對(duì)于電子郵件通信���,我們賦予了一種隱含��、不對(duì)稱(chēng)的信任�����。我們意識(shí)到�,如果不將電子郵件包含在內(nèi),組織就無(wú)法擁有真正的Zero Trust安全態(tài)勢(shì)���,這是Cloudflare在今年早些時(shí)候收購(gòu)Area 1 Security的原因所在����。
對(duì)于電子郵件通信�����,我們賦予了一種隱含���、不對(duì)稱(chēng)的信任。我們意識(shí)到����,如果不將電子郵件包含在內(nèi),組織就無(wú)法擁有真正的Zero Trust安全態(tài)勢(shì)����,這是Cloudflare在今年早些時(shí)候收購(gòu)Area 1 Security的原因所在。今天����,我們已經(jīng)開(kāi)始踏上一個(gè)令人興奮的旅程���,將Cloudflare Area 1集成到我們更廣泛的Zero Trust平臺(tái)中。Cloudflare Gateway客戶(hù)很快就可以啟用針對(duì)電子郵件鏈接的遠(yuǎn)程瀏覽器隔離�,為他們提供無(wú)與倫比的保護(hù)級(jí)別,以抵御基于電子郵件的現(xiàn)代多渠道攻擊���。
來(lái)自Cloudflare Area 1的研究發(fā)現(xiàn)��,在所有觀(guān)察到的惡意攻擊中�����,近10%涉及憑據(jù)收集者��,凸顯受害者身份是威脅行為者的常見(jiàn)目標(biāo)�����。雖然現(xiàn)有安全控制措施能攔截商品化網(wǎng)絡(luò)釣魚(yú)攻擊���,但高級(jí)攻擊和負(fù)載通常沒(méi)有固定模式,無(wú)法用阻止或隔離規(guī)則可靠匹配�����。此外,隨著多渠道釣魚(yú)攻擊增加�����,有效的電子郵件安全解決方案需要能夠檢測(cè)跨越電子郵件和Web交付的混合活動(dòng)��,以及在交付時(shí)無(wú)害但在點(diǎn)擊時(shí)武器化的延遲活動(dòng)�。
當(dāng)存在足夠的“模糊”信號(hào)時(shí),隔離目的地以確保最終用戶(hù)的安全是最有效的解決方案?����,F(xiàn)在�,通過(guò)將Cloudflare瀏覽器隔離集成到Cloudflare Area 1電子郵件安全中���,這些攻擊很容易被檢測(cè)和瓦解�。
人為錯(cuò)誤是人性使然
為什么人們?nèi)詴?huì)點(diǎn)擊惡意鏈接���?并不是因?yàn)樗麄儧](méi)有受過(guò)充分培訓(xùn)��,或是缺乏安全意識(shí)���。而是因?yàn)樗麄兊氖占渲杏?0封未讀電子郵件��,要參加另一個(gè)Zoom會(huì)議����,肩膀上還扛著一個(gè)四歲大的孩子��。他們已經(jīng)在盡最大努力��。如果對(duì)手準(zhǔn)備充分���,任何人���,包括安全研究人員,在社會(huì)工程攻擊前都可能上當(dāng)��。
如果我們接受人為錯(cuò)誤的存在�,開(kāi)發(fā)安全工作流程就會(huì)引入新的問(wèn)題和目標(biāo):
·我們?cè)鯓硬拍軠p少(如果不能消除)人為錯(cuò)誤的可能性?
·當(dāng)發(fā)生人為錯(cuò)誤時(shí)�����,我們?nèi)绾螠p少其影響�����?
·如何將安全性嵌入到員工現(xiàn)有的日常工作流程中?
當(dāng)我們得出結(jié)論——電子郵件是任何Zero Trust平臺(tái)的一個(gè)基本組成部分時(shí)���,我們就想到了這些問(wèn)題�。人們?cè)陔娮余]件中犯錯(cuò)的頻率和他們?cè)诰W(wǎng)上沖浪時(shí)一樣高——事實(shí)上���,有時(shí)甚至更多�����。
阻止還是不阻止�����?
對(duì)于IT團(tuán)隊(duì)來(lái)說(shuō)�����,這是他們每天都在努力解決的問(wèn)題,以平衡風(fēng)險(xiǎn)緩解和用戶(hù)生產(chǎn)力�����。SOC團(tuán)隊(duì)希望IT阻止一切有風(fēng)險(xiǎn)或未知的活動(dòng),而業(yè)務(wù)部門(mén)希望IT允許一切不是明顯惡意的東西���。如果IT決定阻止有風(fēng)險(xiǎn)的或未知的鏈接��,并導(dǎo)致誤報(bào)�����,他們就會(huì)浪費(fèi)時(shí)間手動(dòng)添加URL到允許列表——也許攻擊者后來(lái)還是會(huì)將這些URL轉(zhuǎn)向惡意內(nèi)容�����。如果IT決定允許有風(fēng)險(xiǎn)或未知的網(wǎng)站����,最好的情況是����,他們浪費(fèi)時(shí)間為受感染的設(shè)備重置系統(tǒng)和重設(shè)登錄證書(shū)——但最常見(jiàn)不過(guò)的是,他們會(huì)將危害分類(lèi)為數(shù)據(jù)泄露或勒索軟件鎖定�。啟用針對(duì)電子郵件的遠(yuǎn)程瀏覽器隔離(RBI)——又稱(chēng)“電子郵件鏈接隔離”——為IT、SOC和業(yè)務(wù)部門(mén)團(tuán)隊(duì)節(jié)省大量時(shí)間�����。
了解詳情
對(duì)于Cloudflare Area 1客戶(hù),在門(mén)戶(hù)內(nèi)啟用RBI的初始步驟如下:
啟用電子郵件鏈接隔離后���,一封附帶惡意鏈接的電子郵件僅能存在很短時(shí)間:
第一步:Cloudflare Area 1檢查電子郵件并確定消息中的某些鏈接有可疑�����。
第二步:電子郵件中的所有URL和超鏈接被改寫(xiě)成一個(gè)自定義的Area 1前綴URL���。
第三步:電子郵件被投遞到目標(biāo)的收件箱。
第四步:如果用戶(hù)點(diǎn)擊電子郵件中的鏈接���,Cloudfl會(huì)通過(guò)
reaccess.com/browser/{{url}}重定向到一個(gè)遠(yuǎn)程瀏覽器��。
第五步:遠(yuǎn)程瀏覽器在Cloudflare全球網(wǎng)絡(luò)的服務(wù)器上加載網(wǎng)站�,并向用戶(hù)的無(wú)客戶(hù)端瀏覽器端點(diǎn)發(fā)送Zero Trust繪制命令�����。
通過(guò)在遠(yuǎn)程服務(wù)器而非客戶(hù)端設(shè)備上執(zhí)行瀏覽器代碼����,任何惡意軟件都被隔離在服務(wù)器級(jí)別�,無(wú)法感染和破壞端點(diǎn)上的客戶(hù)端網(wǎng)絡(luò)���。當(dāng)存在未知風(fēng)險(xiǎn)和非受管設(shè)備時(shí),這可以提高客戶(hù)端的安全性�,并允許用戶(hù)無(wú)需連接到VPN或?qū)嵤﹪?yán)格防火墻策略就可以訪(fǎng)問(wèn)網(wǎng)站。
Cloudflare的RBI技術(shù)使用一種獨(dú)特的專(zhuān)利技術(shù)�����,稱(chēng)為網(wǎng)絡(luò)矢量渲染(NVR)����。這種技術(shù)利用云端基于Chromium的無(wú)頭瀏覽器,透明地?cái)r截繪制層輸出��,通過(guò)Web高效�、安全地傳輸繪制指令,并在本地HTML4瀏覽器的窗口中重新繪制��。不同于依賴(lài)于像素推送或DOM重構(gòu)的傳統(tǒng)瀏覽器隔離技術(shù)�����,NVR在可擴(kuò)展性�����、安全性和最終用戶(hù)透明度方面進(jìn)行了優(yōu)化,同時(shí)確保與網(wǎng)站的最廣泛兼容性�。
啟用電子郵件鏈接隔離前的釣魚(yú)攻擊
讓我們來(lái)看一個(gè)延遲釣魚(yú)攻擊的具體例子,它如何越過(guò)傳統(tǒng)的防御����,以及電子郵件鏈接隔離如何應(yīng)對(duì)該威脅。
隨著組織尋求采用新的安全原則和網(wǎng)絡(luò)架構(gòu)�����,如Zero Trust��,對(duì)手則不斷想出新的技術(shù)來(lái)繞過(guò)這些控制�,利用最常用和最脆弱的應(yīng)用程序——電子郵件。電子郵件被普遍使用�,而且很容易被別有用心的攻擊者繞過(guò),因而成為理想的攻擊途徑����。
讓我們看一個(gè)沒(méi)有啟用電子郵件鏈接隔離情況下的“延遲釣魚(yú)攻擊”示例。
攻擊者準(zhǔn)備:發(fā)動(dòng)前數(shù)周
攻擊者為即將發(fā)動(dòng)的網(wǎng)絡(luò)釣魚(yú)企圖搭建基礎(chǔ)設(shè)施���。這可能包括:
·注冊(cè)一個(gè)域名
·將其用SSL加密
·設(shè)置適當(dāng)?shù)碾娮余]件驗(yàn)證(SPF����,DKIM,DMARC)“簡(jiǎn)
·創(chuàng)建一個(gè)無(wú)害的網(wǎng)頁(yè)
在這個(gè)階段�����,對(duì)于單純依賴(lài)基于信譽(yù)的信號(hào)和其他確定性檢測(cè)技術(shù)的威脅情報(bào)系統(tǒng)而言���,并不能捕獲到任何攻擊的證據(jù)。
攻擊“發(fā)動(dòng)”:星期天下午
攻擊者從新創(chuàng)建的域發(fā)送一封看似真實(shí)的電子郵件����。電子郵件中包含到上述(依然無(wú)害的)網(wǎng)頁(yè)的鏈接。電子郵件中沒(méi)有任何東西會(huì)被阻止或標(biāo)記為可疑����。該電子郵件被投遞到目標(biāo)收件箱。
攻擊發(fā)動(dòng):星期日晚上
一旦確信所有的電子郵件都已到達(dá)目的地�,攻擊者就會(huì)更改他們控制的網(wǎng)頁(yè),將鏈接重定向到一個(gè)惡意目的地�,如創(chuàng)建一個(gè)用于收集憑據(jù)的虛假登錄頁(yè)面。
攻擊登陸:星期一上午
員工瀏覽收件箱以開(kāi)始一周工作時(shí)���,就會(huì)看到這封電子郵件����。也許并非所有人都會(huì)點(diǎn)擊鏈接,但有些人會(huì)���。也許并非所有點(diǎn)擊鏈接的人都會(huì)輸入他們的憑據(jù)��,但有些人會(huì)�����。如果沒(méi)有電子郵件鏈接隔離���,攻擊就會(huì)取得成功。
攻擊的后果才剛剛開(kāi)始——一旦獲得用戶(hù)的登錄憑據(jù)����,攻擊者就能入侵合法帳戶(hù),在組織的網(wǎng)絡(luò)中傳播惡意軟件��,并導(dǎo)致更多下游破壞���。
啟用電子郵件鏈接隔離后的一次釣魚(yú)攻擊
Cloudflare Area 1和Cloudflare瀏覽器隔離的集成提供了關(guān)鍵的投遞后保護(hù)層�����,從而能夠挫敗類(lèi)似上述延遲釣魚(yú)示例的攻擊�����。
如果攻擊者準(zhǔn)備并執(zhí)行上述攻擊����,當(dāng)用戶(hù)單擊電子郵件鏈接時(shí)����,我們的電子郵件隔離系統(tǒng)會(huì)加以分析,并對(duì)用戶(hù)是否應(yīng)該導(dǎo)航到該鏈接進(jìn)行高級(jí)評(píng)估�����。
安全鏈接——用戶(hù)將被透明地重定向到此站點(diǎn)
惡意鏈接——用戶(hù)被阻止進(jìn)行瀏覽
可疑鏈接——系統(tǒng)強(qiáng)烈建議用戶(hù)放棄瀏覽����,并彈出一個(gè)醒目的警告頁(yè)面,鼓勵(lì)他們?cè)谝粋€(gè)隔離的瀏覽器中查看鏈接
雖然上述例子中使用了警告提示頁(yè)面�,電子郵件鏈接隔離也將為安全管理員提供其他可定制的緩解選項(xiàng),包括在其Cloudflare Gateway控制臺(tái)內(nèi)將頁(yè)面設(shè)置為只讀模式��,限制文件下載和上傳����,以及完全禁用鍵盤(pán)輸入���。
電子郵件鏈接隔離也被嵌入到用戶(hù)現(xiàn)有工作流程中,不會(huì)用IT工單影響生產(chǎn)力或消耗用戶(hù)的時(shí)間���。由于Cloudflare瀏覽器隔離建立在Cloudflare網(wǎng)絡(luò)上�,后者覆蓋全球270個(gè)城市��,Web瀏覽會(huì)話(huà)能在盡可能靠近用戶(hù)的位置進(jìn)行�,從而最大程度減少延遲。此外�����,Cloudflare瀏覽器隔離將每個(gè)網(wǎng)頁(yè)的最終輸出發(fā)送給用戶(hù)�,而非進(jìn)行頁(yè)面清洗或推送像素流,從而進(jìn)一步降低延遲��,不會(huì)破壞基于瀏覽器的應(yīng)用程序����,如SaaS。
我如何開(kāi)始�?
現(xiàn)有Cloudflare Area 1和Cloudflare Gateway客戶(hù)均有資格使用電子郵件鏈接隔離的測(cè)試版����。如需了解詳情并表達(dá)意向����,請(qǐng)注冊(cè)即將發(fā)布的測(cè)試版。
如果您想看看Cloudflare Area 1能在您的實(shí)際電子郵件流中檢測(cè)到什么威脅���,在此預(yù)約免費(fèi)的網(wǎng)絡(luò)釣魚(yú)風(fēng)險(xiǎn)評(píng)估�。啟動(dòng)僅需5分鐘���,不會(huì)影響到郵件流。
立即登錄�,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
