企业面向钓鱼邮件攻击的安全防御体系研究.pdf
《企业面向钓鱼邮件攻击的安全防御体系研究.pdf》由会员分享,可在线阅读,更多相关《企业面向钓鱼邮件攻击的安全防御体系研究.pdf(6页珍藏版)》请在咨信网上搜索。
1、22 2023年7月 第 7 期(第36卷 总第312期)月刊电信工程技术与标准化中国移动通信集团福建有限公司创新成果专栏收稿日期:2023-06-18钓鱼邮件攻击是近年来流行的一种网络攻击方式,是攻击者利用人的弱点来实施的网络攻击,达到窃取收件人的账号和密码等敏感信息或获取终端设备权限的目的,是最便于攻击者操作和最直接有效的攻击方式,具有成本低、隐秘性强和杀伤力大等特点。其近年来已经呈现出上升甚至泛滥的趋势,给企业带来严峻的威胁。本文深入分析国内钓鱼邮件攻击现状及实施机制,结合日常网络安全运营中监测发现的钓鱼邮件攻击方式、攻击流程和伪装手段等,介绍当前防范钓鱼邮件攻击的主要技术手段,并对企业
2、在防范钓鱼邮件攻击方面提出体系化的解决方案。1 钓鱼邮件攻击现状及实施机制1.1 钓鱼邮件攻击现状国内面临的钓鱼邮件攻击形式愈发严峻,根据Coremail 和奇安信于 2023 年 3 月联合发布的2022中国企业邮箱安全性研究报告,2022 年全国企业邮箱用户共收到各类钓鱼邮件约 425.9 亿封,相比 2021 年增加了 24.5%,数量约占企业级用户邮件收发总量的5.6%。尤其来自美国的钓鱼邮件最多,占国内企业用户收到钓鱼邮件的 31.5%。可见,随着全球网络空间安全对抗加剧,钓鱼邮件攻击作为社会工程学中最直接、最有效的方式,已成为目前网络攻击的最主要形式之一。当前企业,特别是涉及关键基
3、础设施的企业,可能由于安全防护技术手段不足、应急响应处置体系不完善等,遭受钓鱼邮件攻击,造成敏感数据泄露和系统被控等风险。因此,企业除了重视自身邮箱系统安全外,也更应该加强完善综合技术防御体系建设。1.2 钓鱼邮件攻击实施机制钓鱼邮件攻击主要有以下 3 个步骤。企业面向钓鱼邮件攻击的安全防御体系研究陈龙文,陈希,张恒,刘英豪(中国移动通信集团福建有限公司,福州 350001)摘 要 近年来企业收到的钓鱼邮件数量逐年攀升,钓鱼邮件攻击也成为攻击者突破企业网络安全防御体系最简单且最直接有效的攻击方式,给很多企业造成了巨大的甚至不可挽回的损失。传统孤岛式的技术防护手段无法形成有效防护,本文介绍了钓鱼
4、邮件攻击的现状和主要技术防护手段,针对钓鱼邮件实施机制提出从网络安全防护手段建设和网络安全应急响应处置等方面建立立体化防御体系,能够在日常网络安全防护及实战攻防演练对抗中发挥重要作用。关键词 钓鱼邮件;立体防御;终端管控;流量分析中图分类号 TN918 文献标识码 A 文章编号 1008-5599(2023)07-0022-0723 2023年7月 第 7 期(第36卷 总第312期)月刊电信工程技术与标准化中国移动通信集团福建有限公司创新成果专栏(1)制作并发送钓鱼邮件。攻击者向不特定(或特定)用户发送事先精心编写的钓鱼邮件剧本和已伪装的黑客程序,诱导用户点击邮件。当前大多数钓鱼邮件攻击会使
5、用某种技术欺骗,主流的欺骗方法有邮件正文插入恶意链接和邮件附件藏毒等。(2)恶意软件本地启动。用户缺乏安全防范意识,未认真甄别邮件,点击安装并运行邮件恶意程序。(3)恶意软件外联。已伪装的黑客程序可躲避终端上的防病毒软件检测,让终端主动连接黑客预先部署好的服务器,实现控制企业内网终端,最终达成横向渗透破坏或窃取敏感数据。主要攻击实施机制如图 1 所示。2 钓鱼邮件攻击立体化防御体系传统孤岛式的技术防护手段无法多链条发现攻击痕迹,系统间也存在安全能力协同壁垒问题,无法形成安全合力,构建一个多道防线、立体化的技术防御体系显得十分重要。通过整合资产、平台和数据等多层次要素,拉通融合终端安全管控系统、
6、上网行为管控系统、内网全流量检测系统和综合监测处置平台间能力,打造攻击“可见、可控、可查”的技术防御体系,如图 2 所示,形成的技术防御体系与钓鱼邮件机理之间的防控关系如下。(1)针对钓鱼邮件攻击的恶意软件本地运行阶段,用户点击安装恶意程序时,终端防病毒软件可查杀恶意程序。若恶意程序增加了免杀技术伪装,绕过防病毒软件查杀,且在终端成功运行,受控终端将访问恶意程序地址。由于上网行为管理系统能够对终端访问互联网的行为进行白名单管控和恶意域名访问监控,当终端访问恶意域名或恶意程序服务器时,能够及时自动拦截异常的网络访问,并将告警日志同步至网络安全综合监测处置平台。(2)针对钓鱼邮件攻击的恶意软件外联
7、接阶段,已伪装的恶意程序成功躲避防病毒软件和上网行为管理系统的防护,攻击者顺利开展渗透攻击,此时内网全流量检测系统对终端访问企业应用系统的网络流量进行威胁监测,及时识别异常访问行为,并将告警日志同步给网络安全综合监测处置平台。同时终端安全管控系统也支持对终端本身的异常行为,以及终端与终端之间的异常访问行为开展监测,并将生成告警日志同步给网络安全综合监测处置平台。合规互联网应用合规互联网应应用规互联网应黑客服务器黑客服务器器黑客服务器连接黑客C2服务器下载运行恶意软件远程控制终端企业内部网络正常的网络访问变种:网站信息即时聊天信息信息窃取攻击者用户钓鱼邮件图1 钓鱼邮件攻击实施机制24 2023
8、年7月 第 7 期(第36卷 总第312期)月刊电信工程技术与标准化中国移动通信集团福建有限公司创新成果专栏上述整个防御过程中形成的大量告警日志数据,在网络安全综合监测处置平台汇聚、分析和展示。安全值守人员经过进一步研判分析后开展一键处置工作,及时抑制终端入侵行为。其中处置手段主要包括告警提示、终端下线、端口封堵和 IP 封堵等。3 钓鱼邮件攻击防范关键技术3.1 终端安全管控终端安全是企业网络安全的重要组成部分,钓鱼邮件攻击主要通过控制企业网络安全防护水平较低的终端,达到窃取敏感数据的目的,或以此为跳板进行更进一步的渗透攻击。因此,建设一套终端安全管控系统十分必要。其通常具有身份认证、准入控
9、制、合规检查、补丁更新、病毒防护、资产管理和软件管理等能力,能够有效对未通过身份认证或不符合安全策略的终端进行网络隔离,提升企业接入终端的整体安全水平,达到提高钓鱼邮件攻击门槛的目的。3.1.1 终端网络接入控制终端接入企业网络必须先进行用户身份认证。认证通过后进行准入验证。验证内容包括但不限于软件进程检查(如禁止运行 teamview 和向日葵等远程控制软件)、屏保检查、远程桌面检查、共享资源检查、安全基线检查(如防病毒软件检查)等,符合准入控制的终端才可以接入到网络,极大避免外部终端的恶意接入和内部终端的违规接入。3.1.2 终端恶意代码防护终端部署统一防病毒客户端,通常具备有病毒查杀、勒
10、索病毒防护、挖矿病毒防护、文件隔离、主动防御和漏洞修复等能力,配合集中管理端模块,实现对病毒查杀策略和病毒库的统一升级管理,有效解决终端的病毒查杀问题。3.1.3 终端统一运维管控终端运维管控能力可以实现终端软件管理、终端资产指纹信息采集和终端操作审计等功能,以及支持对全网终端 0 Day 漏洞、异常端口的远程修复和封堵。此外还具备终端安全监测能力,在非法终端接入或终端被钓鱼等情况下,受控终端可能在内网横向攻击其它终端或系统,采用高危端口监测、扫描行为检测和入侵检测等技术,实现全网终端受攻击的实时告警。3.1.4 终端统一合规管控除了身份认证、准入控制和防病毒等传统能力外,还具备对企业网络开展
11、主动异常终端接入管控、设备边界管控、一机多网管控、非法外联监控和 USB 设备管控等合规管控能力。例如主动异常终端接入管控,采用SNMP、主动扫描探测、旁路流量和策略路由等方式,主动获取全部或指定网段终端接入情况,与资产信息交叉比对,及时发现异常接入的终端。3.2 上网行为管理上网行为管理系统具备应用识别管控、网页访问管控、上网安全防护等内网用户上网行为控制能力,也支持灵活的指定上网策略配置,能够有效阻断内网终端异常外联行为。3.2.1 网页访问管控网页访问管控主要包括 URL 过滤、关键字过滤和文件类型过滤 3 种。(1)通过应用识别模块提取数据中的 URL,对照内置和自定义的 URL 组,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 面向 钓鱼 邮件 攻击 安全 防御 体系 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。