解决方案
矢安科技安全意识测评解决方案
一.前言
在数字化业务快速发展的今天,网络遭受着更加形式多变的威胁,其中APT(Advanced Persistent Threat,高级持续性威胁)攻击的兴起,使得传统的防御方式面临着更加严峻的挑战。而钓鱼邮件作为一种普遍的社会工程学攻击方法,也成为了黑客常用的攻击手段之一。
因此,对于企业整体的电子邮件安全威胁而言,一些看似普通且合规的电子邮件可能会导致企业内部大范围的业务中断、关键数据泄漏甚至是数百万的财务损失。
图1.1《APWG_Phishing Activity Trends Report》
从上述图片可以看出,2021年Q2至2022年Q1,钓鱼邮件发送数量持续增长。在2022年Q1,共检测到1025968起钓鱼邮件攻击,这是迄今为止所检测到钓鱼邮件数量最高的季度。
根据Proofpoint发布的2022年网络钓鱼情况报告,报告显示:2021年全球钓鱼邮件攻击明显增加,78%的组织成为了基于电子邮件的勒索软件攻击目标。即使是一些大型企业/组织也不能完全避免。例如:2022年5月25日,搜狐全体员工收到一封关于员工工资补助通知的邮件,其中有部分员工受骗,工资卡余额被划走。根据相关信息溯源追踪,此次事件是通过网络攻击手段获取到目标邮件服务器高级账号权限后,仿冒相关官方账号名义下发的邮件通知。
2022年6月22日,西北工业大学发布公开声明表示学校电子邮件系统遭受网络攻击。经公安机关初步判定,此次网络攻击事件中,有来自境外的黑客组织和不法分子向学校师生发送包含木马程序的钓鱼邮件,企图获取相关邮件数据和个人信息。
二.合规性要求
随着我国数字经济高速发展,各行业数字化转型进程加速,网络安全建设逐渐发展成为国家重点战略之一。特别是《网络安全法》、《数据安全法》等各类法律法规的正式颁布实施,网络安全建设也正逐步走向实战化、体系化和常态化的新时代。在这一大背景下,攻防演练越来越受到各方的重视,成为检验企业/组织安全体系建设水平,促进安全运营能力提升的常备操作。
《网络安全法》
第三十四条,除本法第二十一条的规定,关键信息基础设施的运营者还应当履行下列安全保护义务:(四)制定网络安全事件应外急预案,并定期进行演练。
第五十三条,负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。
《等级保护2.0》
等级保护四级测评在人员管理方面也给出了相应的要求。例如:应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作等进行培训。
《数据安全法》
第三条,数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第二十七条,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
三.什么是钓鱼邮件
钓鱼邮件:钓鱼邮件指利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。
常见的钓鱼邮件攻击方式,一种是直接通过二维码、内嵌链接、直接索要敏感信息等方式,获取运维人员、内部人员相关系统管理账号密码;另一种通过携带exe、excel、word等附件(附件中一般包含恶意代码、宏代码,或是远控exe)方式,诱导运维人员、内部员工点击相关的附件,以达到控制运维人员或者内部员工电脑的权限。
常见钓鱼邮件攻击类型有哪些?
仿冒邮件:通过自行构建的发件服务器,可以实现隐藏真实发件人信息,伪装成企业IT/HR发送相关企业通知并要求下载或点击某个链接或者图片,诱导受害者执行恶意软件,窃取企业数据;
链接钓鱼邮件:攻击者在邮件内直接嵌入钓鱼链接,点开链接便是以假乱真的钓鱼网站,这类网站通常会要求用户输入账户信息之类以获取用户敏感信息;另一种链接指向的网页暗藏木马程序,用户点开的同时即会引起数据泄漏的风险;
附件钓鱼邮件:这类钓鱼邮件利用了人的好奇心理,习惯性地点开查看附件内容。附件以exe/scr后缀的文件风险程度最高,一般是病毒执行程序。其他常见的还有html网页附件、doc附件、excel附件、pdf附件等;
鱼叉式钓鱼邮件:鱼叉式钓鱼邮件是一种只针对特定目标进行攻击的网络钓鱼,鱼叉式网络钓鱼锁定对象并非一般个人,而是特定公司、组织成员,受窃信息也是高度敏感、有针对性的资料;
BEC钓鱼邮件:BEC诈骗又被叫商务邮件诈骗,攻击者通过将邮件发件人伪装成领导、同事、商业伙伴,以此骗取商业信息、钱财、或者获取其他重要资料。
四.产品解决方案
面对防不胜防的钓鱼邮件攻击,企业如何防患于未然?
近年来,钓鱼邮件事件虽然层出不穷,但对于企业而言,可通过多个方面进行有效防范。从企业管理层面来看,企业可加强内部管理,定期开展员工安全意识教育和钓鱼邮件模拟演练,提高整体的安全防范意识;在企业应用安全层面,一方面,企业应注意加强安全防护体系,另一方面,由于黑客可以定向针对已暴露在互联网中的员工邮箱账号发起钓鱼攻击活动,因此,企业需要加强对这方面数据的主动收集并收敛攻击入口,以达到主动防御的效能。
矢安科技攻鉴钓鱼邮件场景通过即时/周期性任务模拟钓鱼邮件测试,有效提升员工识别钓鱼邮件的能力,防范商业邮件欺诈与勒索软件。
具体可分为以下几步:
快速启用:通过简单操作,将钓鱼邮件方便快捷发送至员工目标邮箱,1人1天即可完成庞大的工作量;
报告分析:从企业总体人员安全意识评估、部门多层次分析测试数据,通过邮件查看率、链接点击率、数据提交率等,多次演练、对比分析,并给予相应的评估建议;
数据监测:提供关于员工易受攻击性的演练结果概览,用实时数据衡量整个企业组织的整体风险等级。
五.我们的优势
降本增效、灵活部署:为企业提供SaaS服务,轻量级、易部署,降低投入成本,支持多租户、多用户池管理,无需繁琐开发和维护,快速提升企业安全防御效能;
轻松启用:操作简单、成功率高,只需快速导入钓鱼邮件目标邮箱,即可快速创建任务,实现钓鱼邮件攻击模拟;
预设可编辑化模版:提供几十种开箱即用的钓鱼模版,企业可根据内置的钓鱼邮件模版,快速建立评估任务活动;
定制化攻击模版:企业可根据需求自主定制攻击模版,制定更加有针对性的员工意识评估任务;
扩大钓鱼攻击面:为企业提供邮箱账号收集功能,以企业域名为入口,支持利用Baidu、Bing、Google、Sougo、So、GitHub以及第三方数据聚合平台等,快速全面帮助企业收集相关对外的暴露邮箱账号;
可视化数据分析:提供可视化报表的展示和下载功能,基于MITRE ATT&CK 框架等行业标准,对钓鱼邮件任务进行持续性跟踪监测,为企业提供实时的数据展示及趋势分析;
全方位仪表盘展示:提供钓鱼邮件攻击模拟活动结果概览,以全局视角以及更加直观的数据展示,进一步提升对企业安全事件的响应速度。
六.解决方案应用场景
企业模拟钓鱼邮件测试:通过模拟多样化的钓鱼场景,及时发现企业中安全设备/策略的脆弱点,以及在员工安全意识与防范中存在的问题,直观地展示企业安全意识现状;
常态化钓鱼演练:基于模拟钓鱼邮件攻击,检测企业普通员工及安全运维团队在遇到突发APT攻击事件时,是否能遵循企业突发事件应急响应规范及时采取措施,提升企业应对网络与信息安全突发事件的管理能力;
辅助红蓝演习:辅助红队进行渗透测试,节省渗透测试的时间和预算。同时,还可以将演习过程中的相关数据沉淀下来,方便企业CSO或安全运维人员进行企业安全管理与数据分析。
七.客户案例
为深入评估企业内部员工安全意识,并对员工安全意识进行量化。矢安科技在保证安全与业务平稳运行的前提下,以真实场景、模板开展钓鱼邮件评估活动。曾服务过多个大型企业、集团,涉及能源、金融、监管等多个行业。
某金融科技公司在国家级攻防演练前为对全集团进行安全意识评估,借助矢安科技钓鱼邮件平台,对全集团6000余人、分四个钓鱼场景进行钓鱼邮件发送,最终根据部门等维度出具评估报告,多维度统计分析钓鱼演练数据、建立安全意识形态画像。
上海矢安科技有限公司(以下简称矢安科技,英文名ASants),成立于2021年4月,是一家创新型智能安全企业。矢代表攻击,安代表防御,公司提供基于安全风险的创新安全产品、服务及解决方案,运用AI及创新技术提升安全自动化、智能化程度,有效促进企业安全生产力。
矢安科技致力于成为新一代智能安全的领跑者。矢安科技高度重视安全创新与技术研究,公司拥有创新研究团队及攻防战队。创新研究团队跟踪国内外安全趋势及前沿安全技术,攻防战队致力于研究最新攻防对抗技术。在基础安全研究、创新技术探索、攻防实战化、行业最佳实践等各个层面,技术团队的深厚底蕴及不断积累为公司提升核心竞争力及持续创新发展注入活力。
服务热线:400-8822-505
官方网址:https://www.asants.com/
商务合作:hi@asants.com
