挫败BEC攻击的最佳实践

攻防

2年前

　　商务电邮入侵（BEC）指的是没有任何攻击载荷的所有电子邮件攻击类型。尽管种类繁多，但攻击者基本上通过两种主要机制利用BEC技术渗透进企业网络：冒用和账户盗用攻击。

　　最近发布的研究显示，71%的企业承认去年遭到过商务电邮入侵（BEC）攻击。43%的企业在过去12个月里经历过安全事件，其中35%声称BEC/网络钓鱼攻击占据这些事件的50%以上。

　　美国联邦调查局（FBI）互联网犯罪投诉中心（IC3）报告称，BEC欺诈是2020年代价最高昂的网络攻击，共有19,369起投诉，损失约18亿美元。近期的BEC攻击包括对Shark Tank主持人Barbara Corcoran的攻击（损失38万美元）；波多黎各政府遭受的攻击（损失400万美元）；还有日本媒体巨头日经新闻社被欺诈电子邮件骗走的2900万美元。

　　为挫败BEC攻击，企业必须关注黄金三角：人员、过程和技术的协调统一。以下就是缓解BEC攻击应遵循的最佳实践。

过程

　　每家公司的财务部门都设置有支出授权策略。该策略为每笔支出/付款建立了清晰的批准层级，从而保护公司的资产。

　　尽管所有支出/付款都应从已批准的预算中开支，这一策略还是为财务部门提供了工具，确保每笔付款均由适当人员根据金额授权。

　　某些情况下，公司首席执行官或总裁在要求付款方面被赋予了无限权力。网络罪犯深知这一点，所以经常假冒高层人员的电子邮件账户。

　　考虑到当前的网络安全状况，财务部门应当重新评估这种策略，设置更严格的过程。这可能意味着要对通过支票、电汇或任意其他渠道的重要开支实施多重授权，从而确保付款请求是合法的。或许还可以阐明如何获得电子授权。

　　比如说，如果财务部门某员工收到了首席执行官要求电汇的电子邮件，处理该请求的行政人员须遵从公司策略获得额外的批准，例如向预先核准的通讯组列表发送电子邮件以获得电子批准，以及通过电话确认。开支金额决定了谁能签字和共同签署，并且可能基于公司的风险胃纳，即公司愿意承受多大的损失。

　　IT团队成员应与财务部门沟通，解释BEC及其他欺骗攻击是如何发生的，给出近期BEC攻击真实案例，并头脑风暴出公司能够采取哪些不同措施来阻止攻击。基于这些案例，财务部门应在将网络安全欺骗和BEC纳入考虑的情况下重新评估当前策略。这可能意味着董事会主席、首席执行官或公司总裁并非主要开支的签字人，且基准金额取决于公司的风险胃纳。

　　这个过程在开支授权策略范围内建立起来后，公司必须确保其人员接受培训，无一例外地遵守这一策略。

人员

　　公司所有员工都必须经过培训，知道网络安全攻击长什么样子，该做什么，不该做什么；而且培训应该持续进行，因为网络安全状况变化很快。

　　财务部门的员工，或者有权支付任意形式资金的人，应该接受有关BEC及其他欺骗攻击的培训。

　　强调很多这种攻击都以高管电子邮件的形式出现，往往标着“紧急”字样，有时候会在逼近下班时间发出请求，并要求立即付款。通过这种培训，再加上要求所有员工都遵循开支授权策略，公司应该就能够阻止BEC攻击了。

　　很多公司购买网络保险来弥补BEC损失，但没有哪家企业能够确定保险公司会赔付。例如，贸易公司Virtu Financial Inc. 在一场BEC骗局中损失了690万美元，但其保险商Axis Insurance拒绝赔付，宣称“Virtu计算机系统遭受的未授权访问不是造成损失的直接原因，损失实际上是由Virtu员工的独立干预行为造成的，因为他们对要求转账的‘假冒’电子邮件信以为真并发出了电汇。”Virtu Financial Inc.对Axis Insurance提起诉讼，指控该保险公司拒绝承保网络攻击，违反了合同。

技术

　　下一代高级网络安全技术有助于在威胁触及最终用户之前阻止任何电子邮件威胁，包括垃圾邮件、网络钓鱼、BEC及后续攻击、高级持续性威胁（APT）和零日漏洞攻击。

　　此类解决方案包括：

　　● 反垃圾邮件引擎：以反垃圾邮件和基于信誉的过滤器阻止恶意通信。

　　● 反网络钓鱼引擎：在波及最终用户前检测恶意URL并阻止任意类型的网络钓鱼攻击。

　　● 反欺骗引擎：阻止欺骗、相似域名和显示名称欺骗等无载荷攻击。

　　● 反规避技术：将内容递归解包成更小的单元（文件和URL），然后由多个引擎在几秒钟内动态检查，从而检测恶意隐藏内容。

　　● 机器智能（MI）和自然语言处理（NLP）：检查内容和上下文中偏离正常的畸变，例如识别异常书写风格、可能预示恶意活动的关键词、奇怪的IP地址、地理位置、时间等。

　　● 检测：防止高级威胁和零日攻击。

　　● 即时电子邮件分析：供最终用户在采取鲁莽行动之前识别恶意电子邮件。

　　● 最终用户上下文帮助：以基于策略和规则的定制旗标标记电子邮件，从而向最终用户提供额外的上下文信息，提高他们的安全意识。

　　解决方案应能够检测并阻止欺骗及账户盗用攻击，网络罪犯往往会借助这些攻击访问合法电子邮件账户，并试图进一步深入公司网络。