一封暗藏玄機的電子郵件,能夠對企業造成多大傷害?
近日,矽谷頂級風險投資公司紅杉資本遭遇的釣魚郵件攻擊,再次給企業界敲響了網路安全警鐘。紅杉資本表示,在該公司近期遭遇的網路釣魚攻擊中,投資者的個人資訊和財務資訊可能已被第三方竊取。
聲譽是金融機構賴以生存的生命線。除了直接經濟損失,網路安全事件也無疑會影響客戶及公眾對於金融機構的信心。不幸的是,金融機構掌握的巨量財富、高價值資訊和社會資源,正是駭客們最渴望捕獲的“獵物”。摩根大通CEO傑米·戴蒙(Jamie Dimon)曾在股東信中表示,毀滅性的網路攻擊可能是美國金融體系面臨的最大風險,該銀行每年在網路安全方面的投入接近6億美元。
隨著產業數字化程式的加速,網路攻擊會給企業帶來越來越致命的威脅,紅杉事件成為這種威脅最新、最真實的註腳。騰訊安全技術專家認為,在當前環境下,亡羊補牢式的網路安全觀已經不合時宜,企業一把手亟需建立“安全左移”的觀念,做好主動規劃和前瞻防禦,構建全面的企業安全免疫系統。
01
釣魚郵件“攻陷”頂級VC
據外電報導,今年2月,外部駭客對一名紅杉員工進行了郵件釣魚攻擊,從而獲得了投資者的郵件地址。隨後,攻擊者根據獲得的郵件地址,仿冒紅杉員工向投資者們傳送BEC(商業欺詐郵件),可能已經訪問了投資者的個人資訊和財務資訊。
此次駭客使用的BEC攻擊,其本質原理是透過高度模仿企業員工或合作伙伴的惡意賬號,向他人傳送個性化的電子郵件。這些具有針對性的個性化郵件十分具有迷惑性,極易誘使客戶、合作伙伴洩漏敏感資訊或轉賬,從而造成資訊洩露,甚至造成資金損失。
騰訊安全技術專家表示,BEC攻擊是網路攻擊中最慣用的手法,技術手段上更多利用高危漏洞來實現。駭客通常會周密地選擇攻擊目標,例如可靠的業務合作伙伴或公司的CEO,因此成功率非常高。美國聯邦調查局釋出的年度網際網路犯罪報告指出,在2019年收到的467361起網際網路和網路犯罪投訴中,幾乎一半的損失來自BEC(商業欺詐郵件)。FBI的資料還顯示,2019年BEC受害人損失達17.7億美元,平均每宗投訴損失額達到75000美元。
我國也是遭受BEC攻擊的高發地。國家網際網路應急中心(CNCERT)公佈的資料顯示,2019年CNCERT監測到重要黨政機關部門遭受釣魚郵件攻擊數量達50多萬次,月均4.6萬封。另有統計顯示,2019年全國企業郵箱使用者共收到各類釣魚郵件約344.3億封,較2018年增長了68.5%。
攜帶漏洞利用惡意程式碼的 Office 文件,是釣魚郵件的主要載荷。去年,騰訊安全威脅情報中心就曾檢測到以PPT文件為誘餌的釣魚郵件攻擊。經分析發現,黑產組織投遞的釣魚郵件中,附件PPT文件均包含惡意宏程式碼,使用者一旦開啟就會啟動惡意程式下載Azorult竊密木馬,導致賬號密碼丟失、資訊洩漏等嚴重後果。
釣魚郵件給企業造成的損失巨大。全球最大白名單提供商Return Path釋出的報告稱,為恢復網路釣魚攻擊帶來的影響,平均每家大企業每年需要花費370萬美元,包括生產力、消費者服務方面的損失和監管罰款。
這還僅僅是釣魚攻擊造成的直接損失。上述報告還顯示,受到電子郵件網路釣魚攻擊後,消費者不會再信任品牌,品牌的Gmail閱讀率下降18%,Yahoo下降11%。品牌的合法郵件也會被電子郵件服務商歸為垃圾郵件,Gmail電子郵件開啟率平均下降10%,Yahoo下降7%。
02
數字時代亟需“安全左移”
頻發的網路安全案件,給企業的資訊保安建設敲響了警鐘。隨著我國全面邁向大資料時代,企業對於通訊技術和計算機應用的依賴性在不斷增強。一旦遭遇網路安全事故,企業的資產、業務和聲譽都將蒙受巨大損失,甚至會動搖自身的生存根基。那麼,企業如何在享受資訊科技紅利的同時,抵禦越來越致命的網路安全風險?
最重要的是“安全左移”。騰訊安全技術專家認為,要把網路安全建設作為一把手工程重點關注,在生產流程中把安全建設前置。同時,藉助AI和大資料技術,提前發現和處置異常,降低高風險環節的許可權,主動控制重要數字資產的風險暴露時間視窗,盡最大可能減少受攻擊面。
相比“應對”威脅,“提前感知”威脅,顯然是提升安全防護效率、降低安全風險最經濟的方式。因此,威脅情報的安全投入對於企業佔據攻防先機至關重要,也是企業在安全左移趨勢下做好安全前置的有效途徑。以騰訊的威脅情報系統為例,該系統可以為企業提供全面準確的、與其相關的、能夠執行和決策的知識和資訊,從而協助企業預防各類網路入侵攻擊,做到“未攻先防”,全力避免潛在損失。
另一方面,以“持續驗證,永不信任”為核心的零信任,無論是從安全高配,還是在降本增效方面,都是遠端業務常態化過程中企業進行安全建設的高價效比價值點。即使企業存在被攻陷的風險,在多維身份認證、最小許可權動態訪問控制以及可變信任管理等策略的保護下,iOA等客戶端保護方案也能為企業資源的訪問提供持續安全防護。
在此次紅杉遭遇的釣魚郵件攻擊事件中,如果能夠事先建立起多層次防禦體系,各個層級的安全產品可透過威脅情報系統、安全運營系統有機整合在一起,將有助於最大化降低駭客入侵風險,減少潛在損失。