科技云報道原創(chuàng)。

網(wǎng)絡(luò)釣魚，作為一種“古老”的攻擊技術(shù)已盛行多年。盡管企業(yè)的安全設(shè)備不斷上新，卻依然防不住釣魚的層層套路，令無數(shù)企業(yè)頭疼不已。

在每年的攻防演練中，“網(wǎng)絡(luò)釣魚”也是最有效的攻擊方式之一。攻擊方通常偽裝成行政、獵頭等對目標企業(yè)員工進行郵件釣魚，成功繞過企業(yè)現(xiàn)有的安全設(shè)備，讓企業(yè)重金建設(shè)的安全堡壘成為不堪一擊的“馬奇諾防線”。

釣魚攻擊屢試不爽的原因，正是凱文·米特尼克在《反欺騙的藝術(shù)》中提到的“人為因素是安全的軟肋”。

相關(guān)報告顯示，42%的員工承認在上網(wǎng)時采取過危險行動，如點擊未知鏈接、下載文件或暴露個人數(shù)據(jù)，未遵循網(wǎng)絡(luò)釣魚預防的最佳實踐等。

隨著傳播渠道的不斷豐富，攻擊技術(shù)以及生成式AI技術(shù)的快速升級，網(wǎng)絡(luò)釣魚的花樣還在不斷翻新。企業(yè)僅憑提升全員安全意識，根本無法徹底杜絕釣魚攻擊，頗有一種“看不慣卻又干不掉”的無奈。

為什么網(wǎng)絡(luò)釣魚這么難防？企業(yè)真的就治不了這個頑疾嗎？

日益隱秘的釣魚攻擊

相比于其他網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)釣魚顯得更加簡單直接，一般通過網(wǎng)站、語音、短信、郵件、WiFi等渠道，引誘企業(yè)員工、個人用戶點擊惡意鏈接或提供個人信息，從而進行滲透或欺詐活動。

但令人憂心的是，近年來網(wǎng)絡(luò)釣魚事件仍呈爆發(fā)式增長。Perception Point《2023年年度報告：網(wǎng)絡(luò)安全趨勢與洞察》顯示，2022年威脅行為者嘗試的高級網(wǎng)絡(luò)釣魚攻擊數(shù)量增長了356%。

Zimperium《2023年全球移動威脅報告》顯示，2022年，以移動設(shè)備為目標的網(wǎng)絡(luò)釣魚網(wǎng)站的比例從75%增加到80%。

伴隨著攻擊數(shù)量的飆升，網(wǎng)絡(luò)釣魚的手段也在走向高級化、多樣化。據(jù)騰訊安全總經(jīng)理王宇觀察，近幾年網(wǎng)絡(luò)釣魚攻擊呈現(xiàn)四大新特征：

一是傳播渠道更廣泛，網(wǎng)絡(luò)釣魚的傳播渠道已經(jīng)從最初的網(wǎng)站、垃圾郵件、短信，逐步擴大到社交媒體、短視頻平臺，可謂是無孔不入。

二是隱蔽性越來越強，網(wǎng)絡(luò)釣魚充分利用人性的弱點進行攻擊，通過利誘、威逼、假冒等隱蔽方式來達到誘騙目的；

三是場景化，過去網(wǎng)絡(luò)釣魚不分行業(yè)和客群，攻擊者普遍采用通用方式去釣魚，但現(xiàn)在是針對金融、醫(yī)療等不同場景實施定向釣魚；

四是跨國化，網(wǎng)絡(luò)釣魚已經(jīng)從單一的國內(nèi)攻擊發(fā)展為跨國攻擊，不少釣魚行為是針對國內(nèi)企業(yè)在境外的員工，或在國內(nèi)工作的華僑人士。

以上種種攻擊新趨勢，都意味著網(wǎng)絡(luò)釣魚比以往來得更加兇猛，更加難以防范。

對此，王宇舉了一個騰訊安全處理的真實案例：

攻擊者通過短視頻平臺添加了基金經(jīng)理A的社交軟件，仿冒潛在客戶咨詢理財產(chǎn)品，向A發(fā)送了一個釣魚文件。

A在看到一個潛在大客戶的咨詢后，毫無防備地點擊下載運行了攻擊程序，從而被攻擊者悄悄控制了社交軟件。

當天晚上，攻擊者開始查看A的客戶群，充分了解其業(yè)務(wù)狀況。一段時間后，攻擊者展開攻擊，將自己設(shè)置為群管理員，并將A踢出群，然后迅速對群內(nèi)上千個客戶實施詐騙，最終涉案金額高達千萬級。

王宇表示，這已經(jīng)不是過去簡單的釣賬號行為，而是針對證券行業(yè)的定向攻擊，提前進行大量的情報收集，這種釣魚攻擊針對性、隱蔽性更強，并且很難通過員工培訓完全防范杜絕。

網(wǎng)絡(luò)釣魚為何難防？

盡管網(wǎng)絡(luò)釣魚花樣繁多，但畢竟是一個存在多年的網(wǎng)絡(luò)安全“毒瘤”，為什么網(wǎng)絡(luò)釣魚就如此難以防范，而現(xiàn)有的安全設(shè)備也難以發(fā)揮作用呢？

我們不妨從攻防雙方的特點來看：

從攻擊方看，釣魚本質(zhì)上是利用人的弱點，攻擊者可以用被釣魚人員的身份，是一種典型的可信攻擊，原則上只能不斷提升人的安全意識，但無法徹底杜絕。

即便企業(yè)經(jīng)過多年攻防演練，總部的投入大、安全意識教育足夠重視，但是子公司、分支、供應(yīng)鏈等的安全意識還遠遠不足，大部分被釣魚成功也來源于此。

更加嚴峻的是，當前生成式人工智能(AIGC)技術(shù)也極大提升了釣魚攻擊的效率。王宇表示，攻擊者能夠利用AIGC技術(shù)高效生成更加難以分辨的釣魚郵件。

“很多釣魚攻擊都會有很明顯的團伙特征，比如說一個俄羅斯的黑客團伙，他去給其他國家的人發(fā)釣魚郵件，其實是可以通過內(nèi)容識別他不是用native的語言去寫的，而現(xiàn)在利用AIGC就讓模仿的精細度更高，能夠消弭這樣的一些差異，加大了防御的難度?！蓖跤钆e例稱。

從防守方看，當攻擊者通過釣魚成功投遞樣本后，隨之而來的是持久化的駐留、信息收集、內(nèi)網(wǎng)橫向移動等行為，攻擊者會通過多種技術(shù)繞過現(xiàn)有安全設(shè)備，進行持續(xù)對抗。

而企業(yè)現(xiàn)有安全建設(shè)往往是煙囪式的，無論是WAF、IDS、EDR還是IAM、數(shù)據(jù)防泄漏等安全設(shè)備，都是各自為戰(zhàn)，無法對偽裝成正常行為的釣魚攻擊形成聯(lián)動檢測和響應(yīng)，單點設(shè)備難免會漏報。

即便是擁有SOC安全運營中心的大型企業(yè)，現(xiàn)階段也較難實現(xiàn)有效的安全設(shè)備聯(lián)動，海量告警導致難以判斷哪些是真正的釣魚攻擊行為。

換句話說，面對來勢洶洶的網(wǎng)絡(luò)釣魚，人防不如技防，而技防則需端到端的聯(lián)防。

防釣魚需要新法器

知易行難，當單點的安全設(shè)備無力應(yīng)戰(zhàn)時，企業(yè)在防釣魚這件事上顯然需要一種“新法器”。

在王宇看來，“打蛇打七寸”，想要防住網(wǎng)絡(luò)釣魚，首先得研究清楚釣魚的攻擊路徑，然后再有針對性地制定防護策略。

據(jù)王宇介紹，網(wǎng)絡(luò)釣魚攻擊一般會分為“事前-事中-事后”三個步驟：

“事前”即投遞環(huán)節(jié)，通過IM、郵箱、社交媒體等渠道投遞釣魚文件，誘導用戶點擊或下載文件執(zhí)行，而執(zhí)行程序則隱藏其中。

“事中”即執(zhí)行/內(nèi)網(wǎng)橫移環(huán)節(jié)，當受害者運行了惡意程序后，惡意程序會在受害終端執(zhí)行，建立持久化駐留，獲取憑據(jù)，信息收集，橫向移動等操作。為了能在系統(tǒng)中運行，惡意程序通常都會經(jīng)過免殺處理，從而逃避殺軟的查殺。

“事后”即命令和控制(外聯(lián)C2)環(huán)節(jié)，外連控制臺，為了將竊取到的有價值的信息回傳，攻擊者會采用一些隱匿加密通信技術(shù)進行外聯(lián)通信，從而實現(xiàn)遠控。

事實上，釣魚攻擊的每一個環(huán)節(jié)都有相應(yīng)的行為特征，關(guān)鍵在于是否能有效檢測出這些異常行為。

結(jié)合騰訊多年以來的攻防技術(shù)和經(jīng)驗，騰訊零信任iOA釣魚防護方案能夠針對釣魚攻擊的三個階段攻擊特點，分別從對釣魚攻擊的來源路徑監(jiān)測、釣魚文件形態(tài)識別、程序聯(lián)網(wǎng)零信任審計，實施外連監(jiān)測和關(guān)聯(lián)分析，確?！翱吹靡姟?“防得住”的效果，具體而言：

來源路徑監(jiān)測

在投遞環(huán)節(jié)，騰訊iOA在每個終端都建立本地基線數(shù)據(jù)，對新入的文件實現(xiàn)來源分析和追蹤。目前已實現(xiàn)覆蓋釣魚攻擊常見利用路徑，如郵件、IM工具等來源實行監(jiān)測。

未來將會和常用企業(yè)IM工具（企業(yè)微信等）合作，更精準識別和還原出釣魚入侵的源頭。

文件形態(tài)識別

在第二環(huán)節(jié)，騰訊iOA基于釣魚樣本檢測引擎，可以準確識別出釣魚樣本，專項識別樣本免殺技巧。

聯(lián)網(wǎng)零信任審計

針對聯(lián)網(wǎng)行為，騰訊iOA建立了聯(lián)網(wǎng)基線，聯(lián)網(wǎng)基線與新入文件基線實行關(guān)聯(lián)分析，對新入未知程序，可信程序（被注入）的聯(lián)網(wǎng)實行零信任審計，徹底攔截少量免殺的漏網(wǎng)之魚。

有了準確的檢測，騰訊iOA就可以在“事前-事中-事后”的每一個環(huán)節(jié)進行處置，比如：事前限制敏感數(shù)據(jù)的下載；事中阻止內(nèi)網(wǎng)橫移等惡意行為；事后及時阻斷文件外傳行為等。

這種全生命周期的檢測和響應(yīng)，使得騰訊iOA在理論上可以對釣魚攻擊行為實現(xiàn)100%覆蓋。目前在國家級的攻防演練實戰(zhàn)中，騰訊iOA已實現(xiàn)釣魚防護0漏報。

如此理想的效果，正是在于騰訊iOA采用了零信任理念。

在過去的幾年中，騰訊零信任iOA實現(xiàn)了零信任網(wǎng)絡(luò)訪問、辦公安全、身份安全、終端安全管理、數(shù)據(jù)安全等維度的功能，將身份、設(shè)備、應(yīng)用、鏈路關(guān)聯(lián)起來，并強制所有訪問都必須經(jīng)過認證、授權(quán)和加密，避免了單點安全設(shè)備之間無法關(guān)聯(lián)上下文分析的弊端，擁有了更全面和更易用的威脅溯源與風險控制的能力，從而實現(xiàn)了立體化的、端到端的安全防護。

這種全面的零信任安全能力，來源于騰訊20多年的攻防實戰(zhàn)技術(shù)和經(jīng)驗。

作為多次在大型攻防演練中奪冠的攻擊隊，騰訊安全掌握著最新的攻擊手法，擁有一手的威脅情報；同時，騰訊自身也是被釣魚攻擊最多的互聯(lián)網(wǎng)公司之一，有著多年對抗釣魚攻擊的經(jīng)驗。

作為國內(nèi)唯一擁有“云+管+端+IM+郵件”產(chǎn)品聯(lián)動的廠商，騰訊在防釣魚攻擊方面極具優(yōu)勢。

零信任是 網(wǎng)絡(luò)安全的未來

不可否認，近幾年零信任理念在國內(nèi)備受追捧，頭部安全廠商無一例外都在推廣零信任的優(yōu)勢。但零信任如何落地，如何真正解決像釣魚攻擊這樣的實際問題，始終是企業(yè)關(guān)心的方向。

在過去多年的安全建設(shè)中，企業(yè)大多部署了網(wǎng)絡(luò)側(cè)、終端側(cè)、應(yīng)用側(cè)的安全設(shè)備。面對功能全面的零信任安全產(chǎn)品，難道企業(yè)需要全盤拋棄現(xiàn)有安全設(shè)備、從頭來過？

答案是否定的。

在王宇看來，零信任方案的落地是有節(jié)奏的，一定是從業(yè)務(wù)視角出發(fā)，從企業(yè)最關(guān)心的場景切入，先與現(xiàn)有的安全設(shè)備做結(jié)合，看到實際效果之后再進行逐步替代。

事實上，作為國內(nèi)率先實踐零信任的互聯(lián)網(wǎng)公司之一，騰訊內(nèi)部的零信任實踐也是分步實現(xiàn)的。

從2016年內(nèi)部上線，到2017年實現(xiàn)內(nèi)部職場辦公一體化安全平臺，再到2020年新冠疫情期間，騰訊零信任iOA支撐了騰訊全球10W +設(shè)備的隨時隨地接入辦公，實現(xiàn)了安全零事故，騰訊iOA也因此成為國內(nèi)最大規(guī)模落地的自研自用零信任解決方案。

而從目前企業(yè)客戶需求看，遠程辦公帶來的安全接入問題，是其最關(guān)注的業(yè)務(wù)場景。因此，替代或新建VPN成為零信任最為明晰的切入點，其帶來的價值也非常直觀。

隨著遠程接入安全問題的解決，企業(yè)下一步關(guān)心的安全問題是權(quán)限的控制，即能否對身份、設(shè)備、數(shù)字資產(chǎn)等實現(xiàn)靈活可控的權(quán)限收放，而這正是釣魚防護、勒索防護、入侵防御等安全場景的關(guān)鍵所在。

對此，王宇建議在實現(xiàn)VPN替代之后，企業(yè)可以進一步增加防釣魚功能，之后再補充終端安全功能，將零信任方案中的更多功能聯(lián)動起來，實現(xiàn)一體化的安全防護。

針對已有SOC的大型企業(yè)，騰訊零信任iOA也能夠與SOC聯(lián)動，基于多維監(jiān)測數(shù)據(jù)場景實現(xiàn)關(guān)聯(lián)分析，為安全運營帶來更精準和效率的檢測。

目前，騰訊零信任iOA的防釣魚功能已在金融、游戲、運營商等多個行業(yè)頭部企業(yè)中應(yīng)用。

憑借成熟的產(chǎn)品能力和商業(yè)交付能力，騰訊零信任iOA 終端部署量級達數(shù)百萬，成為了國內(nèi)首個部署終端突破百萬的零信任產(chǎn)品。

結(jié)語

高端的獵手，往往采用最樸素的攻擊方式。當企業(yè)把安全防線做到萬無一失時，最直接的攻破手段，反而是網(wǎng)絡(luò)釣魚這類古老的攻擊方式。

但無論網(wǎng)絡(luò)釣魚多么難防，終歸是攻防雙方的技術(shù)對抗，在零信任“持續(xù)驗證，永不信任”的防護理念之下，釣魚攻擊正在迎來史上最黑暗的時刻。

【關(guān)于科技云報道】

專注于原創(chuàng)的企業(yè)級內(nèi)容行家——科技云報道。成立于2015年，是前沿企業(yè)級IT領(lǐng)域Top10媒體。獲工信部權(quán)威認可，可信云、全球云計算大會官方指定傳播媒體之一。深入原創(chuàng)報道云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領(lǐng)域。

審核編輯 黃宇