被安全工具或團隊發現。 藍隊需要接受專業訓練,才能識別出這些細微的可疑跡象。
-
組織中任何人都可能成為目標: 從高階主管到普通員工,都可能成為網路釣魚攻擊的目標。
-
利用人性弱點: 網路釣魚攻擊針對的是人為因素而非技術系統的弱點,攻擊者利用社會工程技術,誘騙員工點擊惡意連結或洩露敏感資訊。 這使得攻擊更難以防禦,因為即使技術防禦措施再完善,只要員工缺乏安全意識,仍然可能成為攻擊者的目標。
-
可能導致進一步攻擊: 成功的偵察郵件可能被攻擊者用於進一步的惡意攻擊,例如發送更多惡意郵件或進行網路釣魚攻擊。
技術與管理措施
為有效降低網路釣魚攻擊帶來的風險,企業藍隊需要結合技術和管理措施,構建多層次的防禦體系:
(一) 技術控制
-
部署電子郵件安全協定 (SPF、DKIM、DMARC): 這些協定可以驗證郵件來源,防止郵件偽造 (Spoofing),降低收到網路釣魚郵件的風險。
- 舉例來說,SPF (Sender Policy Framework) 允許網域管理員定義哪些伺服器可以代表該網域發送郵件,如果一封郵件聲稱來自 example.com,但實際上卻是從一個未經授權的伺服器發送,則 SPF 檢查將會失敗,郵件伺服器就可以拒絕該郵件,或將其標記為可疑。
- DKIM (DomainKeys Identified Mail) 則使用數位簽章來驗證郵件是否真的來自聲稱的發送者,並確保郵件內容在傳輸過程中沒有被篡改。
- DMARC (Domain-based Message Authentication, Reporting & Conformance) 則建立在 SPF 和 DKIM 的基礎上,讓網域管理員可以指定如何處理未通過 SPF 或 DKIM 檢查的郵件。
-
部署郵件安全閘道器: 閘道器可以過濾垃圾郵件、惡意軟體和網路釣魚攻擊,並提供進階威脅防護功能,例如沙箱分析、惡意連結分析等。
- 郵件安全閘道器就像企業網路的郵件守門員,它可以檢查所有進出郵件,並根據預設的規則或自訂的策略來過濾或阻止可疑郵件。
- 例如,閘道器可以掃描郵件附件中的病毒或惡意軟體,識別並阻止包含網路釣魚連結的郵件,並過濾來自已知垃圾郵件發送者的郵件。
- 進階的郵件安全閘道器還可以提供沙箱分析功能,在一個安全的虛擬環境中執行可疑檔案,以觀察其行為並判斷是否為惡意軟體。
- 此外,惡意連結分析可以幫助閘道器識別偽裝成合法網站的網路釣魚網站,並阻止使用者瀏覽這些網站。
-
封鎖已知惡意網站和檔案: 藍隊可以根據威脅情報封鎖已知的惡意網站和檔案,例如透過封鎖檔案雜湊值或檔案名稱來防止惡意檔案傳播。
- 藍隊可以利用威脅情報平台獲取最新的惡意軟體、網路釣魚網站和其他網路威脅的資訊。
- 這些平台通常會提供已知惡意檔案的雜湊值、惡意網站的 URL 和網域名稱等資訊。
- 藍隊可以將這些資訊匯入到防火牆、網路安全設備和郵件安全閘道器等安全設備中,以阻止使用者瀏覽這些網站或下載這些檔案。
- 例如,如果一個惡意檔案的雜湊值被新增到防火牆的黑名單中,那麼即使該檔案被賦予了一個新的名稱,防火牆仍然可以根據其雜湊值識別並阻止它。
-
藍隊也可以在網路代理或防火牆上封鎖惡意網站的 URL 或網域名稱,防止員工瀏覽這些網站並下載惡意軟體。
- 網路代理伺服器可以作為企業網路和外部網路之間的中介,所有進出網路的流量都必須經過代理伺服器。
- 藍隊可以架設代理伺服器來阻止使用者瀏覽已知的惡意網站。
- 例如,如果一個網路釣魚網站的 URL 被新增到代理伺服器的黑名單中,那麼當使用者嘗試瀏覽該 URL 時,代理伺服器就會阻止該請求,並向使用者顯示一個警告訊息。
- 防火牆則是在網路邊界上執行安全策略的網路設備,它可以根據預設的規則或自訂的策略來允許或阻止網路流量。
- 藍隊可以架設防火牆來阻止使用者瀏覽已知的惡意網站,或阻止來自這些網站的流量進入企業網路。
(二) 管理控制
-
**提升員工安全意識 定期進行網路釣魚意識培訓至關重要,讓員工了解網路釣魚攻擊的危害、常見手法、如何識別可疑郵件以及如何應對。 企業藍隊需要教育所有員工,讓他們明白網路釣魚的威脅,並採取必要的防範措施,例如:
- **仔細檢查郵件地址和內容
- 僅僅檢查寄件人地址是不夠的,因為攻擊者可以使用非常相似的地址來偽造合法郵件。
- 員工需要學會仔細檢查寄件人地址,特別是域名部分,注意是否有拼寫錯誤或可疑之處。
- 此外,還需要教導員工注意郵件內容,例如可疑的語法和拼寫錯誤,以及與寄件人不符的語氣和內容等。
- **不要點擊不明連結或開啟可疑附件
- 特別是來自未知發送者的連結和附件。
- 攻擊者經常利用惡意連結和附件來傳播惡意軟體或竊取敏感資訊,因此員工不應點擊或打開任何可疑的連結和附件。
- 即使是來自已知發送者的郵件,如果內容可疑,也應謹慎處理。
- **舉報可疑郵件
- 即使不確定是否是網路釣魚郵件,也應該立即舉報給資安團隊。
- 即使是誤報,也比完全不舉報要好,因為這可以幫助資安團隊及時發現潛在的威脅並採取相應的措施。
- 企業藍隊需要鼓勵員工積極舉報可疑郵件,並建立簡單易行的舉報機制。
-
**針對高階主管進行專門培訓
- 高階主管由於掌握更多資源和權限,往往成為 "捕鯨攻擊" 的主要目標。
- "捕鯨攻擊" 通常經過精心策劃,攻擊者會花費大量時間收集目標的個人資訊,例如他們的興趣愛好、社交關係等,以便製作更具針對性和迷惑性的網路釣魚郵件。
- 因此,需要對高階主管進行專門的網路釣魚意識培訓,提高他們對此類攻擊的警覺性和防範意識。
-
**標記外部電子郵件 在所有外部電子郵件的主題行或正文中新增醒目的標記,例如 "[外部]" 或 "[請謹慎處理]",提醒員工注意安全。
- 這可以幫助員工快速識別來自外部的郵件,提高警惕性,並採取更為謹慎的防範措施。
-
**實施資料遺失防護 (DLP) 策略 DLP 策略可以監控和控制敏感資訊的傳輸,例如信用卡號、身份證號等,防止資料外洩。 D
- LP 解決方案可以部署在網路邊界、終端設備和雲端應用程式中,以便全面監控和保護敏感資訊。
-
**建立網路釣魚事件的應變流程 流程應清晰明確,易於理解和執行,並定期演練和更新。
- 流程應包括:
- **收集和保存網路釣魚郵件的證據 完整記錄網路釣魚郵件的證據,例如發送者地址、IP 地址、主題行、郵件內容和附件等,以便進行後續調查和分析。
- **調查事件發生的原因和影響範圍 確定攻擊者的攻擊目標、攻擊手法以及造成的損失,以便採取更有針對性的補救措施。
- **採取必要的補救措施 例如重置受影響帳戶的密碼、修復系統漏洞、更新安全策略等,以防止類似事件再次發生。
- **記錄事件處理過程 詳細記錄事件處理過程中的所有步驟、決策和行動,為日後審計和事件分析提供依據。
加強管理控制措施是構建有效防禦體系的關鍵。 網路釣魚攻擊利用的不是技術漏洞,而是人性弱點。 因此,即使技術防禦措施再完善,只要員工缺乏安全意識,仍然可能成為攻擊者的目標。 只有將技術控制與管理控制措施相結合,提升組織整體安全防禦能力,才能有效降低網路釣魚攻擊帶來的風險。
結合技術與管理,降低攻擊風險
網路釣魚攻擊利用人性弱點,使得單純依靠技術防禦不足以保障組織安全。 因此,藍隊需要將技術控制與管理控制措施相結合,才能有效降低攻擊風險。
-
技術是基礎: 技術控制是防禦網路釣魚攻擊的基礎,例如部署 SPF、DKIM、DMARC 和郵件安全閘道器等,可以有效阻止大部分的攻擊郵件。
-
管理是關鍵: 管理控制是提升組織整體安全防禦能力的關鍵,特別是提升員工安全意識和建立完善的事件應變流程,可以有效降低攻擊成功率和造成的損失。
-
持續改進: 網路釣魚攻擊手法不斷演變,藍隊需要持續學習新的攻擊手法,並定期評估和改進防禦措施,才能有效應對新的威脅。
小結
網路釣魚攻擊是企業組織面臨的持續性威脅,藍隊需要充分認識到這一威脅的嚴重性,並採取積極的防禦措施。結合技術和管理控制措施,建立多層次的防禦體系,並持續學習和改進,才能有效降低網路釣魚攻擊帶來的風險,保障組織安全。
釣魚郵件分析與報告撰寫方向
電子郵件標頭與特徵
- 分析信件前,收集特徵
- 協助將攻擊連結成一個完整的流程
- 識別背後的惡意行為者
- 特徵需要以清晰簡潔呈現
- 分析之後生成統計數據,並進行趨勢分析
電子郵件標頭
- 寄件者電子郵件地址
- 回覆地址
- 發送日期
- 發送伺服器IP
- 發送伺服器IP的反向DNS
- 收件人
- 主旨
含有URL的電子郵件
- 任何相關的URL(經過淨化處理)
- 例如: hxxps://feifei[.]tw/test.php
含有附件的電子郵件
- 檔案名稱 + 副檔名 (例如: test.exe)
- MD5雜湊值
電子郵件內容描述
- 信件檔案
- .eml 或 .msg 格式
- 保留一份副本
- 加入描述和截圖
- 敘述信件的外觀
- 敘述攻擊者試圖讓收件人做什麼
採取的防禦措施
- 提到已經採取或要求採取的防禦行動
- 電子郵件特徵封鎖(主旨、發送地址、發送伺服器IP)
- 網路特徵封鎖(URL、域名、IP)
- 檔案特徵封鎖(檔案名稱、檔案雜湊值)
- 常見方向
- 分析師能夠直接自行進行防禦措施。
- 分析師必須向資深分析師或其他部門請求採取防禦措施。
- 分析師提供給客戶報告,給企業 IT 部門參考。
分析過程、工具和結果
- 報告中最詳細的部分
- 實際評估惡意特徵對組織風險的地方
- 範例
- 是否為惡意 URL
- 這個惡意檔案做什麼事情
- WHOIS 分析
- 提供有關用來調查這些特徵的分析方法和工具的深入說明
特徵淨化
如果你寫的報告沒有淨化網址,會造成其他人誤點,可能同事或客戶或下載惡意程式導致威脅。
因此可以對 URL 和 IP 位址進行淨化:
- 在URL和IP位址中的「.」周圍加上「[]」,變成「[.]」。
- 將URL中的「tt」改為「xx」,使「http」變成「hxxp」。
例如:
大量 URL
太多 URL 不好處理,可以用 CyberChef 的 Defang IP Addresses 和Defang URL 來「自動化」。
https://gchq.github.io/CyberChef/#recipe=Defang_URL(true,true,true,'Valid%20domains%20and%20full%20URLs')&input=aHR0cDovL2ZlaWZlaS50dw&oenc=65001
https://gchq.github.io/CyberChef/#recipe=Defang_IP_Addresses()&input=OC44LjguOA&oenc=65001
結論
- 實際評估惡意特徵對組織風險的地方
- 提供足夠的細節
- 提供希望採取的任何防禦措施的理由
報告注意事項
- 清晰性: 使用簡單明瞭的語言,避免過於技術性的術語。
- 結構性: 使用標題和子標題來組織你的報告。
- 客觀性: 陳述事實,避免主觀判斷。
- 完整性: 包含所有相關資訊,但避免不必要的細節。
- 行動導向: 提供明確的建議和下一步行動。
撰寫釣魚分析報告範例
案例來源
https://github.com/sbidy/MacroMilter/blob/master/test_mails/02_mail_with_infected_word_document.eml
電子郵件標頭與特徵
電子郵件標頭
附件
- 檔案名稱: rechnung_-postmaster 789.doc
電子郵件內容描述
這封電子郵件偽裝成一個名叫Craig Dawson的人發送的正常商業通信。郵件內容聲稱附加了一個包含最近50筆交易和當前帳戶餘額的試算表。郵件使用了禮貌的語氣和專業的格式,試圖讓收件人相信這是一封合法的郵件。
然而,有幾個可疑的跡象表明這可能是一封釣魚郵件:
- 寄件者的電子郵件地址來自一個不常見的域名(sbb.rs)。
- 附件是一個.doc檔案,而非試算表檔案(.xls或.xlsx)。
- 郵件主旨僅為"Re:",這不符合郵件內容的重要性。
附件分析
附件"rechnung_-postmaster 789.doc"是一個Microsoft Word文檔。經過初步分析,發現:
- 檔案名稱中的"rechnung"是德語中"發票"的意思,與郵件內容提到的試算表不符。
- 檔案實際上是一個XML格式的文檔,偽裝成.doc檔案。
- 文檔中包含了可能用於執行惡意行為的巨集或其他嵌入式內容。
建議在安全的沙盒環境中進行更深入的分析,以確定檔案的具體威脅。
風險評估
基於以上分析,我們認為:
- 這封電子郵件很可能是一封釣魚郵件,試圖誘騙收件人打開惡意附件。
- 附件可能包含惡意程式碼,如果在未受保護的環境中打開,可能會導致系統感染或資料洩露。
建議採取的防禦措施
- 郵件過濾: 在郵件閘道上封鎖來自寄件者地址 DawsonCraig0460@sbb.rs 的郵件。
- 附件隔離: 設定郵件安全系統自動隔離所有包含.doc附件的可疑郵件。
- 域名封鎖: 在網路代理上封鎖與寄件者相關的可疑域名 sbb.rs。
- 使用者教育: 提醒員工注意此類釣魚郵件的特徵,不要打開來歷不明的附件。
- 系統更新: 確保所有系統和軟體都已安裝最新的安全更新,以防範可能的惡意軟體感染。
結論
這封電子郵件展現了典型的釣魚攻擊手法,試圖通過偽裝成正常商業通信來誘騙收件人執行危險操作。建議立即採取上述防禦措施,並持續監控類似的攻擊模式。
總結
本文介紹了網路釣魚攻擊的普遍性和嚴重性,並提出了一系列技術和管理措施來應對這種威脅。主要內容包括:
- 網路釣魚攻擊的特點:普遍、多樣化、難以偵測,且針對組織中的任何人。
- 技術控制措施:部署電子郵件安全協定(SPF、DKIM、DMARC)、郵件安全閘道器、封鎖已知惡意網站和檔案等。
- 管理控制措施:提升員工安全意識、針對高階主管進行專門培訓、標記外部電子郵件、實施資料遺失防護(DLP)策略、建立網路釣魚事件的應變流程等。
- 釣魚郵件分析與報告撰寫方法:包括電子郵件標頭分析、內容描述、採取的防禦措施、分析過程和結果等。
- 特徵淨化:對URL和IP地址進行處理,以防止誤觸。
文章強調,只有將技術控制與管理控制措施相結合,才能有效降低網路釣魚攻擊帶來的風險,保障組織安全。
選擇題與解析
-
下列哪項不是文中提到的電子郵件安全協定?
A) SPF
B) DKIM
C) DMARC
D) HTTPS
答案:D
解析:文章中提到的電子郵件安全協定包括SPF、DKIM和DMARC。HTTPS是用於安全網頁傳輸的協定,不是專門用於電子郵件安全的。
-
根據文章,以下哪項不是有效的網路釣魚防禦管理措施?
A) 提升員工安全意識
B) 針對高階主管進行專門培訓
C) 禁止員工使用個人電子郵件
D) 標記外部電子郵件
答案:C
解析:文章中沒有提到禁止員工使用個人電子郵件作為防禦措施。相反,文章強調了提升員工安全意識、針對高階主管進行專門培訓和標記外部電子郵件等措施的重要性。
-
在撰寫釣魚分析報告時,以下哪項不需要包含在電子郵件標頭分析中?
A) 寄件者電子郵件地址
B) 發送伺服器IP
C) 郵件內容摘要
D) 主旨
答案:C
解析:根據文章,電子郵件標頭分析應包括寄件者地址、發送伺服器IP、主旨等資訊,但不包括郵件內容摘要。郵件內容描述是報告的另一個部分。
-
在進行特徵淨化時,應該如何處理URL中的"http"?
A) 將其改為"htxp"
B) 將其改為"hxxp"
C) 保持不變
D) 將其刪除
答案:B
解析:文章提到,在進行特徵淨化時,應將URL中的"http"改為"hxxp",以防止誤觸。
-
以下哪項不是文章中提到的釣魚郵件分析報告的主要部分?
A) 電子郵件標頭與特徵
B) 電子郵件內容描述
C) 採取的防禦措施
D) 攻擊者背景調查
答案:D
解析:文章提到的釣魚郵件分析報告主要部分包括電子郵件標頭與特徵、內容描述、採取的防禦措施等,但沒有提到需要進行攻擊者背景調查。
企業藍隊的下一步行動
企業藍隊應該採取以下步驟:
- 評估現有的技術控制措施:檢查是否已部署SPF、DKIM、DMARC等電子郵件安全協定,以及郵件安全閘道器的效能。
- 加強管理控制措施:
- 制定並實施全面的員工安全意識培訓計劃,特別注重網路釣魚攻擊的識別和預防。
- 為高階主管設計專門的網路安全培訓課程,重點關注"捕鯨攻擊"。
- 實施外部電子郵件標記系統。
- 建立或優化資料遺失防護(DLP)策略。
- 制定詳細的網路釣魚事件應變流程:包括事件報告、調查、證據收集、影響評估和補救措施等步驟。
- 建立釣魚郵件分析和報告的標準化流程:包括電子郵件標頭分析、內容描述、防禦措施建議等。
- 實施特徵淨化流程:為分析人員提供工具和培訓,確保在報告中正確處理URL和IP地址。
- 定期進行模擬釣魚演練:測試員工的警惕性和應對能力,並根據結果調整培訓計劃。
- 持續更新威脅情報:關注最新的網路釣魚攻擊趨勢和技術,及時調整防禦策略。
- 建立跨部門合作機制:與IT、人力資源、法務等部門建立緊密合作,確保網路安全措施的全面實施。
- 定期評估和更新防禦措施:根據新出現的威脅和技術發展,持續優化技術和管理控制措施。
- 建立度量標準:開發關鍵績效指標(KPI)來衡量網路釣魚防禦措施的有效性,並定期向管理層報告。
iThome鐵人賽
看影片追技術