黑客正在使用一種我稱之為“深海網(wǎng)絡(luò)釣魚”的方法提升他們的攻擊水平，即結(jié)合使用下面我將提到的一些技術(shù)來使自己變得更具攻擊性,。為了跟上步伐,，網(wǎng)絡(luò)安全創(chuàng)新者一直在努力開發(fā)工具、技術(shù)和資源來提高防御能力,。但是,，組織如何才能應(yīng)對尚未啟動甚至尚未構(gòu)想出來的不斷演變的威脅呢？

　　例如,，今年2月,，10,000名Microsoft用戶成為網(wǎng)絡(luò)釣魚活動的目標(biāo)，該活動發(fā)送聲稱來自FedEx,、DHL Express和其他快遞公司的電子郵件,，其中包含指向托管在合法域上的網(wǎng)絡(luò)釣魚頁面的鏈接，目的是獲取收件人的工作電子郵件憑據(jù),。使用合法域名可以使電子郵件逃避安全過濾,，而人們因疫情而對快遞服務(wù)以及相關(guān)信息的依賴提高了釣魚活動的成功率。

　　今年5月,，攻擊者發(fā)起了大規(guī)模,、復(fù)雜的以支付為主題的網(wǎng)絡(luò)釣魚活動。網(wǎng)絡(luò)釣魚電子郵件敦促用戶打開附加的“付款建議”--實(shí)際上,，這根本不是附件,，而是一個(gè)包含指向惡意域鏈接的圖像。打開后,，基于Java的STRRAT惡意軟件被下載到端點(diǎn)上,，并通過命令和控制（C2）服務(wù)器連接運(yùn)行后門功能，例如從瀏覽器收集密碼,、運(yùn)行遠(yuǎn)程命令和PowerShell,、記錄擊鍵和其他犯罪活動。

　　網(wǎng)絡(luò)釣魚也不再是一直在地下醞釀的小規(guī)模網(wǎng)絡(luò)騷擾,。如今,，近70%的網(wǎng)絡(luò)攻擊（如上所述）是由有組織的犯罪或與民族國家有關(guān)聯(lián)的行為者精心策劃的。隨著許多recovery tab達(dá)到數(shù)百萬,，組織需要一個(gè)解決方案來保護(hù)他們免受尚未設(shè)計(jì)的攻擊,，即可能造成最大損害的0day攻擊,。

　　但是在我們解決防御問題之前，讓我們首先看看我們要防御的對象,。下面提到的網(wǎng)絡(luò)釣魚策略的類型按復(fù)雜程度的升序排列出,。

　　網(wǎng)絡(luò)釣魚的類型

　　并非所有網(wǎng)絡(luò)釣魚攻擊所造成的損害都是相同的，但所有網(wǎng)絡(luò)釣魚攻擊都將在設(shè)計(jì)上對組織造成損害,，可能涉及巨額財(cái)務(wù)支出,、補(bǔ)救成本、收入損失和聲譽(yù)受損,。攻擊范圍從典型的網(wǎng)絡(luò)釣魚電子郵件到復(fù)雜的魚叉式網(wǎng)絡(luò)釣魚計(jì)劃和“捕鯨”,。

　　?釣魚郵件

　　普通的網(wǎng)絡(luò)釣魚活動中，網(wǎng)絡(luò)釣魚者向一大群收件人發(fā)送電子郵件,，他們有充分理由期望收件人中的一小部分人會點(diǎn)擊,。網(wǎng)絡(luò)釣魚電子郵件通常設(shè)計(jì)為看起來像是來自受信任公司的官方消息。然而,，當(dāng)收件人點(diǎn)擊電子郵件中嵌入的看似無害的鏈接時(shí),，惡意軟件可能會直接下載到他們的設(shè)備上，或者打開惡意網(wǎng)頁,，下載惡意軟件或要求輸入憑據(jù),、帳號或其他有價(jià)值的數(shù)據(jù)等個(gè)人信息。

　　?魚叉式網(wǎng)絡(luò)釣魚電子郵件

　　與廣泛撒網(wǎng)的網(wǎng)絡(luò)釣魚不同,，魚叉式網(wǎng)絡(luò)釣魚電子郵件具有高度針對性,，針對特定的個(gè)人或組織。網(wǎng)絡(luò)犯罪分子使用社交媒體和其他公共信息為特定個(gè)人創(chuàng)建個(gè)性化電子郵件,，并偽裝成受信任的發(fā)件人,。

　　例如，在4月,，5億個(gè)LinkedIn帳戶的個(gè)人信息從社交媒體平臺上被抓取和泄露,，并作為魚叉式網(wǎng)絡(luò)釣魚攻擊的誘餌出售。由于魚叉式網(wǎng)絡(luò)釣魚電子郵件是個(gè)性化的,，因此收件人更有可能點(diǎn)擊其中的惡意鏈接，甚至在登錄頁面上輸入憑據(jù),。

　　?捕鯨

　　捕鯨是魚叉式網(wǎng)絡(luò)釣魚的一種形式,，其目標(biāo)是首席執(zhí)行官和首席財(cái)務(wù)官等知名人士，以獲取高度敏感的個(gè)人或業(yè)務(wù)數(shù)據(jù),?！鞍l(fā)件人”可能偽裝成業(yè)務(wù)伙伴、客戶或有關(guān)鍵業(yè)務(wù)問題需要目標(biāo)個(gè)人解決的人,。捕鯨電子郵件的主要目標(biāo)是竊取敏感的商業(yè)信息,。

　　魚叉式網(wǎng)絡(luò)釣魚和捕鯨與一般網(wǎng)絡(luò)釣魚攻擊的不同之處在于使用個(gè)人和專業(yè)數(shù)據(jù),，在接收者眼中建立更高的合法性。它們是每個(gè)人都需要防范的一種成功率很高的網(wǎng)絡(luò)釣魚形式,。

　　網(wǎng)絡(luò)犯罪分子的成功主要還是歸因于個(gè)人

　　更復(fù)雜的網(wǎng)絡(luò)釣魚攻擊需要更多的開發(fā)時(shí)間和精力,，投資會以更大的預(yù)期得到回報(bào)，尤其是在惡意軟件分層時(shí),。這些方法對犯罪分子仍然有效：事實(shí)上,，根據(jù)對全球MSP的調(diào)查，67%的受訪者表示網(wǎng)絡(luò)釣魚電子郵件是勒索軟件攻擊最常見的傳遞渠道,。

　　許多公司要求員工定期接受反網(wǎng)絡(luò)釣魚培訓(xùn),，但是員工培訓(xùn)并不足以保護(hù)組織，因?yàn)槿耸蔷W(wǎng)絡(luò)安全鏈中最薄弱的環(huán)節(jié),。人是容易上當(dāng)受騙的,、習(xí)慣驅(qū)動的生物，我們很容易就會點(diǎn)擊危害組織整個(gè)網(wǎng)絡(luò)的鏈接,。

　　Verizon的2021年數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR）的最高發(fā)現(xiàn)指出,，85%的泄露涉及人為因素，36%涉及網(wǎng)絡(luò)釣魚（比上一年增加11%）,，10%的泄露涉及勒索軟件--是前一年的兩倍年,。

　　勒索軟件-網(wǎng)絡(luò)釣魚鏈接

　　各種規(guī)模的組織都應(yīng)該考慮勒索軟件攻擊（通常始于網(wǎng)絡(luò)釣魚）會對他們的績效、財(cái)務(wù)穩(wěn)定性和未來產(chǎn)生什么影響,。更重要的是,，他們應(yīng)該評估他們的網(wǎng)絡(luò)安全策略和安全架構(gòu)。

　　據(jù)SonicWall稱,，自2019年以來,，勒索軟件攻擊增加了62%。

　　這種沖擊包括小型企業(yè),。估計(jì)有一半的網(wǎng)絡(luò)攻擊都針對這一群體,，他們可能沒有與大型組織相同的網(wǎng)絡(luò)釣魚意識培訓(xùn)。由此產(chǎn)生的收入損失和補(bǔ)救成本,、停機(jī)時(shí)間,、聲譽(yù)損害和法律費(fèi)用對小型企業(yè)來說都是巨大的打擊。

　　勒索軟件在不停發(fā)展……

　　新的發(fā)展使勒索軟件更具威脅性,。根據(jù)FBI的說法,，Ryuk是目前勒索金額最高的軟件。現(xiàn)在,，它還添加了類似蠕蟲的功能,，這使得它不再依賴于人為點(diǎn)擊來傳播。這是一個(gè)重大的令人擔(dān)憂的情況。

　　考慮一下：初始感染僅在幾秒鐘內(nèi)發(fā)生,。當(dāng)用戶單擊網(wǎng)絡(luò)釣魚電子郵件中的鏈接時(shí)啟動的勒索軟件會迅速開始在整個(gè)網(wǎng)絡(luò)中橫向傳播,，對PC和服務(wù)器進(jìn)行加密，從而最大限度地造成損害-并為瞄準(zhǔn)您組織的網(wǎng)絡(luò)犯罪分子帶來最大利潤,。

　　然后勒索軟件會讀取受感染的文件,，搜索用戶憑據(jù)，使其能夠通過網(wǎng)絡(luò)計(jì)算機(jī)或映射驅(qū)動器之間的遠(yuǎn)程桌面連接更快地傳播,。在云上備份數(shù)據(jù)雖然是一種很好的做法,，但未必就完全足夠。

　　復(fù)雜的勒索軟件可以將共享網(wǎng)絡(luò)驅(qū)動器和云備份服務(wù)上的文件作為目標(biāo),，從而使您的整個(gè)組織陷入癱瘓,，讓您受到網(wǎng)絡(luò)犯罪分子的肆意擺布。

　　勒索軟件的影響也可能遠(yuǎn)遠(yuǎn)超出業(yè)務(wù)本身,。例如,，5月份對Colonial Pipeline（一家擁有900名員工的公司）的勒索軟件攻擊導(dǎo)致5,500英里長的管道關(guān)閉，而這些管道輸送著美國東海岸45%的燃料供應(yīng),。迫于為依賴管道提供燃料的數(shù)千萬人和組織恢復(fù)服務(wù)的壓力（包括醫(yī)療服務(wù),、執(zhí)法機(jī)構(gòu)、消防部門,、機(jī)場和廣大公眾）,，該公司不得不支付440萬美元的贖金。

　　人的行為是很難改變的

　　一封電子郵件只需要在一個(gè)易受攻擊的時(shí)刻命中,，其誘餌就會引誘收到它的員工,，讓該人點(diǎn)擊網(wǎng)絡(luò)釣魚電子郵件中看似合法的鏈接來下載受感染的文件。面對當(dāng)今的0day威脅和高級惡意軟件,，需要比基于簽名的掃描技術(shù)和查找已知惡意域更強(qiáng)大的防御,。

　　組織不能依賴其用戶作為抵御網(wǎng)絡(luò)釣魚的最后一道防線。畢竟,，用戶漏洞是網(wǎng)絡(luò)釣魚如此有效和被廣泛使用的原因,。也不要責(zé)怪您的員工：網(wǎng)絡(luò)犯罪分子是人類行為研究和利用方面最為最老練的專家。

　　防御選項(xiàng)：遠(yuǎn)程瀏覽器隔離

　　出于種種原因,，必須考慮一種非常不同的方法,，即假定漏洞存在時(shí)防止暴露于惡意軟件和勒索軟件的方法。隨著網(wǎng)絡(luò)釣魚攻擊變得越來越多層次和多方面,，很難說下一個(gè)網(wǎng)絡(luò)犯罪的新方法將是什么,，因此面向未來的觀念變得很重要。

　　遠(yuǎn)程瀏覽器隔離（RBI）為組織提供了防御,，即使是最復(fù)雜的基于Web的攻擊。當(dāng)用戶單擊電子郵件中的鏈接或打開新的瀏覽器選項(xiàng)卡時(shí)，RBI會在位于云中遠(yuǎn)程隔離容器中的虛擬瀏覽器中執(zhí)行Web內(nèi)容,。只有安全的渲染數(shù)據(jù)才會發(fā)送到用戶的常規(guī)端點(diǎn)瀏覽器,，從而提供完全交互式的常規(guī)瀏覽體驗(yàn)。沒有Web內(nèi)容到達(dá)用戶設(shè)備,，并且可以以只讀模式打開具有潛在風(fēng)險(xiǎn)的站點(diǎn)以防止憑據(jù)被盜,，因此用戶可以100%免受惡意網(wǎng)站和網(wǎng)絡(luò)釣魚電子郵件中URL的惡意軟件攻擊。

　　網(wǎng)絡(luò)釣魚不僅存在,，而且每天都在變得越來越先進(jìn)和危險(xiǎn),。接受人類易犯錯(cuò)誤和容易被操縱的這一點(diǎn)至關(guān)重要，因此組織不應(yīng)當(dāng)將重點(diǎn)放在培訓(xùn)上,，而是要選擇有效保護(hù)組織免受網(wǎng)絡(luò)犯罪分子影響的解決方案,。使用RBI來隔離用戶并使他們與惡意電子郵件鏈接和網(wǎng)絡(luò)釣魚站點(diǎn)的危險(xiǎn)“隔絕”，是一種很好的方法,，組織可以采用這種方法來使自己遠(yuǎn)離網(wǎng)絡(luò)釣魚,。