Marc Blackmer - 2018年11月1日

去钓鱼！

网络攻击是一项利润很大的业务。在任何业务中，收益越多投资越少，就意味着利润最大化。居心叵测的人对此也达成共识，当他们找到可靠的攻击媒介时，比如电子邮件网络钓鱼，只要它具有经济意义，他们就会不择手段的使用它。

朋友们，网络钓鱼依然存在。

打破过去

有动力的攻击者十分擅长他们所做的事情，他们在如何开展工作方面非常有创意。维护电子邮件安全并不像寻找王室血统中的“冒牌货”，或者伪造一张不存在的发票一样简单。要检测和阻止高级电子邮件攻击，需要的不仅仅只是“传统”电子邮件安全性。

我在上一篇博文中写过关于无文件恶意软件的文章，它如何打破传统的安全模型，以及我们需要考虑新的方法来防御不断变化的威胁。网络钓鱼是威胁破坏传统安全模型的另一个例子。例如：

攻击者向特定供应商的客户发送网络钓鱼电子邮件，电子邮件中会声明该供应商的银行账号路由号码已更新，并会指示客户使用电子邮件中提供的更新银行账号进行付款。接下来，真正的供应商会有一段时间接受不到客户的付款，他们开始致电客户，找出客户未支付账单的原因。客户会回复说他们已按照供应商的指示使用新的账号按时付款。银行账号是真实的，没有恶意签名：附件、内容或URL都是真实的信息，唯一的犯罪组成部分是发件人的真实身份！这时候钱早已不复存在！

思科可以做些什么来保护我们的客户吗？当然！

阻止他们的往来

网络钓鱼防护具有必须解决的入站和出站组件。首先，当消息内容只是虚假的信息，没有恶意链接或附件时，如何检测这样的威胁？其次，您如何知道攻击者何时冒充您公司的员工来使用您的良好声誉？

以下是我们从入站角度处理它的方法。我们使用数据建模基于电子邮件遥测的统计分析为组织中的每个用户创建信任度量。发件人的电子邮件地址、发件人的IP地址、发件人的组织的域名信誉等特征用于构建“正常”的基线。与基线的偏差可能会产生妥协指标（IoC）。如果你像我一样，不断旅行，结识新朋友，并与他们交换电子邮件，那么将所有带有新联系人的电子邮件隔离开来都会非常不方便，这会严重影响我的工作能力。因为我们的分析包括我提到的那些像域名声誉的特征，所以我们平衡了业务运营的需要，同时能够回归可疑的事情。

现在让我们换一种情况：我的好朋友在马萨诸塞州的一家小型但声誉良好的在线内容公司工作。有一天，他们发现他们的合法出站电子邮件被封锁，他们的域名被放置在几个黑名单上，这严重影响了他们开展业务的能力。事实证明，垃圾邮件发送者利用受害者的良好声誉来绕过他们的目标电子邮件保护，直到受害者被列入黑名单。

虽然检测和阻止这种寄生攻击似乎非常困难，但有一个好消息。使用DMARC（基于域的消息身份验证，报告和一致性）等标准，我们能够检测并阻止那些试图以非法方式利用您组织优势的攻击者。

基于这些演变的威胁，是时候放弃“传统”安全技术了吗？当然不是。居心叵测的人会尝试利用他们拥有的所有手段获取您的数据。因此，仅针对一种威胁构建防御措施是不明智的。而且你需要做好应对所有可能发生的事情的准备。因此，通过分层防御处理这些威胁至关重要。

下一步

请于11月15日美国东部时间下午1点加入我和我们的电子邮件安全专家小组，在那里我们将讨论网络钓鱼的状态以及您可以保护自己财产安全的方式。您可以在此处找到实时网络钓鱼网络研讨会的 注册链接。此外，我还建议您查看我们的最新的高级网络钓鱼防护概览，这是我们最新的电子邮件安全创新。和往常一样，我期待收到您的评论。