CTI論壇(ctiforum.com)(編譯/老秦): 網(wǎng)絡(luò)釣魚是一個(gè)代價(jià)高昂的陷阱,生產(chǎn)力損失的間接成本從 2015 年的 180 萬美元激增至 2021 年平均每家公司的 320 萬美元。這使得它成為一個(gè)值得關(guān)注的突出攻擊,因?yàn)楣菊诔蔀榫W(wǎng)絡(luò)釣魚攻擊的受害者,并且日趨嚴(yán)重。
最近,通信巨頭Twilio證實(shí),黑客通過網(wǎng)絡(luò)釣魚攻擊成功誘騙員工交出公司登錄憑據(jù),從而訪問了客戶數(shù)據(jù)。
該攻擊使用聲稱來自Twilio的 IT 部門的 SMS 網(wǎng)絡(luò)釣魚消息,暗示員工的密碼已過期或他們的日程安排已更改,并建議目標(biāo)使用攻擊者控制的欺騙性網(wǎng)址登錄。
Twilio表示,攻擊者發(fā)送這些消息看起來是合法的,包括"Okta"和"SSO"等詞,指的是單點(diǎn)登錄,許多公司使用單點(diǎn)登錄來保護(hù)對其內(nèi)部應(yīng)用程序的訪問。(Okta本身在今年早些時(shí)候也受到了攻擊,黑客可以訪問其內(nèi)部系統(tǒng)。)
總體而言,由于 COVID-19 大流行,網(wǎng)絡(luò)犯罪(包括從盜竊或挪用公款到數(shù)據(jù)黑客攻擊和破壞等方方面面)增加了 600%。隨著數(shù)量的增加,網(wǎng)絡(luò)犯罪的嚴(yán)重程度也在上升,漏洞和黑客攻擊對于當(dāng)今的公司來說是至關(guān)重要的,甚至是致命的傷害。 Cybersecurity Ventures 預(yù)計(jì),未來五年全球網(wǎng)絡(luò)犯罪成本將以每年 15% 的速度增長,到 2025 年將達(dá)到每年 10.5 萬億美元,高于 2015 年的 3 萬億美元。
各種類型的攻擊都在上升。福布斯顧問最近的一項(xiàng)研究使用了 FBI 互聯(lián)網(wǎng)犯罪投訴中心 (IC3) 過去五年的數(shù)據(jù),發(fā)現(xiàn)當(dāng)將十大最常見的違規(guī)方法加起來時(shí),已發(fā)生超過 160 萬起違規(guī)行為。勒索、個(gè)人數(shù)據(jù)泄露和身份盜竊等攻擊的數(shù)量和損失都在增長。
"在所有類型的網(wǎng)絡(luò)攻擊中,各種規(guī)模的組織都必須格外警惕的一種是網(wǎng)絡(luò)釣魚攻擊。"DefensX的創(chuàng)始人兼首席執(zhí)行官 Osman Erkan說:"網(wǎng)絡(luò)釣魚攻擊是發(fā)送看似來自可靠來源的欺詐性通信的做法,通常通過電子郵件進(jìn)行,但也可以通過短信進(jìn)行。這些攻擊的目標(biāo)是竊取信用卡和登錄信息等敏感數(shù)據(jù),或在受害者的機(jī)器上安裝惡意軟件。從那里,攻擊者可以幫助訪問您的在線帳戶和個(gè)人數(shù)據(jù),獲得修改和破壞連接系統(tǒng)的權(quán)限,例如銷售點(diǎn)終端和訂單處理系統(tǒng)--在某些情況下劫持整個(gè)計(jì)算機(jī)網(wǎng)絡(luò),直到支付贖金。"
網(wǎng)絡(luò)犯罪分子通常使用網(wǎng)絡(luò)釣魚作為攻擊,利用組織的最后一道網(wǎng)絡(luò)防御--員工--Erkan說,他是世界頂級網(wǎng)絡(luò)安全專家之一。
"攻擊始于旨在引誘受害者的欺詐性電子郵件或其他通信,其消息看起來好像來自受信任的發(fā)件人,"Erkan說。"如果它欺騙了受害者,他或她就會被誘騙提供機(jī)密信息--通常是在詐騙網(wǎng)站上,或者有時(shí)惡意軟件也會下載到目標(biāo)的計(jì)算機(jī)上。有新的方法可以保護(hù)組織免受這些日益危險(xiǎn)的威脅,我們正在盡我們所能來啟發(fā)領(lǐng)導(dǎo)者,有解決可能導(dǎo)致與合規(guī)相關(guān)的罰款,甚至更糟糕的是,他們的業(yè)務(wù)滅絕的問題的解決方案。"
Twilio表示,自攻擊以來,它已撤銷對受感染員工賬戶的訪問權(quán)限,并增加了安全培訓(xùn),以確保員工對社會工程攻擊保持"高度警惕"。他們并不是當(dāng)今唯一試圖加強(qiáng)網(wǎng)絡(luò)安全的公司,因?yàn)?54% 的公司表示,他們的 IT 部門目前還不夠成熟,無法應(yīng)對高級網(wǎng)絡(luò)攻擊。許多企業(yè)現(xiàn)在正在尋找解決方案和協(xié)議來幫助阻止?jié)撛诘木W(wǎng)絡(luò)釣魚攻擊。
"以'永不信任,始終驗(yàn)證'為原則的零信任解決方案在今天是賭注,"Erkan解釋說。"有了這個(gè),所有實(shí)體在這個(gè)范式中都被認(rèn)為是不可信的,除非通過身份驗(yàn)證/授權(quán)證明不是這樣。"
盡管網(wǎng)絡(luò)安全需求的增長主要是在過去十年內(nèi),但零信任已經(jīng)經(jīng)歷了大幅增長。 2020 年全球零信任證券市場規(guī)模為 198 億美元,預(yù)計(jì) 2021 年至 2028 年的復(fù)合年增長率 (CAGR) 為 15.2%??焖僭鲩L可歸因于零信任可以提供在防御網(wǎng)絡(luò)釣魚攻擊時(shí)的好處。
"通過在他們的電子郵件服務(wù)器/服務(wù)/移動設(shè)備中實(shí)施零信任,組織可以更好地保護(hù)他們的用戶免受網(wǎng)絡(luò)釣魚攻擊,"Erkan說。"許多現(xiàn)有的反網(wǎng)絡(luò)釣魚產(chǎn)品嚴(yán)重依賴只能檢測/隔離已知威脅的阻止列表和過濾器?;诹阈湃蔚膭?chuàng)新將阻止來自未經(jīng)授權(quán)的收件人的任何電子郵件,并分析電子郵件內(nèi)容以查找更常見/已知的威脅,但對于掌握了社會工程藝術(shù)的資金充足且盈利的企業(yè)而言,這還不夠。為每位員工提供經(jīng)過驗(yàn)證的工具來提醒他們注意危險(xiǎn)消息并防止他們在意外點(diǎn)擊時(shí)與危險(xiǎn)域進(jìn)行交互是非常重要的。小小的投資,就可以避免大災(zāi)難。"
打擊網(wǎng)絡(luò)釣魚攻擊的另一種主要方法是簡單地培訓(xùn)員工如何發(fā)現(xiàn)攻擊,以及在出現(xiàn)違規(guī)情況時(shí)該怎么做。網(wǎng)絡(luò)釣魚利用員工的不知情,每天每人發(fā)送和接收大約 121 封商業(yè)電子郵件,很容易錯(cuò)過跡象并成為網(wǎng)絡(luò)釣魚的受害者。
"在您的工作場所定期舉辦網(wǎng)絡(luò)釣魚意識培訓(xùn)課程很重要,"Erkan說,"但這可能會耗費(fèi)時(shí)間并降低生產(chǎn)力,而且鑒于我們收到的電子郵件和短信數(shù)量龐大,這還不夠。這就是我們創(chuàng)建DefensX并不斷增強(qiáng)我們的平臺、解決方案和功能的原因。"
DefensX將傳統(tǒng)的網(wǎng)絡(luò)瀏覽器轉(zhuǎn)換為零信任的安全瀏覽器。零信任威脅防御技術(shù)通過隔離威脅到達(dá)端點(diǎn)設(shè)備(如臺式機(jī)、筆記本電腦、智能手機(jī)和平板電腦)來保護(hù)用戶免受高級網(wǎng)絡(luò)安全攻擊。
總體而言,隨著技術(shù)的進(jìn)一步發(fā)展,網(wǎng)絡(luò)犯罪和黑客不會很快消失,網(wǎng)絡(luò)釣魚也不會。企業(yè)必須更加謹(jǐn)慎,因?yàn)楹诳涂赡軡摲诿糠怆娮余]件和 URL 后面。對于希望在數(shù)字時(shí)代繼續(xù)受到保護(hù)的公司來說,零信任解決方案可以幫助加強(qiáng)防御,而充分的員工培訓(xùn)和基于云的軟件解決方案可以幫助填補(bǔ)空白。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 深度聚焦性能和游戲體驗(yàn),一加 Ace 5系列售價(jià)2299元起
- 深度聚焦性能和游戲體驗(yàn),一加 Ace 5系列售價(jià)2299元起
- 中國信通院副院長魏亮:構(gòu)建算力互聯(lián)網(wǎng),實(shí)現(xiàn)異構(gòu)算力隨需獲取
- CCSA理事長聞庫:算力互聯(lián)網(wǎng)是解決資源供需矛盾的重要手段
- 2025年改變社區(qū)的6大智慧城市趨勢
- 社區(qū)力量與開源創(chuàng)新:共同塑造人工智能的安全與道德未來
- 未來已來:智能建筑技術(shù)的變革
- 人工智能和知識圖譜如何重新定義建筑行業(yè)?
- 智能建筑技術(shù):ESG合規(guī)與可持續(xù)運(yùn)營的關(guān)鍵
- 融資啟新,“獨(dú)角獸”企業(yè)象帝先終迎曙光
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。