一封暗藏玄機的電子郵件，能夠對企業(yè)造成多大傷害?

　　近日，硅谷頂級風險投資公司紅杉資本遭遇的釣魚郵件攻擊，再次給企業(yè)界敲響了網(wǎng)絡安全警鐘。紅杉資本表示，在該公司近期遭遇的網(wǎng)絡釣魚攻擊中，投資者的個人信息和財務信息可能已被第三方竊取。

　　聲譽是金融機構賴以生存的生命線。除了直接經(jīng)濟損失，網(wǎng)絡安全事件也無疑會影響客戶及公眾對于金融機構的信心。不幸的是，金融機構掌握的巨量財富、高價值信息和社會資源，正是黑客們最渴望捕獲的“獵物”。摩根大通CEO杰米·戴蒙(Jamie Dimon)曾在股東信中表示，毀滅性的網(wǎng)絡攻擊可能是美國金融體系面臨的最大風險，該銀行每年在網(wǎng)絡安全方面的投入接近6億美元。

　　隨著產(chǎn)業(yè)數(shù)字化進程的加速，網(wǎng)絡攻擊會給企業(yè)帶來越來越致命的威脅，紅杉事件成為這種威脅最新、最真實的注腳。騰訊安全技術專家認為，在當前環(huán)境下，亡羊補牢式的網(wǎng)絡安全觀已經(jīng)不合時宜，企業(yè)一把手亟需建立“安全左移”的觀念，做好主動規(guī)劃和前瞻防御，構建全面的企業(yè)安全免疫系統(tǒng)。

　　釣魚郵件“攻陷”頂級VC

　　據(jù)外電報道，今年2月，外部黑客對一名紅杉員工進行了郵件釣魚攻擊，從而獲得了投資者的郵件地址。隨后，攻擊者根據(jù)獲得的郵件地址，仿冒紅杉員工向投資者們發(fā)送BEC(商業(yè)欺詐郵件)，可能已經(jīng)訪問了投資者的個人信息和財務信息。

　　此次黑客使用的BEC攻擊，其本質原理是通過高度模仿企業(yè)員工或合作伙伴的惡意賬號，向他人發(fā)送個性化的電子郵件。這些具有針對性的個性化郵件十分具有迷惑性，極易誘使客戶、合作伙伴泄漏敏感信息或轉賬，從而造成信息泄露，甚至造成資金損失。

　　騰訊安全技術專家表示，BEC攻擊是網(wǎng)絡攻擊中最慣用的手法，技術手段上更多利用高危漏洞來實現(xiàn)。黑客通常會周密地選擇攻擊目標，例如可靠的業(yè)務合作伙伴或公司的CEO，因此成功率非常高。美國聯(lián)邦調(diào)查局發(fā)布的年度互聯(lián)網(wǎng)犯罪報告指出，在2019年收到的467361起互聯(lián)網(wǎng)和網(wǎng)絡犯罪投訴中，幾乎一半的損失來自BEC(商業(yè)欺詐郵件)。FBI的數(shù)據(jù)還顯示，2019年BEC受害人損失達17.7億美元，平均每宗投訴損失額達到75000美元。

　　我國也是遭受BEC攻擊的高發(fā)地。國家互聯(lián)網(wǎng)應急中心(CNCERT)公布的數(shù)據(jù)顯示，2019年CNCERT監(jiān)測到重要黨政機關部門遭受釣魚郵件攻擊數(shù)量達50多萬次，月均4.6萬封。另有統(tǒng)計顯示，2019年全國企業(yè)郵箱用戶共收到各類釣魚郵件約344.3億封，較2018年增長了68.5%。

　　攜帶漏洞利用惡意代碼的 Office 文檔，是釣魚郵件的主要載荷。去年，騰訊安全威脅情報中心就曾檢測到以PPT文檔為誘餌的釣魚郵件攻擊。經(jīng)分析發(fā)現(xiàn)，黑產(chǎn)組織投遞的釣魚郵件中，附件PPT文檔均包含惡意宏代碼，用戶一旦打開就會啟動惡意程序下載Azorult竊密木馬，導致賬號密碼丟失、信息泄漏等嚴重后果。

　　釣魚郵件給企業(yè)造成的損失巨大。全球最大白名單提供商Return Path發(fā)布的報告稱，為恢復網(wǎng)絡釣魚攻擊帶來的影響，平均每家大企業(yè)每年需要花費370萬美元，包括生產(chǎn)力、消費者服務方面的損失和監(jiān)管罰款。

　　這還僅僅是釣魚攻擊造成的直接損失。上述報告還顯示，受到電子郵件網(wǎng)絡釣魚攻擊后，消費者不會再信任品牌，品牌的Gmail閱讀率下降18%，Yahoo下降11%。品牌的合法郵件也會被電子郵件服務商歸為垃圾郵件，Gmail電子郵件打開率平均下降10%，Yahoo下降7%。

　　數(shù)字時代亟需“安全左移”

　　頻發(fā)的網(wǎng)絡安全案件，給企業(yè)的信息安全建設敲響了警鐘。隨著我國全面邁向大數(shù)據(jù)時代，企業(yè)對于通信技術和計算機應用的依賴性在不斷增強。一旦遭遇網(wǎng)絡安全事故，企業(yè)的資產(chǎn)、業(yè)務和聲譽都將蒙受巨大損失，甚至會動搖自身的生存根基。那么，企業(yè)如何在享受信息技術紅利的同時，抵御越來越致命的網(wǎng)絡安全風險?

　　最重要的是“安全左移”。 騰訊安全技術專家認為，要把網(wǎng)絡安全建設作為一把手工程重點關注，在生產(chǎn)流程中把安全建設前置。同時，借助AI和大數(shù)據(jù)技術，提前發(fā)現(xiàn)和處置異常，降低高風險環(huán)節(jié)的權限，主動控制重要數(shù)字資產(chǎn)的風險暴露時間窗口，盡最大可能減少受攻擊面。

　　相比“應對”威脅，“提前感知”威脅，顯然是提升安全防護效率、降低安全風險最經(jīng)濟的方式。因此，威脅情報的安全投入對于企業(yè)占據(jù)攻防先機至關重要，也是企業(yè)在安全左移趨勢下做好安全前置的有效途徑。以騰訊的威脅情報系統(tǒng)為例，該系統(tǒng)可以為企業(yè)提供全面準確的、與其相關的、能夠執(zhí)行和決策的知識和信息，從而協(xié)助企業(yè)預防各類網(wǎng)絡入侵攻擊，做到“未攻先防”，全力避免潛在損失。

　　另一方面，以“持續(xù)驗證，永不信任”為核心的零信任，無論是從安全高配，還是在降本增效方面，都是遠程業(yè)務常態(tài)化過程中企業(yè)進行安全建設的高性價比價值點。即使企業(yè)存在被攻陷的風險，在多維身份認證、最小權限動態(tài)訪問控制以及可變信任管理等策略的保護下，iOA等客戶端保護方案也能為企業(yè)資源的訪問提供持續(xù)安全防護。

　　在此次紅杉遭遇的釣魚郵件攻擊事件中，如果能夠事先建立起多層次防御體系，各個層級的安全產(chǎn)品可通過威脅情報系統(tǒng)、安全運營系統(tǒng)有機整合在一起，將有助于最大化降低黑客入侵風險，減少潛在損失。