2020年,利用新冠疫情恐惧的钓鱼邮件、勒索软件和BEC商务电子邮件攻击肆虐各行各业。2021年,企业安全团队需要注意电子邮件攻击者会采取哪些新策略和技术?近日Darktrace电子邮件安全产品总监Dan Fein给出了五个邮件安全预测:
供应链欺诈将超过CEO欺诈
2021年供应链欺诈将超过首席执行官(高级管理层)欺诈,保护C级别的高级管理者是很多企业网络安全安全负责人的首要任务。Fein指出:“如果公司的安全措施到位,攻击者就很难搞定高级主管。不过攻击者会选择替代目标下手。”
Fein认为,当攻击者能够接管可信赖的第三方供应商的合法电子邮件账户时,无需与企业高管进行互动,即可获得丰厚的回报。
拥有庞大客户群的供应商和承包商对黑客的吸引力将越来越大,因为以这些供应商为跳板,可以同时向数百甚至上千个企业发送欺诈邮件。今年早些时候的研究还发现,针对高级管理层的攻击在减少,攻击者的注意力开始转向财务部门。而且,随着电子邮件账户入侵攻击变得越来越复杂(甚至能绕过多因素身份验证),通过电子邮件发动的供应链欺诈也变得更加容易。
基于MX记录的电子邮件安全解决方案和第三方网关将被淘汰
2021年电子邮件安全的第二个风险不是来自攻击者的威胁,而是企业的电子邮件安全工具(或确切地说,其部署方式)自身的风险。
当前,许多电子邮件安全解决方案和第三方网关被部署在邮件数据流中,通过邮件交换器记录(MX记录)来引导流量,将电子邮件分配给指定的电子邮件服务器。
这种方法的安全风险实际上并不是安全问题。这是一个操作问题。当安全工具位于邮件流中,其自身就可能成为潜在的障碍。如果安全网关出了问题(例如断电),它可能会破坏或阻断整个邮件流。即使只是中断一会,安全部门也会成为整个企业的抱怨对象。
此外,即使邮件安全工具的功能完全正常,这种部署方法也会引入延迟,随着远程办公变得越来越普遍,延迟也变得越来越难以忍受。
Fein预测,许多电子邮件安全提供商将开始放弃这种部署方法。
网络钓鱼攻击的生命周期将持续减缩短
曾几何时,黑客对基础架构的攻击能持续数周甚至数月。但与大多数攻击类似,电子邮件攻击的生命周期也在不断缩短,Darktrace的研究发现,欺诈电子邮件的平均寿命从2018年3月的2.1天已经下降到2020年的12小时。
对于任何想要阻止恶意IP、识别威胁指标或攻击溯源和归因的安全人士来说,这都是令人担忧的趋势。
如今域名的价格已经非常低廉,攻击者可以用很低的价格生成有效的电子邮件域名,作为攻击基础结构的重要组成部分。
而且,全新的域名还有一个优点,那就是没有“犯罪记录”(恶意活动记录),能够轻松通过大多数电子邮件安全信誉检查。
当域名的价格变得低廉,攻击者就可以以较低的成本大批量购买“一次性域名”,而域名使用的生命周期也会不断缩短。
邮件攻击将更具针对性
Fein认为“大规模的邮件攻击活动”正在被“针对性攻击”取代。而一次性的钓鱼网站域名非常适合这种网络犯罪业务模型趋势。
今年,恐慌软件的泛滥表明,针对性的、基于恐惧的网络钓鱼诱饵是多么有效。为应对新冠病毒大流行,大量合法的和恶意的新网站如雨后春笋般出现,来自未知域名地址的邮件也泛滥成灾,许多安全工具都无法有效处理。
随着社交媒体平台信息的极大丰富和隐私数据的大量泄漏,电子邮件攻击者正在从无差别的大规模攻击转向经过充分研究和量身定制的,具有更高“转化率”和成功率的电子邮件。而基于大数据分析的“发现”与“匹配”工具的应用,将使电子邮件攻击变得更加危险。
一些攻击者选择电子邮件欺诈而不是勒索软件
2020年,勒索软件攻击激增数十倍,成为企业面临的头号威胁。但是2021年,对于那些扩展远程办公(更依赖云服务而不是集中的本地基础架构)的企业来说,勒索软件也许并不是攻击者最佳的选择。
例如,通过电子邮件发送的欺诈性发票可能会在谋求经济利益的网络犯罪分子中大受欢迎。Fein认为,欺诈电子邮件可能会更安静,更有利可图,“而且您不太可能引起执法部门的注意”。模仿可信赖的供应商实施的电汇欺诈攻击往往能够得手,因为此类攻击使用的是“干净”的电子邮件(不包含链接或附件),因此可以轻松绕过传统的安全工具。
网络犯罪分子非常了解当今大多数电子邮件安全工具的工作原理,正在不断开发新的方法来绕过检测。企业也需要转向新的电子邮件安全方法,以抵御被网关漏掉的,新颖复杂的邮件攻击。
如今越来越多的企业开始部署一种自我学习、自适应的邮件检测方法,能够不依赖硬编码的规则和签名,而是使用AI来发现电子邮件通信中的异常模式。随着邮件攻击的不断创新,拥有自适应电子邮件安全技术对于企业的安全团队来说至关重要。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】