商务电子邮件入侵(BEC)已经成为一个安全热词. 它只是指使用电子邮件攻击并进入你的网络. *网络钓鱼*或*鱼叉式网络钓鱼*是你会听到的其他术语. 据估计,针对大多数网站的攻击中有70%来自电子邮件.
拥有强大的垃圾邮件过滤器是防止这些攻击的第一步. Barracuda电子邮件保护平台评估所有电子邮件的内容,包括垃圾邮件和恶意链接和附件. 它检查所有提供的链接是否有恶意内容. 它对所有附件执行相同的操作.
使用DNS过滤(如Cisco Umbrella)也有助于检查和阻止可能对您造成伤害的恶意链接和网站.
然而,一个同样危险的老威胁出现了新的转折——凭证盗窃.
传统上,某人的电子邮件凭据被泄露,垃圾邮件发送者突然利用这种开放的邮件中继向全世界随机发送广告. 这些妥协是非常明显的,很容易关闭.
然而, 新的现实, 哪些地区已经和我确认发生了, 攻击者是否获得了地区雇员的凭据. 他们不会发送垃圾邮件,而是登录后阅读、查看并等待. 我们的目标是让他们了解你的网络. 他们想知道哪些人有权访问个人身份信息,哪些人负责该地区的财务事务.
然后他们改进攻击,专门针对这个地区的那些人.
如果他们侵入了新的目标账户,他们就会再次坐下来阅读和倾听.
如果他们找到负责财务的人,他们就会试图介入会计过程. 最近的一个例子是罗德岛事件,一名攻击者将自己插入该地区的会计流程,并将自己纳入会计系统,以提取数百万美元.
再说一次,这不再是理论. 这种情况正在发生,各地区告诉我,他们已经看到有迹象表明,地区行政人员被有意识地针对.
如果攻击者不让自己知道,你怎么知道这正在发生?
为了防御这种攻击,您可以做的第一件事就是实现多因素身份验证. 如果在凭据请求之上存在MFA挑战, 联邦调查局估计99%的攻击都在那里结束.
有一个新术语叫做“不可能登录”. 如果你在波基普西, NY, 然后登录你的网络, 你不可能在3分钟后从哈萨克斯坦或者更可能是扬克斯或者弗吉尼亚通过一个受损的家庭电缆调制解调器被签署.
如果您查看日志并看到不可能的登录,则说明发生了一些不好的事情.
这些隐形攻击的另一个特点是,攻击者设置转发规则,将目标的电子邮件转发给攻击者查看,而不需要过多登录,或者转发给其他用户或钝化文件夹,以隐藏他们正在积极监控和操纵目标电子邮件的事实. 这些规则还可以删除来自选定供应商或将参与金融盗窃的人员的电子邮件. 一个例子可能是CSI电子邮件被自动删除,而不是, 攻击者开始替换虚假的CSI邮件,宣布更改地址,并为攻击者了解到正在进行的合法项目提交账单!
这就引出了另一个基本原则——当有人要求对金钱或个人信息进行重大调整时, 接收该信息的人应核实该信息是否“超出范围”.e. 拿起电话,拨打你存档的号码,确认请求,或者把你的更改表格寄到你存档的地址。).
作为最终用户安全培训的一部分, 重要的是,您要教会用户如何查看哪些电子邮件过滤规则,并定期审核这些规则. 如果您的APP客户端人员正在帮助您的最终用户解决与软件相关的问题, 你应该在他们的基本清单中增加对不合适的邮件规则的抽查. 对于处理资金和个人信息的核心管理员来说尤其如此.
攻击者知道这是您网络中非常难以保护的区域. 如果你是一个办公室 365商店, 我们在亨特斯的朋友有一个新的办公室 365代理,可以帮助保护你的安全. 关于我所讨论的任何解决方案的更多信息,请联系Lisa. 我们是来帮忙的. 给我们打电话.
-Scott Quimby, CISSP
P.S. 下一次CSI网络安全活动将于12月6日星期三举行. 详情请联系Lisa.
最近的评论