信息化觀察網

本文來自微信公眾號“科技云報到”。

網絡釣魚，作為一種“古老”的攻擊技術已盛行多年。盡管企業(yè)的安全設備不斷上新，卻依然防不住釣魚的層層套路，令無數企業(yè)頭疼不已。

在每年的攻防演練中，“網絡釣魚”也是最有效的攻擊方式之一。攻擊方通常偽裝成行政、獵頭等對目標企業(yè)員工進行郵件釣魚，成功繞過企業(yè)現有的安全設備，讓企業(yè)重金建設的安全堡壘成為不堪一擊的“馬奇諾防線”。

釣魚攻擊屢試不爽的原因，正是凱文·米特尼克在《反欺騙的藝術》中提到的“人為因素是安全的軟肋”。

相關報告顯示，42%的員工承認在上網時采取過危險行動，如點擊未知鏈接、下載文件或暴露個人數據，未遵循網絡釣魚預防的最佳實踐等。

隨著傳播渠道的不斷豐富，攻擊技術以及生成式AI技術的快速升級，網絡釣魚的花樣還在不斷翻新。企業(yè)僅憑提升全員安全意識，根本無法徹底杜絕釣魚攻擊，頗有一種“看不慣卻又干不掉”的無奈。

為什么網絡釣魚這么難防？企業(yè)真的就治不了這個頑疾嗎？

日益隱秘的釣魚攻擊

相比于其他網絡攻擊手段，網絡釣魚顯得更加簡單直接，一般通過網站、語音、短信、郵件、WiFi等渠道，引誘企業(yè)員工、個人用戶點擊惡意鏈接或提供個人信息，從而進行滲透或欺詐活動。

但令人憂心的是，近年來網絡釣魚事件仍呈爆發(fā)式增長。Perception Point《2023年年度報告：網絡安全趨勢與洞察》顯示，2022年威脅行為者嘗試的高級網絡釣魚攻擊數量增長了356%。

Zimperium《2023年全球移動威脅報告》顯示，2022年，以移動設備為目標的網絡釣魚網站的比例從75%增加到80%。

伴隨著攻擊數量的飆升，網絡釣魚的手段也在走向高級化、多樣化。據騰訊安全總經理王宇觀察，近幾年網絡釣魚攻擊呈現四大新特征：

一是傳播渠道更廣泛，網絡釣魚的傳播渠道已經從最初的網站、垃圾郵件、短信，逐步擴大到社交媒體、短視頻平臺，可謂是無孔不入。

二是隱蔽性越來越強，網絡釣魚充分利用人性的弱點進行攻擊，通過利誘、威逼、假冒等隱蔽方式來達到誘騙目的；

三是場景化，過去網絡釣魚不分行業(yè)和客群，攻擊者普遍采用通用方式去釣魚，但現在是針對金融、醫(yī)療等不同場景實施定向釣魚；

四是跨國化，網絡釣魚已經從單一的國內攻擊發(fā)展為跨國攻擊，不少釣魚行為是針對國內企業(yè)在境外的員工，或在國內工作的華僑人士。

以上種種攻擊新趨勢，都意味著網絡釣魚比以往來得更加兇猛，更加難以防范。

對此，王宇舉了一個騰訊安全處理的真實案例：

攻擊者通過短視頻平臺添加了基金經理A的社交軟件，仿冒潛在客戶咨詢理財產品，向A發(fā)送了一個釣魚文件。

A在看到一個潛在大客戶的咨詢后，毫無防備地點擊下載運行了攻擊程序，從而被攻擊者悄悄控制了社交軟件。

當天晚上，攻擊者開始查看A的客戶群，充分了解其業(yè)務狀況。一段時間后，攻擊者展開攻擊，將自己設置為群管理員，并將A踢出群，然后迅速對群內上千個客戶實施詐騙，最終涉案金額高達千萬級。

王宇表示，這已經不是過去簡單的釣賬號行為，而是針對證券行業(yè)的定向攻擊，提前進行大量的情報收集，這種釣魚攻擊針對性、隱蔽性更強，并且很難通過員工培訓完全防范杜絕。

網絡釣魚為何難防？

盡管網絡釣魚花樣繁多，但畢竟是一個存在多年的網絡安全“毒瘤”，為什么網絡釣魚就如此難以防范，而現有的安全設備也難以發(fā)揮作用呢？

我們不妨從攻防雙方的特點來看：

從攻擊方看，釣魚本質上是利用人的弱點，攻擊者可以用被釣魚人員的身份，是一種典型的可信攻擊，原則上只能不斷提升人的安全意識，但無法徹底杜絕。

即便企業(yè)經過多年攻防演練，總部的投入大、安全意識教育足夠重視，但是子公司、分支、供應鏈等的安全意識還遠遠不足，大部分被釣魚成功也來源于此。

更加嚴峻的是，當前生成式人工智能(AIGC)技術也極大提升了釣魚攻擊的效率。王宇表示，攻擊者能夠利用AIGC技術高效生成更加難以分辨的釣魚郵件。

“很多釣魚攻擊都會有很明顯的團伙特征，比如說一個俄羅斯的黑客團伙，他去給其他國家的人發(fā)釣魚郵件，其實是可以通過內容識別他不是用native的語言去寫的，而現在利用AIGC就讓模仿的精細度更高，能夠消弭這樣的一些差異，加大了防御的難度。”王宇舉例稱。

從防守方看，當攻擊者通過釣魚成功投遞樣本后，隨之而來的是持久化的駐留、信息收集、內網橫向移動等行為，攻擊者會通過多種技術繞過現有安全設備，進行持續(xù)對抗。

而企業(yè)現有安全建設往往是煙囪式的，無論是WAF、IDS、EDR還是IAM、數據防泄漏等安全設備，都是各自為戰(zhàn)，無法對偽裝成正常行為的釣魚攻擊形成聯動檢測和響應，單點設備難免會漏報。

即便是擁有SOC安全運營中心的大型企業(yè)，現階段也較難實現有效的安全設備聯動，海量告警導致難以判斷哪些是真正的釣魚攻擊行為。

換句話說，面對來勢洶洶的網絡釣魚，人防不如技防，而技防則需端到端的聯防。

防釣魚需要新法器

知易行難，當單點的安全設備無力應戰(zhàn)時，企業(yè)在防釣魚這件事上顯然需要一種“新法器”。

在王宇看來，“打蛇打七寸”，想要防住網絡釣魚，首先得研究清楚釣魚的攻擊路徑，然后再有針對性地制定防護策略。

據王宇介紹，網絡釣魚攻擊一般會分為“事前-事中-事后”三個步驟：

“事前”即投遞環(huán)節(jié)，通過IM、郵箱、社交媒體等渠道投遞釣魚文件，誘導用戶點擊或下載文件執(zhí)行，而執(zhí)行程序則隱藏其中。

“事中”即執(zhí)行/內網橫移環(huán)節(jié)，當受害者運行了惡意程序后，惡意程序會在受害終端執(zhí)行，建立持久化駐留，獲取憑據，信息收集，橫向移動等操作。為了能在系統(tǒng)中運行，惡意程序通常都會經過免殺處理，從而逃避殺軟的查殺。

“事后”即命令和控制(外聯C2)環(huán)節(jié)，外連控制臺，為了將竊取到的有價值的信息回傳，攻擊者會采用一些隱匿加密通信技術進行外聯通信，從而實現遠控。

事實上，釣魚攻擊的每一個環(huán)節(jié)都有相應的行為特征，關鍵在于是否能有效檢測出這些異常行為。

結合騰訊多年以來的攻防技術和經驗，騰訊零信任iOA釣魚防護方案能夠針對釣魚攻擊的三個階段攻擊特點，分別從對釣魚攻擊的來源路徑監(jiān)測、釣魚文件形態(tài)識別、程序聯網零信任審計，實施外連監(jiān)測和關聯分析，確保“看得見”&“防得住”的效果，具體而言：

來源路徑監(jiān)測

在投遞環(huán)節(jié)，騰訊iOA在每個終端都建立本地基線數據，對新入的文件實現來源分析和追蹤。目前已實現覆蓋釣魚攻擊常見利用路徑，如郵件、IM工具等來源實行監(jiān)測。

未來將會和常用企業(yè)IM工具（企業(yè)微信等）合作，更精準識別和還原出釣魚入侵的源頭。

文件形態(tài)識別

在第二環(huán)節(jié)，騰訊iOA基于釣魚樣本檢測引擎，可以準確識別出釣魚樣本，專項識別樣本免殺技巧。

聯網零信任審計

針對聯網行為，騰訊iOA建立了聯網基線，聯網基線與新入文件基線實行關聯分析，對新入未知程序，可信程序（被注入）的聯網實行零信任審計，徹底攔截少量免殺的漏網之魚。

有了準確的檢測，騰訊iOA就可以在“事前-事中-事后”的每一個環(huán)節(jié)進行處置，比如：事前限制敏感數據的下載；事中阻止內網橫移等惡意行為；事后及時阻斷文件外傳行為等。

這種全生命周期的檢測和響應，使得騰訊iOA在理論上可以對釣魚攻擊行為實現100%覆蓋。目前在國家級的攻防演練實戰(zhàn)中，騰訊iOA已實現釣魚防護0漏報。

如此理想的效果，正是在于騰訊iOA采用了零信任理念。

在過去的幾年中，騰訊零信任iOA實現了零信任網絡訪問、辦公安全、身份安全、終端安全管理、數據安全等維度的功能，將身份、設備、應用、鏈路關聯起來，并強制所有訪問都必須經過認證、授權和加密，避免了單點安全設備之間無法關聯上下文分析的弊端，擁有了更全面和更易用的威脅溯源與風險控制的能力，從而實現了立體化的、端到端的安全防護。

這種全面的零信任安全能力，來源于騰訊20多年的攻防實戰(zhàn)技術和經驗。

作為多次在大型攻防演練中奪冠的攻擊隊，騰訊安全掌握著最新的攻擊手法，擁有一手的威脅情報；同時，騰訊自身也是被釣魚攻擊最多的互聯網公司之一，有著多年對抗釣魚攻擊的經驗。

作為國內唯一擁有“云+管+端+IM+郵件”產品聯動的廠商，騰訊在防釣魚攻擊方面極具優(yōu)勢。

零信任是

網絡安全的未來

不可否認，近幾年零信任理念在國內備受追捧，頭部安全廠商無一例外都在推廣零信任的優(yōu)勢。但零信任如何落地，如何真正解決像釣魚攻擊這樣的實際問題，始終是企業(yè)關心的方向。

在過去多年的安全建設中，企業(yè)大多部署了網絡側、終端側、應用側的安全設備。面對功能全面的零信任安全產品，難道企業(yè)需要全盤拋棄現有安全設備、從頭來過？

答案是否定的。

在王宇看來，零信任方案的落地是有節(jié)奏的，一定是從業(yè)務視角出發(fā)，從企業(yè)最關心的場景切入，先與現有的安全設備做結合，看到實際效果之后再進行逐步替代。

事實上，作為國內率先實踐零信任的互聯網公司之一，騰訊內部的零信任實踐也是分步實現的。

從2016年內部上線，到2017年實現內部職場辦公一體化安全平臺，再到2020年新冠疫情期間，騰訊零信任iOA支撐了騰訊全球10W+設備的隨時隨地接入辦公，實現了安全零事故，騰訊iOA也因此成為國內最大規(guī)模落地的自研自用零信任解決方案。

而從目前企業(yè)客戶需求看，遠程辦公帶來的安全接入問題，是其最關注的業(yè)務場景。因此，替代或新建VPN成為零信任最為明晰的切入點，其帶來的價值也非常直觀。

隨著遠程接入安全問題的解決，企業(yè)下一步關心的安全問題是權限的控制，即能否對身份、設備、數字資產等實現靈活可控的權限收放，而這正是釣魚防護、勒索防護、入侵防御等安全場景的關鍵所在。

對此，王宇建議在實現VPN替代之后，企業(yè)可以進一步增加防釣魚功能，之后再補充終端安全功能，將零信任方案中的更多功能聯動起來，實現一體化的安全防護。

針對已有SOC的大型企業(yè)，騰訊零信任iOA也能夠與SOC聯動，基于多維監(jiān)測數據場景實現關聯分析，為安全運營帶來更精準和效率的檢測。

目前，騰訊零信任iOA的防釣魚功能已在金融、游戲、運營商等多個行業(yè)頭部企業(yè)中應用。

憑借成熟的產品能力和商業(yè)交付能力，騰訊零信任iOA終端部署量級達數百萬，成為了國內首個部署終端突破百萬的零信任產品。

結語

高端的獵手，往往采用最樸素的攻擊方式。當企業(yè)把安全防線做到萬無一失時，最直接的攻破手段，反而是網絡釣魚這類古老的攻擊方式。

但無論網絡釣魚多么難防，終歸是攻防雙方的技術對抗，在零信任“持續(xù)驗證，永不信任”的防護理念之下，釣魚攻擊正在迎來史上最黑暗的時刻。