为何电子邮件需要零信任安全模型?
发布时间:2022-01-17 10:27:38 所属栏目:安全 来源:互联网
导读:自发件人身份欺诈转移到电子邮件世界并被称为网络钓鱼以来已有20年。在早期,电子邮件威胁主要以内容为中心,并且通常包含恶意链接或附件,以诱骗用户进入陷阱。但是特别是在过去的五年中,网络钓鱼已经成熟:现在,所有攻击中有89%利用假冒来发起社会工程攻
|
自发件人身份欺诈转移到电子邮件世界并被称为网络钓鱼以来已有20年。在早期,电子邮件威胁主要以内容为中心,并且通常包含恶意链接或附件,以诱骗用户进入陷阱。但是特别是在过去的五年中,网络钓鱼已经成熟:现在,所有攻击中有89%利用假冒来发起社会工程攻击。 如果您曾经收到过来自CEO的虚假电子邮件,要求你赶紧购买大量礼品卡,或者如果电子邮件欺骗你,让你以为CFO需要拟通过电子邮件提供完整银行帐号,那么你就是目标社会工程学的攻击目标。 实际上,当今的网络钓鱼电子邮件中,绝大多数(90%)不包含可能引起内容扫描警报的恶意软件(恶意文件或附件)。这些电子邮件由于缺少可识别的恶意内容,因此很容易绕过大多数最新的电子邮件防御措施。相反,它们旨在与你(收件人)建立信任关系。一旦建立了这种关系,攻击者就可以利用这种关系使您采取违背自己利益的行动。不幸的是,电子邮件威胁的问题仍然普遍存在,而且由于缺乏可识别的恶意代码,解决起来更加困难。自新冠病毒开始以来,电子邮件安全供应商报告称,以大流行为主题的网络钓鱼攻击激增。这些骗局利用了人们在家办公的机会,在这样的环境中,他们很容易分心,电脑硬件和网络不太安全。 不管是否在家办公,钓鱼者们都在继续随时部署攻击,钓鱼活动平均持续时间仅为12分钟。谷歌表示,他们每天会拦截超过1亿封钓鱼邮件,其中68%是新出现的、从未见过的骗局。这是由犯罪分子利用自动网络钓鱼来避免通过从一个骗局到另一个骗局的增量更改而被发现。在形势变化的情况下,有必要对网络钓鱼攻击进行更新分类:基于身份的电子邮件攻击的类型。基于身份的电子邮件攻击分为三种类型。每一个都利用了以内容为中心的电子邮件防御中的一个特定漏洞。 精确域攻击,也称为域欺骗,是通过在邮件的“来自”字段中使用他们的域,直接模拟受信任的发件人的电子邮件。示例:“<老板> @ <你的公司>.com”。域模拟攻击,也称为不可信域攻击,是指来自稍微修改过的“相似”或“表亲”域的电子邮件。例如:“ <你的老板> @ fedexx.com”。开放注册攻击,也称为用户模仿或友好的电子邮件,在“友好发件人”字段中显示一个合法的发件人的名字——这部分通常显示你的全名。然而,这些电子邮件来自一个在免费在线电子邮件服务上创建的帐户,如雅虎或Gmail。例如:“你朋友的名字 当今市场上的大多数反网络钓鱼解决方案都依赖于识别和响应特定的模式。他们扫描电子邮件中的可疑内容,例如链接、附件、短语或关键字,并应用机器学习来识别不良行为者。 不幸的是,尽管这些解决方案在电子邮件内容上做得不错,但它们无法提供有关发件人身份的可操作、可靠的信息。当网络钓鱼电子邮件来自域欺骗攻击并使用精心设计的消息时,在形式和内容上与合法消息几乎没有区别。在这种情况下,内容看起来是合法的,发件人看起来是合法的,并且反网络钓鱼系统被愚弄为认为它是合法的消息。即使是粗糙的传真也会造成重大的破坏,比如最近伊朗针对美国民主党选民的欺骗攻击。 此外,网络钓鱼者还进行自动攻击,利用机器不断地对自己的信息进行轻微修改,试图领先于过滤器。在这个游戏中,罪犯做出增量的改变,然后电子邮件过滤算法以增量的改变回应,这是一个永无止境的昂贵的防御过程。攻击比以往任何时候都更容易部署,因为这样做的成本大幅下降,机器速度加速,以及租用自动机器人的能力。这种反复的过程没有尽头,因为拼写错误、措词错误和欺骗的组合是无限的。更糟糕的是,进攻者只需要“赢”一次,而防守者需要每次都是正确的——这是一个高度不对称的场景。与此同时,企业继续被非法电子邮件所欺骗,随着每一个新闻周期,犯罪分子进一步受到激励,继续这种欺骗行为。 要解决这种不对称,需要一种不同的方法。定义和实施合法的通信行为要容易得多,而不是演化,预测和增加将描述所有可能的不良行为的所有模式的列表。换句话说,定义一组有限的好行为要比定义一组不良的行为容易。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐