對于電子郵件通信,我們賦予了一種隱含、不對稱的信任。我們意識到,如果不將電子郵件包含在內(nèi),組織就無法擁有真正的Zero Trust安全態(tài)勢,這是Cloudflare在今年早些時候收購Area 1 Security的原因所在。今天,我們已經(jīng)開始踏上一個令人興奮的旅程,將Cloudflare Area 1集成到我們更廣泛的Zero Trust平臺中。Cloudflare Gateway客戶很快就可以啟用針對電子郵件鏈接的遠(yuǎn)程瀏覽器隔離,為他們提供無與倫比的保護(hù)級別,以抵御基于電子郵件的現(xiàn)代多渠道攻擊。
來自Cloudflare Area 1的研究發(fā)現(xiàn),在所有觀察到的惡意攻擊中,近10%涉及憑據(jù)收集者,凸顯受害者身份是威脅行為者的常見目標(biāo)。雖然現(xiàn)有安全控制措施能攔截商品化網(wǎng)絡(luò)釣魚攻擊,但高級攻擊和負(fù)載通常沒有固定模式,無法用阻止或隔離規(guī)則可靠匹配。此外,隨著多渠道釣魚攻擊增加,有效的電子郵件安全解決方案需要能夠檢測跨越電子郵件和Web交付的混合活動,以及在交付時無害但在點擊時武器化的延遲活動。
當(dāng)存在足夠的“模糊”信號時,隔離目的地以確保最終用戶的安全是最有效的解決方案?,F(xiàn)在,通過將Cloudflare瀏覽器隔離集成到Cloudflare Area 1電子郵件安全中,這些攻擊很容易被檢測和瓦解。
人為錯誤是人性使然
為什么人們?nèi)詴c擊惡意鏈接?并不是因為他們沒有受過充分培訓(xùn),或是缺乏安全意識。而是因為他們的收件箱中有50封未讀電子郵件,要參加另一個Zoom會議,肩膀上還扛著一個四歲大的孩子。他們已經(jīng)在盡最大努力。如果對手準(zhǔn)備充分,任何人,包括安全研究人員,在社會工程攻擊前都可能上當(dāng)。
如果我們接受人為錯誤的存在,開發(fā)安全工作流程就會引入新的問題和目標(biāo):
·我們怎樣才能減少(如果不能消除)人為錯誤的可能性?
·當(dāng)發(fā)生人為錯誤時,我們?nèi)绾螠p少其影響?
·如何將安全性嵌入到員工現(xiàn)有的日常工作流程中?
當(dāng)我們得出結(jié)論——電子郵件是任何Zero Trust平臺的一個基本組成部分時,我們就想到了這些問題。人們在電子郵件中犯錯的頻率和他們在網(wǎng)上沖浪時一樣高——事實上,有時甚至更多。
阻止還是不阻止?
對于IT團(tuán)隊來說,這是他們每天都在努力解決的問題,以平衡風(fēng)險緩解和用戶生產(chǎn)力。SOC團(tuán)隊希望IT阻止一切有風(fēng)險或未知的活動,而業(yè)務(wù)部門希望IT允許一切不是明顯惡意的東西。如果IT決定阻止有風(fēng)險的或未知的鏈接,并導(dǎo)致誤報,他們就會浪費(fèi)時間手動添加URL到允許列表——也許攻擊者后來還是會將這些URL轉(zhuǎn)向惡意內(nèi)容。如果IT決定允許有風(fēng)險或未知的網(wǎng)站,最好的情況是,他們浪費(fèi)時間為受感染的設(shè)備重置系統(tǒng)和重設(shè)登錄證書——但最常見不過的是,他們會將危害分類為數(shù)據(jù)泄露或勒索軟件鎖定。啟用針對電子郵件的遠(yuǎn)程瀏覽器隔離(RBI)——又稱“電子郵件鏈接隔離”——為IT、SOC和業(yè)務(wù)部門團(tuán)隊節(jié)省大量時間。
了解詳情
對于Cloudflare Area 1客戶,在門戶內(nèi)啟用RBI的初始步驟如下:
啟用電子郵件鏈接隔離后,一封附帶惡意鏈接的電子郵件僅能存在很短時間:
第一步:Cloudflare Area 1檢查電子郵件并確定消息中的某些鏈接有可疑。
第二步:電子郵件中的所有URL和超鏈接被改寫成一個自定義的Area 1前綴URL。
第三步:電子郵件被投遞到目標(biāo)的收件箱。
第四步:如果用戶點擊電子郵件中的鏈接,Cloudfl會通過
reaccess.com/browser/{{url}}重定向到一個遠(yuǎn)程瀏覽器。
第五步:遠(yuǎn)程瀏覽器在Cloudflare全球網(wǎng)絡(luò)的服務(wù)器上加載網(wǎng)站,并向用戶的無客戶端瀏覽器端點發(fā)送Zero Trust繪制命令。
通過在遠(yuǎn)程服務(wù)器而非客戶端設(shè)備上執(zhí)行瀏覽器代碼,任何惡意軟件都被隔離在服務(wù)器級別,無法感染和破壞端點上的客戶端網(wǎng)絡(luò)。當(dāng)存在未知風(fēng)險和非受管設(shè)備時,這可以提高客戶端的安全性,并允許用戶無需連接到VPN或?qū)嵤﹪?yán)格防火墻策略就可以訪問網(wǎng)站。
Cloudflare的RBI技術(shù)使用一種獨(dú)特的專利技術(shù),稱為網(wǎng)絡(luò)矢量渲染(NVR)。這種技術(shù)利用云端基于Chromium的無頭瀏覽器,透明地攔截繪制層輸出,通過Web高效、安全地傳輸繪制指令,并在本地HTML4瀏覽器的窗口中重新繪制。不同于依賴于像素推送或DOM重構(gòu)的傳統(tǒng)瀏覽器隔離技術(shù),NVR在可擴(kuò)展性、安全性和最終用戶透明度方面進(jìn)行了優(yōu)化,同時確保與網(wǎng)站的最廣泛兼容性。
啟用電子郵件鏈接隔離前的釣魚攻擊
讓我們來看一個延遲釣魚攻擊的具體例子,它如何越過傳統(tǒng)的防御,以及電子郵件鏈接隔離如何應(yīng)對該威脅。
隨著組織尋求采用新的安全原則和網(wǎng)絡(luò)架構(gòu),如Zero Trust,對手則不斷想出新的技術(shù)來繞過這些控制,利用最常用和最脆弱的應(yīng)用程序——電子郵件。電子郵件被普遍使用,而且很容易被別有用心的攻擊者繞過,因而成為理想的攻擊途徑。
讓我們看一個沒有啟用電子郵件鏈接隔離情況下的“延遲釣魚攻擊”示例。
攻擊者準(zhǔn)備:發(fā)動前數(shù)周
攻擊者為即將發(fā)動的網(wǎng)絡(luò)釣魚企圖搭建基礎(chǔ)設(shè)施。這可能包括:
·注冊一個域名
·將其用SSL加密
·設(shè)置適當(dāng)?shù)碾娮余]件驗證(SPF,DKIM,DMARC)“簡
·創(chuàng)建一個無害的網(wǎng)頁
在這個階段,對于單純依賴基于信譽(yù)的信號和其他確定性檢測技術(shù)的威脅情報系統(tǒng)而言,并不能捕獲到任何攻擊的證據(jù)。
攻擊“發(fā)動”:星期天下午
攻擊者從新創(chuàng)建的域發(fā)送一封看似真實的電子郵件。電子郵件中包含到上述(依然無害的)網(wǎng)頁的鏈接。電子郵件中沒有任何東西會被阻止或標(biāo)記為可疑。該電子郵件被投遞到目標(biāo)收件箱。
攻擊發(fā)動:星期日晚上
一旦確信所有的電子郵件都已到達(dá)目的地,攻擊者就會更改他們控制的網(wǎng)頁,將鏈接重定向到一個惡意目的地,如創(chuàng)建一個用于收集憑據(jù)的虛假登錄頁面。
攻擊登陸:星期一上午
員工瀏覽收件箱以開始一周工作時,就會看到這封電子郵件。也許并非所有人都會點擊鏈接,但有些人會。也許并非所有點擊鏈接的人都會輸入他們的憑據(jù),但有些人會。如果沒有電子郵件鏈接隔離,攻擊就會取得成功。
攻擊的后果才剛剛開始——一旦獲得用戶的登錄憑據(jù),攻擊者就能入侵合法帳戶,在組織的網(wǎng)絡(luò)中傳播惡意軟件,并導(dǎo)致更多下游破壞。
啟用電子郵件鏈接隔離后的一次釣魚攻擊
Cloudflare Area 1和Cloudflare瀏覽器隔離的集成提供了關(guān)鍵的投遞后保護(hù)層,從而能夠挫敗類似上述延遲釣魚示例的攻擊。
如果攻擊者準(zhǔn)備并執(zhí)行上述攻擊,當(dāng)用戶單擊電子郵件鏈接時,我們的電子郵件隔離系統(tǒng)會加以分析,并對用戶是否應(yīng)該導(dǎo)航到該鏈接進(jìn)行高級評估。
安全鏈接——用戶將被透明地重定向到此站點
惡意鏈接——用戶被阻止進(jìn)行瀏覽
可疑鏈接——系統(tǒng)強(qiáng)烈建議用戶放棄瀏覽,并彈出一個醒目的警告頁面,鼓勵他們在一個隔離的瀏覽器中查看鏈接
雖然上述例子中使用了警告提示頁面,電子郵件鏈接隔離也將為安全管理員提供其他可定制的緩解選項,包括在其Cloudflare Gateway控制臺內(nèi)將頁面設(shè)置為只讀模式,限制文件下載和上傳,以及完全禁用鍵盤輸入。
電子郵件鏈接隔離也被嵌入到用戶現(xiàn)有工作流程中,不會用IT工單影響生產(chǎn)力或消耗用戶的時間。由于Cloudflare瀏覽器隔離建立在Cloudflare網(wǎng)絡(luò)上,后者覆蓋全球270個城市,Web瀏覽會話能在盡可能靠近用戶的位置進(jìn)行,從而最大程度減少延遲。此外,Cloudflare瀏覽器隔離將每個網(wǎng)頁的最終輸出發(fā)送給用戶,而非進(jìn)行頁面清洗或推送像素流,從而進(jìn)一步降低延遲,不會破壞基于瀏覽器的應(yīng)用程序,如SaaS。
我如何開始?
現(xiàn)有Cloudflare Area 1和Cloudflare Gateway客戶均有資格使用電子郵件鏈接隔離的測試版。如需了解詳情并表達(dá)意向,請注冊即將發(fā)布的測試版。
如果您想看看Cloudflare Area 1能在您的實際電子郵件流中檢測到什么威脅,在此預(yù)約免費(fèi)的網(wǎng)絡(luò)釣魚風(fēng)險評估。啟動僅需5分鐘,不會影響到郵件流。