网络钓鱼是一种成功的骗局,很可能会继续存在,而且只会变得更加有效。从过度依赖技术到令人困惑和适得其反的培训,以下是反钓鱼策略可能失败的六个原因。
网络钓鱼尝试通常就像在桶中钓鱼——只要有足够的时间,一个恶意行为者100%有可能钓到一个受害者。一旦他们认识到组织是习惯性的脆弱,他们就会继续以它们为目标,这样的“桶式捕鱼”循环就会一直持续下去。
战略安全解决方案咨询公司首席执行官兼创始人Johanna Baum表示:
“恶意行为者的动机和资金都非常充足,他们的唯一目的就是成功地吸引一个受害者。然而作为一个组织,其任务却是保护所有潜在受害者。”
忽视或错误判断IT安全卫生将大大增加攻击的易感性。但是,即使组织遵循的是一种全新的协议,为员工提供了培训,反复提醒员工核实可疑的通信,并紧跟最新的恶意活动资讯,面对网络钓鱼,组织仍然是而且永远都会是脆弱的。
反钓鱼策略不起作用的6个原因
网络钓鱼攻击正变得越来越可信和复杂
Protiviti公司负责攻击和渗透测试的全球实践负责人Krissy Safi表示,网络犯罪分子正在不断开发新战术,诱使人们泄露敏感信息,因此,网络钓鱼攻击正变得越来越复杂。
Safi解释称,许多反钓鱼解决方案使用静态规则来检测钓鱼攻击,但是,攻击者可以使用更先进的技术轻松绕过这些攻击。此外,随着ChatGPT的引入,语法完美、没有蹩脚英语的钓鱼电子邮件将会激增,从而使识别网络罪犯发送的钓鱼电子邮件变得更加困难。
随着ChatGPT和开源版本可供犯罪者使用,公司被盗的通信已经成为骗子的“灵丹妙药”——人工智能可以实时了解哪些有效,哪些无效,增加了攻击找到自愿目标的几率。
即使没有使用聊天机器人,攻击者也越来越熟练——以2022年云通信公司Twilio被入侵为例。在这种情况下,攻击者能够使用公开的数据库匹配员工姓名和电话号码。Twilio在一份事件报告中称,社会工程攻击“成功地诱骗了一些员工,让他们提供了自己的凭证。然后,攻击者便使用这些被盗的凭证成功进入我们的一些内部系统,在那里他们能够访问某些客户数据。”
把所有筹码都押在技术上
许多组织都试图仅靠技术来解决网络钓鱼问题。泰利斯集团(Thales Group)美洲区首席信息安全官Eric Liebowitz表示,这些公司正在购买所有最新的工具来检测可疑电子邮件,并为员工提供报告和阻止这些可疑电子邮件的方法。泰利斯集团是一家总部位于巴黎的公司,为航空航天、航天、交通、国防和安全行业开发设备、设备和技术。
他认为,尽管这样做很好,但最终恶意行为者总是会变得更老练。最关键的是,许多公司并没有重视员工的培训。他们可以拥有所有最好的工具,但如果他们不培训员工,再好的工具也无法发挥效用。
Avanade北美安全主管Justin Haney表示,虽然一些组织已经部署了正确的工具,并有适当的工作流程来打击网络钓鱼活动,但他们还没有充分主动地配置这些工具。例如,工具可能会标记和检测到恶意电子邮件,但不会自动阻止。有了安全信息和事件管理(SIEM)和安全编排、自动化和响应(SOAR)技术,组织应该部署特定的策略来应对已识别出的潜在网络钓鱼活动,而不是由分析师进行更多的手工工作。
未能采取全面的、纵深的防御策略
Haney认为,一些反钓鱼策略失败的组织没有采取全面和纵深的防御策略。他们可能只专注于特定的技术——电子邮件反钓鱼、多因素认证、数据加密、端点/移动安全——而未关注其他与网络杀伤链一起降低风险的技术,例如检测泄露的身份等等。
Lexmark公司首席信息技术官布Bryan Willett表示,如果不实施全面的、纵深的防御策略,而仅仅依靠反钓鱼程序,那么只需要一次成功的攻击就足以摧毁整个系统。信任一种基于电子邮件的防御方法或严重依赖用户的培训本身就有缺陷,因为人们容易犯错误,而攻击者只需要一个错误就能大获全胜。
Willett建议称,防御网络钓鱼攻击的最佳方法是通过分层防御方法。这包括在每个工作站上都部署良好的端点检测和响应(EDR)系统,强大的漏洞管理程序,为每个用户和管理帐户启用多因素身份验证,以及在LAN/WAN上实现分段以限制受感染系统的传播。通过采取这些预防措施并实施多层防御,组织可以最好地防止网络钓鱼攻击。
未能培训员工识别网络钓鱼企图
纽约哈里森曼哈顿维尔学院(Manhattanville College)首席信息官Jim Russell表示,虽然培训员工不要点击未知发件人电子邮件中的链接或打开附件很重要,但雇主还必须教育员工如何识别欺诈电子邮件。
他解释称:
“我们在培训中谈到的一件事是真实的声音,这是识别欺诈电子邮件的最重要因素之一。然而,人们在电子邮件中进行私人的快速交流是我们的安全漏洞之一。但幸运的是,作为一个学术团体,我们大多数人都是用完整的句子写作的。他们可能有一个标准的称呼。例如’嗨,劳伦,你好吗?’是一种典型的介绍。所以,如果没有这些东西,就缺乏真实性。”
戴尔科技公司首席信息官Kevin Cross也认为,一个成功的反钓鱼策略首先需要提高员工的意识,让他们知道如何识别钓鱼电子邮件,并了解如何报告异常情况。这种方法是从许多公司常用的“不点击”策略转变而来的。Cross表示,实现零点击率是一个不切实际的目标。相反地,教会员工如何报告可疑电子邮件,可以让安全团队快速评估潜在威胁,并减轻其他人受到类似攻击的影响。为此,企业可以在电子邮件平台中嵌入工具,让员工更容易报告可疑的电子邮件。
然而,全球审计、税务和咨询公司Mazars网络安全业务的国家PCI实践负责人Jacob Ansari则表示,这种类型的培训还远远不够。他认为:
“大多数反钓鱼策略的效果有限,因为它们针对的是众所周知的冰山一角:用户行为。只有在网络钓鱼计划与合法的商业活动区分开来的情况下,培训用户识别网络钓鱼攻击才是有效的。但是,当员工被期望从事与网络钓鱼计划类似的活动时,任何反网络钓鱼的努力都将很快付诸东流。例如,一家公司要求用户点击第三方发送者发送的链接来完成背景调查,或通过在其他地方托管的网页表单中输入个人信息来获得福利,这是一种常规的商业做法,这会降低反钓鱼培训的价值。”
Ansari 建议称,除了培训用户外,企业还需要与业务领导者合作,重新设计业务流程,尽量减少电子邮件中点击链接的使用,并要求第三方与员工互动,遵守公司安全通信标准,从而使业务流程不再看起来类似于网络钓鱼。此外,公司还需要确保业务的所有部分,如人力资源、营销和财务,以负责任的方式与第三方和全公司沟通,避免出现允许网络钓鱼计划蓬勃发展的条件。
缺乏执行/激励机制
Safi认为,即便一家公司制定了强有力的培训计划和政策,如果违反政策的员工没有受到惩罚,这些培训可能也不会起作用。例如,如果一名员工中了钓鱼邮件的圈套,却没有上报,就应该有相应的惩罚,以鼓励员工在未来做出更好的行为。
Russell介绍称:
“在曼哈顿维尔学院,上当受骗的员工必须在10天内完成一定数量的在线培训课程。如果他们只是点击一个链接,他们只需完成一次培训;然而,如果他们真的提供了自己的证书,就必须要完成三个。除此之外,我还会查看那些中了钓鱼圈套的人的名单,并找出那些拥有更高特权的人,比如副总裁。我还会跟踪惯犯和那些没有接受训练的人,他们也会和我在禁区待五分钟,我们会进行一些尴尬的对话。”
过度依赖模拟网络钓鱼测试
Capgemini网络安全服务主管Sushila Nair表示,当前反钓鱼策略的另一个致命弱点是,一些公司旨在将用户训练成100%不会出错的人。人们普遍认为,终端用户是遭受网络钓鱼攻击的罪魁祸首。然而,组织必须问自己,“我们是否真的在审视和衡量自己的价值,即我们必须确保100%的用户不落入模拟网络钓鱼测试的圈套吗?”
如果测试很复杂,那么会有更多的人失败。如果测试相当简单,那么每个人都能顺利通过。对于一些CISO来说,在董事会会议上展示改进的用户可靠性指标是很有诱惑力的;然而,领导者必须接受这样一个事实:无论公司如何培训,仍有一小部分用户会点击链接——在压力大的时候,这个数字甚至还会增加。
Nair补充道,更糟糕的是,许多组织运行模拟网络钓鱼测试,使点击链接正常化。点击一个链接后,它可能会把你带到一个门户网站,上面写着“好吧,该死,你被愚弄了”。但强迫用户作为模拟的一部分进行培训却会产生相反的效果——他们更有可能点击链接。尤其是在忙碌、压力大的一天里,因为点击了一个链接就被投入到培训中,这让大多数用户讨厌培训课程,并在注意力不集中的情况下忙于应付培训。它不仅不会产生应有的效果,还会影响用户对钓鱼电子邮件的反应。结果就是他们不会点击奇怪的电子邮件,因为他们认为这是一个测试,但他们也不会报告。
最重要的是,反钓鱼项目经常失败,因为人们容易犯错。Burr & Forman LLP网络安全和数据隐私团队联合主席Elizabeth Shirley认为,尽管经过培训,尽了最大努力,人们还是会犯错。因为人们很情绪化,通常对产生紧迫感或必要性的网络钓鱼邮件有本能反应。这些情况不会改变。钓鱼邮件还会继续,至少在可预见的未来是这样。