首页 > 安全 > 网络安全 >

2016企业网络钓鱼威胁研究报告(下)

2016-12-27

目前,91%的网络攻击和数据泄漏都是以钓鱼攻击开始的,今年以来,全球钓鱼攻击增长了55%,以商业内容为主题的钓鱼攻击造成的损失增长了1300%,在所有钓鱼邮件的样本中,97 25%为勒索软件,勒索钓鱼增长了400%。

目前,91%的网络攻击和数据泄漏都是以钓鱼攻击开始的,今年以来,全球钓鱼攻击增长了55%,以商业内容为主题的钓鱼攻击造成的损失增长了1300%,在所有钓鱼邮件的样本中,97.25%为勒索软件,勒索钓鱼增长了400%。如果您对钓鱼邮件威胁、企业如何应对感兴趣,请你耐心读完这篇研究报告。
PhishMe介绍
为了更好的理解这篇研究报告,我们有必要介绍一下PhishMe 公司,正是这家公司发布了这篇研究报告。
“鱼叉式网络钓鱼”是骗子常用的手法,这种攻击方法的成功率很高。企业中的任何一个人,点击链接、打开附件文件就有可能为攻击者开启了整个企业的大门,攻击者就可以以此为基点,在企业内部渗透,接触到企业内部的所有信息了。这种方法虽然早就出现,但是到目前为止还是企业安全面临的最头疼和最严峻的安全威胁,目前唯一有效的方法就是告诉你的员工,让他们认识到情况。这需要对员工进行考察,看看谁会成为受害者。那些打开假冒附件的人都应该接受培训,让他们知道自己错在哪里。这可以让员工提高主动安全意识。如果有很多人都成为受害者,那么就应该进行正规的教育了。其次,在发现存在可疑钓鱼邮件时,鼓励员工及时上传并报告给安全团队,这样安全团队才能及时发现存在的网络钓鱼活动,并着手将危害降到最低。针对这一整套的流程,网络安全初创公司 PhishMe推出了相应的解决方案,这是一家领先的安全行为管理服务提供商,旨在帮助企业对抗恶意软件造成的钓鱼攻击,而PhishMe的工具可以让员工识别出带有恶意钓鱼攻击性质的邮件,并将恶意邮件汇报给公司内部的网络安全小组。为公司及时堵住漏洞创造条件。
为了更好理解报告中的内容,有必要介绍一下PhishMe的一些工具。
PhishMe Simulator:是一个能发送模拟钓鱼邮件的模拟程序,会模拟现实生活中钓鱼的情景、语境,允许组织评估、测试和教育所有员工关于网络钓鱼的威胁,提高员工的安全意识。
PhishMe Reporter:一个为方便员工报告可疑钓鱼攻击的工具,员工发现邮件有可疑点后,只需要一个点击,就可以将可疑文件报告给安全团队,可以让安全团队及时发现存在的网络钓鱼活动,并立即着手调查,将危害降到最低。目前,全球安装PhishMe Reporter的用户约有500万个,根据这个安装量和用户数据,我们可以统计出人们上传并报告钓鱼邮件的精确数量和比例。
勒索软件和活跃威胁
同样,我们根据当前的活跃威胁,建立了勒索钓鱼邮件场景,并加入到了PhishMe的钓鱼模拟系统中。

如上图,使用勒索钓鱼邮件模板进行模拟钓鱼攻击的平均响应率达到了17%。根据PhishMe第3季度的恶意软件综述,在钓鱼邮件样本中,包含勒索软件的占97.25%。上图中,比我们的勒索钓鱼邮件模板的响应率还要高的是Locky勒索软件,这是今年年初疯狂传播的勒索软件。

勒索软件Locky的钓鱼分析
在2016年2月,PhishMe的情报小组确定了一种异常的、大量的电子邮件,这些邮件包含Word附件,Word中包含恶意宏,并能下载恶意软件,下载的恶意软件就是Locky勒索软件。Locky勒索软件在其部署的第一天,仅仅用了几个小时,全世界遭到感染的人就超过了难以置信的40万个。在2016年,Locky传播的不仅比大多数恶意软件都多,而且超过了所有其他勒索软件,因此,在我们进行模拟钓鱼攻击时,我们很有必要用Locky来进行模拟。目前我们在PhishMe模拟器中已经加入了Locky的模拟钓鱼模板。

在分析PhishMe的Locky模板对用户的易感性前,我们先来看一下Locky钓鱼邮件的特点,在我们的反钓鱼程序中和现实世界中都赋予它有效性。
1.它呈现的是商业内容。
2.有目标明确的收信人。
3.语法和拼写上没有明显的错误。
4.它模仿许多组织现有的发票流程

上图是PhishMe的Locky模板。

根据上图,很明显,在面对钓鱼邮件时,现实世界中的不同行业,又一次表现出了不一样的响应率。根据我们的数据,我们发现这些组织如:保险、零售和能源部门最脆弱,平均响应率从28%到35%。
上面是采用Locky场景在各行业中的响应率,下面是其他场景在多个行业的响应率:

阻止BEC邮件面临的挑战---没有链接、没有附件
商业内容的邮件陷阱(BEC:Business Email Compromise)是一个复杂的骗局,通常这种电子邮件没有链接或邮件附件。它瞄准那些熟悉的业务和业务活动的请求,如执行电子付款,或被要求提供公司的敏感信息数据,如W2数据。这些电子邮件似乎来自内部领导,但是没有链接、没有附件,这就造成了触发报警和技术分析上的困难,使这些威胁非常难以检测。


采用BEC形式的钓鱼邮件的易感性

如上图,我们看到,采用BEC形式的网络钓鱼的平均响应率有14.2%,处理网络汇款明显是易感率最高的钓鱼邮件场景,在国防、保险和媒体行业尤其有效。

制定反网络钓鱼计划
报告写到这里,我们的报告已经概述和讨论了网络钓鱼的风险程度,以及影响用户识别和报告的困难因素。要强调一下,渗透测试结果和反钓鱼行为培训计划之间是有差异的。仅仅确定风险的广度是不够的。我们必须回答这个问题:我们如何利用钓鱼邮件攻击易感性研究结果,并把它们用到缓解网络钓鱼威胁中去呢?

在设计反钓鱼程序/纲要/计划时,我们可以用上图中的网络钓鱼杀伤链为模型。这个模型模仿了安全组织利用的著名的杀伤链过程。不同点在于,用户在网络钓鱼的杀伤链中加入了报告制度。将上面的模型加入到反钓鱼程序(或计划、流程)中可以通过下面的步骤:
1.给你们企业使用的技术和流程弱点设置起码的底线。
2.分析最初/以前的网络钓鱼场景结果,确定出那些用户难以发现、识别的钓鱼场景。
3.根据2中的分析结果,和难以识别的场景模型,设计出未来可能被钓鱼的场景方案。
4.向你企业中的人阐述钓鱼场景,对他们进行教育,强化安全意识。
5.强调在所有意识活动中报告可疑网络钓鱼的重要性,和你的场景教育。
6.对高危人群和部门结合鱼叉式网络钓鱼。
7.重复你的场景以增加用户的识别能力和报告意识。
8.对用户报告的可疑钓鱼行为进行跟踪研究。
9.将员工报告的可疑钓鱼邮件发给事件响应团队,用于分析和消除危害。
强化识别和报告
当评估一个反钓鱼程序是否有效时,可以通过查看以下三个指标:
1.降低易感率;
2.增加识别率;
3.增加报告率;
在下表中,我们分析了不同大小的企业,在面对多次钓鱼攻击时的趋势、和报告率。这个分析结果来源于30多万个在企业中安装了PhishMe Reporter可疑钓鱼报告工具的用户。这个工具是一年前开发的。

上图为用户响应网络钓鱼的趋势,说明了:无论公司大小,在用户失败一次以后(点击了钓鱼邮件),再次面对网络钓鱼时,响应率降低了19%,这说明用户对网络钓鱼的识别能力显著提高了。
下面是用户报告可疑钓鱼邮件的分解图:

我们可以看到,作为强调报告对反钓鱼程序的重要性的结果,用户有上传并报告可疑钓鱼邮件的新习惯。对于安装了PhishMe Reporter的用户来讲:
1.12%至20%已报告至少一次。
2.17%至29%已报告过多次。
除了这些统计数据,参与这次研究的企业,在12到18个月的期间内,企业从员工那收集到了很多“真实的”可疑钓鱼邮件(不是PhishMe的模拟钓鱼邮件):
1.大型企业--超过100万个
2.中型企业--超过4万个
3.小型企业--超过1.6万个

如图所示,不论公司大小,上传并报告的用户比例很高,参与的用户从37%到47.5%。不要忘了,对于所有类型和模板的模拟钓鱼邮件,易感率大概在15%到20%之间,和这个相比,报告率非常显著。
正如我们以前讨论过的,及时上报可疑钓鱼邮件的好处是显而易见的,能让企业及时发现正在活跃的威胁,并着手开始解决和清除,尤其是当一个企业的报告率大于易感率时,这个企业远离损失的机会就会非常大。
测量反钓鱼计划的有效性
当评估一个反钓鱼计划的有效性时,我们可以使用以下模型,我们可以提供一个企业当前面对钓鱼攻击的成熟程度和弹性等级。

这个模型从企业完全没有安全意识,到主动应对并减轻威胁,共分四种状态。确认企业当前所在状态的方法是:随着时间的推移,比较你们企业易感性趋势和报告趋势。下面的图中是一个企业的真实数据,给我们展示了一个理想的易感率和报告率的分叉。换句话说,就是随着易感率的下降,报告率同时也在上升。这也是企业员工安全意识在不断增强的一个过程。

正如钓鱼杀伤链所建议的那样,这个公司在刚开始实施反钓鱼计划时,就多次向员工强调报告可疑钓鱼行为的重要性。这项程序/计划已经在该公司实施了18个月,根据员工报告的可疑钓鱼行为,每年发现的新钓鱼场景有11或12个。
培养员工的报告习惯
为了更进一步说明用户报告可疑钓鱼行为的重要性,我们分析了安装PhishMe Reporter客户端的所有用户过去两年的数据,下图显示了易感用户的百分比与报告的百分比,以及各阶段使用PhishMe Reporter工具的用户数量与总数量的百分比。


例如,在2015年,当安装Reporter客户端用户的数量和现在相比有10%到20%时,易感率为15%,而报告率为7%。而到了2016年,这10%到20%的人的易感率变成了13%,报告率变成了16%。
上图显示:一个采用钓鱼杀伤链模型的反钓鱼计划的有效性,通过多次给员工强调报告的重要性,我们看到易感率在降低,员工报告习惯在增加。
上图显示了在部署Reporter后呈现出了几个重要的趋势:
1.与前一年相比,我们看到随着Reporter的部署,易感率有了积极的变化。
2.在部署Reporter的第二年,我们能看到平均报告率一直比平均易感率高。
3.当Reporter部署到了公司80%以上的人员中时,即使在第一年,报告率就比易感率高了。
根据报告,快速发现存在的威胁
只要我们能获得更多用户关于可疑网络钓鱼的报告,而不是受其影响,就可以给企业提供宝贵的时间:事件响应团队就可以大大减少事件响应的时间,消除潜在的威胁,企业就可以减少、甚至远离损失。

上图中显示的是,根据公司的大小反应出的平均报告时间的长短,所有公司的平均报告时间为1.2小时,最长的2.1小时,最短的0.4小时。
在这样的情况下,我们将探测到入侵行为的时间,有效地降到了只有1.2小时。你知道目前行业平均水平吗?目前行业的水平是需要146天。

目前的平均报告时间为1.2小时,而且在有些用户被成功钓鱼之前,就有人报告了存在的钓鱼活动,如上图,在我们的数据中,我们可以看到多个这样的例子。例如,在上图中,在企业里一个员工错误的点击钓鱼邮件、曝光了公司财情况的前11分钟,就有很多员工发现了可疑的钓鱼行为,并进行了报告。这样公司就能及时知道存在的可疑威胁,并着手进行处理。
安全操作中心和事件响应团队响应钓鱼事件
制定一个正式的可疑邮件报告处理程序,还达不到安全要求,并且大量的报告可能会让你的安全操作(SOC)团队和事件响应(IR)团队不知所措。因为,在没有一种有效的方法来组织、评估、并对大量报告进行响应的情况下,团队可能无法快速响应,并避免安全事件。

必须有专用的钓鱼事件响应平台,帮助SOC和IR团队自动列出报告的优先级,对绕过你们邮件安全机制的钓鱼威胁进行分析和响应,降低安全风险。PhishMe Triage就是这样一个平台。
结论
通过查找已知的弱点,识别存在的威胁,了解企业员工识别具体钓鱼类型上存在的困难,和钓鱼邮件的组成,企业可以建立一个反钓鱼计划,会大大减少网络钓鱼的威胁。
再次重复一次,对员工实施持久和有效的钓鱼邮件模拟攻击计划,并督促员工对可疑钓鱼行为及时报告,能显著提高企业的安全防御水平,降低钓鱼攻击的威胁。通过对我们海量模拟钓鱼邮件和员工报告数据的分析,我们发现:
1. 钓鱼邮件采用适当的语境和情感激励时,会让员工非常难识别,造成很高的易感率。实际上,利用这些高风险钓鱼邮件采用的场景和主题,对员工进行重复的模拟钓鱼攻击训练,能显著降低员工的易感率,减少总的训练时间,并能允许企业将精力集中在特殊钓鱼风险的修补上。
2. 通过对员工实施模拟钓鱼攻击训练,一个企业可以迅速使更多的员工提高安全意识,并能确定出影响员工行为的关键触发因素。
3. 教育员工及时报告可疑邮件企图很重要,一旦员工发现邮件有不对劲的地方,就要及时报告,网络钓鱼企图将在其活动的最初几个小时之内得到响应处理。
4. 在员工已经养成了报告可疑邮件活动的习惯时,将探测到入侵的时间从天,降到分钟是非常有可能的。

相关文章
最新文章
热点推荐