根据 Verizon 的数据泄露报告,商业电子邮件欺诈 (BEC) 攻击占 2023 年社会工程攻击的一半以上! 网络犯罪分子不仅在增加攻击的数量,而且在处理虚假和欺骗性电子邮件时也变得更加复杂和自动化。
如今,随着生成式人工智能的迅速采用,BEC 攻击的威胁正在增长。 网络犯罪分子不仅擅长使用人工智能编写有说服力的网络钓鱼电子邮件,而且还能够逃避传统电子邮件安全工具的检测,从而增加大规模攻击的范围和复杂性。
随着 2024 年 BEC 攻击的激增,网络安全团队和业务经理需要认识到,技术防御只能在一定程度上降低风险。 常见的电子邮件安全防御措施包括从反欺骗技术(如DMARC和SPF)到行为分析和其他威胁检测,以及多因素身份验证(MFA)和强身份和访问管理等保护措施。 然而,为了建立有效的纵深防御,组织需要分层实施威胁情报、以人为本的业务和技术策略,以最大限度地降低风险。
为避免经济损失,首席信息安全官应与其法律团队合作,制定全面的 BEC 政策文件,以提高用户对攻击的抵御能力以下是专家推荐的 BEC 保护策略的八个关键要点:
1. 可接受使用规则
组织在业务和技术级别设置的顶级规则类别是员工访问电子邮件和其他业务系统以阻止 BEC 攻击的可接受使用标准。 根据 Britton 的说法,可接受使用政策 (AUP) 是提供基于政策的 BEC 风险保护的最低要求。
AUP 包括一般安全最佳实践,应特别注意网络钓鱼和 BEC 预防指南,其中包括:不要点击可疑的文件附件或链接,不要向第三方透露敏感信息,不要仔细检查发票付款和工资单更改请求,不要报告可疑攻击等等。
2. 确定安全意识培训的频率
与 AUP 一样,BEC 政策也应强制要求安全意识培训作为入职流程的关键部分。 但是,该政策还应规定员工在为公司工作期间应定期接受培训。 随着网络犯罪分子的策略不断发展,企业应至少每四到六个月审查和更新一次。 企业可以考虑使用有助于自动化这些培训课程的工具。
安全意识培训更新不仅提供了有关安全威胁的宝贵警报和有关如何识别 BEC 攻击不同阶段的强化指导,还为员工提供了一个重要的学习场所,以了解这些攻击技术自上次培训以来的变化情况。 Embroker 商业和网络保险公司首席保险官 D**id Derigiotis 表示:“企业需要通过安全意识培训计划定期向员工更新不断变化的 BEC 威胁和政策,而模拟测试和其他审计需要成为这些定期更新的一部分。 ”
3. 强制性 BEC 特定事件响应计划
公司董事会和首席执行官应要求首席信息安全官在其事件响应 (IR) 计划中包括 BEC 程序,公司应制定政策,要求安全团队定期更新这些 IR 计划并测试其有效性。 法律专家参与事件响应的各个阶段,法律部门应特别参与内部和外部利益相关者的沟通,以确保公司在发生BEC攻击时不会增加其法律责任。
Culahne Meadows合伙人Reiko Fe**er表示:“任何违规行为都可能带来法律责任,因此最好在违规行为发生前进行讨论,并尽可能提前计划。 ”
FE**er 建议 BEC 政策文件规定法律部门成为威胁建模团队的一部分,以分析不同类型 BEC 攻击的潜在影响,以便将法律专业观点纳入响应计划。 “此外,泄露或暴露有关业务合作伙伴、客户、人员等的信息,包括机密信息,可能会产生法律后果,在制定 IRP 和实际应对实际违规行为时也应考虑这些后果,”她说。 ”
第四禁止共享公司图表和其他运营细节的规则
BEC 诈骗者经常利用他们对组织内部运作的了解,通过帐户接管攻击来针对特定员工,向受害者提出可信的请求,或设计出非常令人信服的社会工程方法。
Safeguard Cyber 的首席技术官兼首席产品官 Stephen Spadaccini 表示:“企业应该从公司中删除组织结构图和其他细节**。 黑客可能利用这些信息进行有针对性的网络钓鱼诈骗的职位描述; 避免在社交网络上发布详细的个人信息,这些信息会落入那些准备实施个性化社交工程的人手中**。 ”
5. 发票和金融交易协议
防止BEC造成巨大损失的关键策略是技术不可知的,重点是建立一个牢不可破的业务标准和流程来处理发票和触发金融交易。
“这意味着将纵深防御应用于整个企业的业务实践,而不仅仅是网络安全,”Fortra 首席信息安全官 Chris Reffkin 说。 例如,如果您通过电子邮件收到更改付款信息的请求,业务流程的响应是什么? ”
理想情况下,这些政策应要求所有付款都追溯到已批准的发票,并附有经过验证的收款人姓名、地址和付款说明。 Knowbe4的辩护专家罗杰·格莱姆斯(Roger Grimes)建议:“任何临时付款请求都必须在付款发出之前进行正式审查。 要求在批准之前使用合法渠道验证所有付款指令更改。 ”
需要注意的是,强有力的政策可以消除攻击者对员工施加的紧迫感和恐惧感(社会工作者攻击),尤其是当攻击者冒充高管或上级提出不寻常的请求时。 强有力的政策可以保护“不听话”的员工并严格遵守规则。
6. 高风险变更和交易的带外验证
对于发票和金融交易政策,企业应特别注意如何验证和批准高风险交易和金融账户变更。 Qmulos合规战略副总裁Igor Volovich表示:“实施严格的流程来验证金融交易和数据请求至关重要。 这是针对 BEC 攻击的关键防御措施,可确保对每个请求进行彻底审查。 将这些流程嵌入到日常运营中可以创建一个强大的防御机制。 ”
企业备份BEC的一个重要方法是确保通过电子邮件触发的任何高风险事件都通过某种带外验证过程进行跟进,该过程可以通过安全系统或SMS进行**。
DarkTower首席执行官Robin Pugh强调:“这是最重要的政策之一。 切勿仅根据电子邮件请求更改付款详细信息。 每当通过电子邮件请求更改付款信息或银行信息时,都应制定一项策略,要求收件人始终使用受信任的 *** 语音消息与请求者联系。 Pugh说,在高风险交易中增加第二个审批者还可以进一步降低风险并减少内部威胁。
Troy Gill, 威胁情报高级经理 OpenText 网络安全, 警告说,攻击者可能潜伏在受感染的邮箱中,等待机会在发生支付活动时进行干预。 即使联系人通过电子邮件提供法律文件,也应辅以带外验证。 “在许多情况下,攻击者会篡改以前发送的合法文档,将接收帐号替换为 [攻击者控制的] 帐户,”Gill 解释道。 因此,在电子邮件线程之外确认所有更改至关重要。 ”
七、申请注册流程
对于某些组织来说,要求临时带外**呼叫的策略可能不够严格,无法降低 BEC 风险。 TrustNet 的首席信息安全官兼创始人 Trevor Horwitz 解释说,将身份验证提升到新水平的一种策略是建立一个内部安全的“请求寄存器”,每个交换或更改敏感信息的请求都将通过该寄存器。
由于来自外部的欺骗性电子邮件和来自内部的受感染电子邮件的双重威胁,防止 BEC 需要广泛的策略。 我们倡导一种新颖的策略,其灵感来自金融服务行业的“主动支付”欺诈预防。 霍洛维茨说。 “这项政策要求使用辅助方法对所有敏感信息交换和更改进行主动验证,包括收款人、银行信息、应收账款和员工数据。 该机制包括一个内部安全的“请求寄存器”,可确保在任何信息交换或修改之前进行积极的验证。 ”
通过此策略和方法,每个敏感请求都会在集中式系统中注册,然后通过第二个因素进行批准,无论是一次性密码 (OTP) 还是硬件安全密钥(例如 FIDO2)。 “用户接受过培训,可以在泄露信息或进行更改之前通过此寄存器验证敏感请求,”霍洛维茨告诉CSO。 ”
8. 开放的举报机制
政策、文化和流程需要专注于公开报告,使员工能够轻松报告异常请求,而不必担心因误判而受到惩罚。 “重要的是要确保员工不害怕报告可疑事件,”Fe**er说。 越早报告,就越容易解决,但害怕的员工可能不愿意承认错误。 ”
企业需要建立记录在案的程序和机制来报告可疑事件,并尝试奖励和预防错误,而不是惩罚它们。 “为了增加激励措施,我建议建立一个奖励系统,例如奖池或礼品卡,用于成功识别和阻止BEC攻击企图的人,”吉尔说。 这将有助于培养防御心态和零信任心态,他们需要知道如何安全地做到这一点。 ”
参考链接:
end