黑客正在使用一種我稱之為“深海網(wǎng)絡釣魚”的方法提升他們的攻擊水平，即結合使用下面我將提到的一些技術來使自己變得更具攻擊性。為了跟上步伐，網(wǎng)絡安全創(chuàng)新者一直在努力開發(fā)工具、技術和資源來提高防御能力。但是，組織如何才能應對尚未啟動甚至尚未構想出來的不斷演變的威脅呢？

　　例如，今年2月，10,000名Microsoft用戶成為網(wǎng)絡釣魚活動的目標，該活動發(fā)送聲稱來自FedEx、DHL Express和其他快遞公司的電子郵件，其中包含指向托管在合法域上的網(wǎng)絡釣魚頁面的鏈接，目的是獲取收件人的工作電子郵件憑據(jù)。使用合法域名可以使電子郵件逃避安全過濾，而人們因疫情而對快遞服務以及相關信息的依賴提高了釣魚活動的成功率。

　　今年5月，攻擊者發(fā)起了大規(guī)模、復雜的以支付為主題的網(wǎng)絡釣魚活動。網(wǎng)絡釣魚電子郵件敦促用戶打開附加的“付款建議”--實際上，這根本不是附件，而是一個包含指向惡意域鏈接的圖像。打開后，基于Java的STRRAT惡意軟件被下載到端點上，并通過命令和控制（C2）服務器連接運行后門功能，例如從瀏覽器收集密碼、運行遠程命令和PowerShell、記錄擊鍵和其他犯罪活動。

　　網(wǎng)絡釣魚也不再是一直在地下醞釀的小規(guī)模網(wǎng)絡騷擾。如今，近70%的網(wǎng)絡攻擊（如上所述）是由有組織的犯罪或與民族國家有關聯(lián)的行為者精心策劃的。隨著許多recovery tab達到數(shù)百萬，組織需要一個解決方案來保護他們免受尚未設計的攻擊，即可能造成最大損害的0day攻擊。

　　但是在我們解決防御問題之前，讓我們首先看看我們要防御的對象。下面提到的網(wǎng)絡釣魚策略的類型按復雜程度的升序排列出。

　　網(wǎng)絡釣魚的類型

　　并非所有網(wǎng)絡釣魚攻擊所造成的損害都是相同的，但所有網(wǎng)絡釣魚攻擊都將在設計上對組織造成損害，可能涉及巨額財務支出、補救成本、收入損失和聲譽受損。攻擊范圍從典型的網(wǎng)絡釣魚電子郵件到復雜的魚叉式網(wǎng)絡釣魚計劃和“捕鯨”。

　　?釣魚郵件

　　普通的網(wǎng)絡釣魚活動中，網(wǎng)絡釣魚者向一大群收件人發(fā)送電子郵件，他們有充分理由期望收件人中的一小部分人會點擊。網(wǎng)絡釣魚電子郵件通常設計為看起來像是來自受信任公司的官方消息。然而，當收件人點擊電子郵件中嵌入的看似無害的鏈接時，惡意軟件可能會直接下載到他們的設備上，或者打開惡意網(wǎng)頁，下載惡意軟件或要求輸入憑據(jù)、帳號或其他有價值的數(shù)據(jù)等個人信息。

　　?魚叉式網(wǎng)絡釣魚電子郵件

　　與廣泛撒網(wǎng)的網(wǎng)絡釣魚不同，魚叉式網(wǎng)絡釣魚電子郵件具有高度針對性，針對特定的個人或組織。網(wǎng)絡犯罪分子使用社交媒體和其他公共信息為特定個人創(chuàng)建個性化電子郵件，并偽裝成受信任的發(fā)件人。

　　例如，在4月，5億個LinkedIn帳戶的個人信息從社交媒體平臺上被抓取和泄露，并作為魚叉式網(wǎng)絡釣魚攻擊的誘餌出售。由于魚叉式網(wǎng)絡釣魚電子郵件是個性化的，因此收件人更有可能點擊其中的惡意鏈接，甚至在登錄頁面上輸入憑據(jù)。

　　?捕鯨

　　捕鯨是魚叉式網(wǎng)絡釣魚的一種形式，其目標是首席執(zhí)行官和首席財務官等知名人士，以獲取高度敏感的個人或業(yè)務數(shù)據(jù)。“發(fā)件人”可能偽裝成業(yè)務伙伴、客戶或有關鍵業(yè)務問題需要目標個人解決的人。捕鯨電子郵件的主要目標是竊取敏感的商業(yè)信息。

　　魚叉式網(wǎng)絡釣魚和捕鯨與一般網(wǎng)絡釣魚攻擊的不同之處在于使用個人和專業(yè)數(shù)據(jù)，在接收者眼中建立更高的合法性。它們是每個人都需要防范的一種成功率很高的網(wǎng)絡釣魚形式。

　　網(wǎng)絡犯罪分子的成功主要還是歸因于個人

　　更復雜的網(wǎng)絡釣魚攻擊需要更多的開發(fā)時間和精力，投資會以更大的預期得到回報，尤其是在惡意軟件分層時。這些方法對犯罪分子仍然有效：事實上，根據(jù)對全球MSP的調(diào)查，67%的受訪者表示網(wǎng)絡釣魚電子郵件是勒索軟件攻擊最常見的傳遞渠道。

　　許多公司要求員工定期接受反網(wǎng)絡釣魚培訓，但是員工培訓并不足以保護組織，因為人是網(wǎng)絡安全鏈中最薄弱的環(huán)節(jié)。人是容易上當受騙的、習慣驅(qū)動的生物，我們很容易就會點擊危害組織整個網(wǎng)絡的鏈接。

　　Verizon的2021年數(shù)據(jù)泄露調(diào)查報告（DBIR）的最高發(fā)現(xiàn)指出，85%的泄露涉及人為因素，36%涉及網(wǎng)絡釣魚（比上一年增加11%），10%的泄露涉及勒索軟件--是前一年的兩倍年。

　　勒索軟件-網(wǎng)絡釣魚鏈接

　　各種規(guī)模的組織都應該考慮勒索軟件攻擊（通常始于網(wǎng)絡釣魚）會對他們的績效、財務穩(wěn)定性和未來產(chǎn)生什么影響。更重要的是，他們應該評估他們的網(wǎng)絡安全策略和安全架構。

　　據(jù)SonicWall稱，自2019年以來，勒索軟件攻擊增加了62%。

　　這種沖擊包括小型企業(yè)。估計有一半的網(wǎng)絡攻擊都針對這一群體，他們可能沒有與大型組織相同的網(wǎng)絡釣魚意識培訓。由此產(chǎn)生的收入損失和補救成本、停機時間、聲譽損害和法律費用對小型企業(yè)來說都是巨大的打擊。

　　勒索軟件在不停發(fā)展……

　　新的發(fā)展使勒索軟件更具威脅性。根據(jù)FBI的說法，Ryuk是目前勒索金額最高的軟件。現(xiàn)在，它還添加了類似蠕蟲的功能，這使得它不再依賴于人為點擊來傳播。這是一個重大的令人擔憂的情況。

　　考慮一下：初始感染僅在幾秒鐘內(nèi)發(fā)生。當用戶單擊網(wǎng)絡釣魚電子郵件中的鏈接時啟動的勒索軟件會迅速開始在整個網(wǎng)絡中橫向傳播，對PC和服務器進行加密，從而最大限度地造成損害-并為瞄準您組織的網(wǎng)絡犯罪分子帶來最大利潤。

　　然后勒索軟件會讀取受感染的文件，搜索用戶憑據(jù)，使其能夠通過網(wǎng)絡計算機或映射驅(qū)動器之間的遠程桌面連接更快地傳播。在云上備份數(shù)據(jù)雖然是一種很好的做法，但未必就完全足夠。

　　復雜的勒索軟件可以將共享網(wǎng)絡驅(qū)動器和云備份服務上的文件作為目標，從而使您的整個組織陷入癱瘓，讓您受到網(wǎng)絡犯罪分子的肆意擺布。

　　勒索軟件的影響也可能遠遠超出業(yè)務本身。例如，5月份對Colonial Pipeline（一家擁有900名員工的公司）的勒索軟件攻擊導致5,500英里長的管道關閉，而這些管道輸送著美國東海岸45%的燃料供應。迫于為依賴管道提供燃料的數(shù)千萬人和組織恢復服務的壓力（包括醫(yī)療服務、執(zhí)法機構、消防部門、機場和廣大公眾），該公司不得不支付440萬美元的贖金。

　　人的行為是很難改變的

　　一封電子郵件只需要在一個易受攻擊的時刻命中，其誘餌就會引誘收到它的員工，讓該人點擊網(wǎng)絡釣魚電子郵件中看似合法的鏈接來下載受感染的文件。面對當今的0day威脅和高級惡意軟件，需要比基于簽名的掃描技術和查找已知惡意域更強大的防御。

　　組織不能依賴其用戶作為抵御網(wǎng)絡釣魚的最后一道防線。畢竟，用戶漏洞是網(wǎng)絡釣魚如此有效和被廣泛使用的原因。也不要責怪您的員工：網(wǎng)絡犯罪分子是人類行為研究和利用方面最為最老練的專家。

　　防御選項：遠程瀏覽器隔離

　　出于種種原因，必須考慮一種非常不同的方法，即假定漏洞存在時防止暴露于惡意軟件和勒索軟件的方法。隨著網(wǎng)絡釣魚攻擊變得越來越多層次和多方面，很難說下一個網(wǎng)絡犯罪的新方法將是什么，因此面向未來的觀念變得很重要。

　　遠程瀏覽器隔離（RBI）為組織提供了防御，即使是最復雜的基于Web的攻擊。當用戶單擊電子郵件中的鏈接或打開新的瀏覽器選項卡時，RBI會在位于云中遠程隔離容器中的虛擬瀏覽器中執(zhí)行Web內(nèi)容。只有安全的渲染數(shù)據(jù)才會發(fā)送到用戶的常規(guī)端點瀏覽器，從而提供完全交互式的常規(guī)瀏覽體驗。沒有Web內(nèi)容到達用戶設備，并且可以以只讀模式打開具有潛在風險的站點以防止憑據(jù)被盜，因此用戶可以100%免受惡意網(wǎng)站和網(wǎng)絡釣魚電子郵件中URL的惡意軟件攻擊。

　　網(wǎng)絡釣魚不僅存在，而且每天都在變得越來越先進和危險。接受人類易犯錯誤和容易被操縱的這一點至關重要，因此組織不應當將重點放在培訓上，而是要選擇有效保護組織免受網(wǎng)絡犯罪分子影響的解決方案。使用RBI來隔離用戶并使他們與惡意電子郵件鏈接和網(wǎng)絡釣魚站點的危險“隔絕”，是一種很好的方法，組織可以采用這種方法來使自己遠離網(wǎng)絡釣魚。