隆重推出適用于電子郵件鏈接的瀏覽器隔離，阻止高級釣魚威脅

對于電子郵件通信，我們賦予了一種隱含、不對稱的信任。我們意識到，如果不將電子郵件包含在內(nèi)，組織就無法擁有真正的Zero Trust安全態(tài)勢，這是Cloudflare在今年早些時候收購Area 1 Security的原因所在。今天，我們已經(jīng)開始踏上一個令人興奮的旅程，將Cloudflare Area 1集成到我們更廣泛的Zero Trust平臺中。Cloudflare Gateway客戶很快就可以啟用針對電子郵件鏈接的遠程瀏覽器隔離，為他們提供無與倫比的保護級別，以抵御基于電子郵件的現(xiàn)代多渠道攻擊。

來自Cloudflare Area 1的研究發(fā)現(xiàn)，在所有觀察到的惡意攻擊中，近10%涉及憑據(jù)收集者，凸顯受害者身份是威脅行為者的常見目標。雖然現(xiàn)有安全控制措施能攔截商品化網(wǎng)絡(luò)釣魚攻擊，但高級攻擊和負載通常沒有固定模式，無法用阻止或隔離規(guī)則可靠匹配。此外，隨著多渠道釣魚攻擊增加，有效的電子郵件安全解決方案需要能夠檢測跨越電子郵件和Web交付的混合活動，以及在交付時無害但在點擊時武器化的延遲活動。

當(dāng)存在足夠的“模糊”信號時，隔離目的地以確保最終用戶的安全是最有效的解決方案。現(xiàn)在，通過將Cloudflare瀏覽器隔離集成到Cloudflare Area 1電子郵件安全中，這些攻擊很容易被檢測和瓦解。

人為錯誤是人性使然

為什么人們?nèi)詴c擊惡意鏈接？并不是因為他們沒有受過充分培訓(xùn)，或是缺乏安全意識。而是因為他們的收件箱中有50封未讀電子郵件，要參加另一個Zoom會議，肩膀上還扛著一個四歲大的孩子。他們已經(jīng)在盡最大努力。如果對手準備充分，任何人，包括安全研究人員，在社會工程攻擊前都可能上當(dāng)。

如果我們接受人為錯誤的存在，開發(fā)安全工作流程就會引入新的問題和目標：

·我們怎樣才能減少（如果不能消除）人為錯誤的可能性？

·當(dāng)發(fā)生人為錯誤時，我們?nèi)绾螠p少其影響？

·如何將安全性嵌入到員工現(xiàn)有的日常工作流程中？

當(dāng)我們得出結(jié)論——電子郵件是任何Zero Trust平臺的一個基本組成部分時，我們就想到了這些問題。人們在電子郵件中犯錯的頻率和他們在網(wǎng)上沖浪時一樣高——事實上，有時甚至更多。

阻止還是不阻止？

對于IT團隊來說，這是他們每天都在努力解決的問題，以平衡風(fēng)險緩解和用戶生產(chǎn)力。SOC團隊希望IT阻止一切有風(fēng)險或未知的活動，而業(yè)務(wù)部門希望IT允許一切不是明顯惡意的東西。如果IT決定阻止有風(fēng)險的或未知的鏈接，并導(dǎo)致誤報，他們就會浪費時間手動添加URL到允許列表——也許攻擊者后來還是會將這些URL轉(zhuǎn)向惡意內(nèi)容。如果IT決定允許有風(fēng)險或未知的網(wǎng)站，最好的情況是，他們浪費時間為受感染的設(shè)備重置系統(tǒng)和重設(shè)登錄證書——但最常見不過的是，他們會將危害分類為數(shù)據(jù)泄露或勒索軟件鎖定。啟用針對電子郵件的遠程瀏覽器隔離（RBI）——又稱“電子郵件鏈接隔離”——為IT、SOC和業(yè)務(wù)部門團隊節(jié)省大量時間。

了解詳情

對于Cloudflare Area 1客戶，在門戶內(nèi)啟用RBI的初始步驟如下:

啟用電子郵件鏈接隔離后，一封附帶惡意鏈接的電子郵件僅能存在很短時間：

第一步：Cloudflare Area 1檢查電子郵件并確定消息中的某些鏈接有可疑。

第二步：電子郵件中的所有URL和超鏈接被改寫成一個自定義的Area 1前綴URL。

第三步：電子郵件被投遞到目標的收件箱。

第四步：如果用戶點擊電子郵件中的鏈接，Cloudfl會通過

reaccess.com/browser/{{url}}重定向到一個遠程瀏覽器。

第五步：遠程瀏覽器在Cloudflare全球網(wǎng)絡(luò)的服務(wù)器上加載網(wǎng)站，并向用戶的無客戶端瀏覽器端點發(fā)送Zero Trust繪制命令。

通過在遠程服務(wù)器而非客戶端設(shè)備上執(zhí)行瀏覽器代碼，任何惡意軟件都被隔離在服務(wù)器級別，無法感染和破壞端點上的客戶端網(wǎng)絡(luò)。當(dāng)存在未知風(fēng)險和非受管設(shè)備時，這可以提高客戶端的安全性，并允許用戶無需連接到VPN或?qū)嵤﹪栏穹阑饓Σ呗跃涂梢栽L問網(wǎng)站。

Cloudflare的RBI技術(shù)使用一種獨特的專利技術(shù)，稱為網(wǎng)絡(luò)矢量渲染（NVR）。這種技術(shù)利用云端基于Chromium的無頭瀏覽器，透明地攔截繪制層輸出，通過Web高效、安全地傳輸繪制指令，并在本地HTML4瀏覽器的窗口中重新繪制。不同于依賴于像素推送或DOM重構(gòu)的傳統(tǒng)瀏覽器隔離技術(shù)，NVR在可擴展性、安全性和最終用戶透明度方面進行了優(yōu)化，同時確保與網(wǎng)站的最廣泛兼容性。

啟用電子郵件鏈接隔離前的釣魚攻擊

讓我們來看一個延遲釣魚攻擊的具體例子，它如何越過傳統(tǒng)的防御，以及電子郵件鏈接隔離如何應(yīng)對該威脅。

隨著組織尋求采用新的安全原則和網(wǎng)絡(luò)架構(gòu)，如Zero Trust，對手則不斷想出新的技術(shù)來繞過這些控制，利用最常用和最脆弱的應(yīng)用程序——電子郵件。電子郵件被普遍使用，而且很容易被別有用心的攻擊者繞過，因而成為理想的攻擊途徑。

讓我們看一個沒有啟用電子郵件鏈接隔離情況下的“延遲釣魚攻擊”示例。

攻擊者準備：發(fā)動前數(shù)周

攻擊者為即將發(fā)動的網(wǎng)絡(luò)釣魚企圖搭建基礎(chǔ)設(shè)施。這可能包括：

·注冊一個域名

·將其用SSL加密

·設(shè)置適當(dāng)?shù)碾娮余]件驗證（SPF，DKIM，DMARC）“簡

·創(chuàng)建一個無害的網(wǎng)頁

在這個階段，對于單純依賴基于信譽的信號和其他確定性檢測技術(shù)的威脅情報系統(tǒng)而言，并不能捕獲到任何攻擊的證據(jù)。

攻擊“發(fā)動”：星期天下午

攻擊者從新創(chuàng)建的域發(fā)送一封看似真實的電子郵件。電子郵件中包含到上述（依然無害的）網(wǎng)頁的鏈接。電子郵件中沒有任何東西會被阻止或標記為可疑。該電子郵件被投遞到目標收件箱。

攻擊發(fā)動：星期日晚上

一旦確信所有的電子郵件都已到達目的地，攻擊者就會更改他們控制的網(wǎng)頁，將鏈接重定向到一個惡意目的地，如創(chuàng)建一個用于收集憑據(jù)的虛假登錄頁面。

攻擊登陸：星期一上午

員工瀏覽收件箱以開始一周工作時，就會看到這封電子郵件。也許并非所有人都會點擊鏈接，但有些人會。也許并非所有點擊鏈接的人都會輸入他們的憑據(jù)，但有些人會。如果沒有電子郵件鏈接隔離，攻擊就會取得成功。

攻擊的后果才剛剛開始——一旦獲得用戶的登錄憑據(jù)，攻擊者就能入侵合法帳戶，在組織的網(wǎng)絡(luò)中傳播惡意軟件，并導(dǎo)致更多下游破壞。

啟用電子郵件鏈接隔離后的一次釣魚攻擊

Cloudflare Area 1和Cloudflare瀏覽器隔離的集成提供了關(guān)鍵的投遞后保護層，從而能夠挫敗類似上述延遲釣魚示例的攻擊。

如果攻擊者準備并執(zhí)行上述攻擊，當(dāng)用戶單擊電子郵件鏈接時，我們的電子郵件隔離系統(tǒng)會加以分析，并對用戶是否應(yīng)該導(dǎo)航到該鏈接進行高級評估。

安全鏈接——用戶將被透明地重定向到此站點

惡意鏈接——用戶被阻止進行瀏覽

可疑鏈接——系統(tǒng)強烈建議用戶放棄瀏覽，并彈出一個醒目的警告頁面，鼓勵他們在一個隔離的瀏覽器中查看鏈接

雖然上述例子中使用了警告提示頁面，電子郵件鏈接隔離也將為安全管理員提供其他可定制的緩解選項，包括在其Cloudflare Gateway控制臺內(nèi)將頁面設(shè)置為只讀模式，限制文件下載和上傳，以及完全禁用鍵盤輸入。

電子郵件鏈接隔離也被嵌入到用戶現(xiàn)有工作流程中，不會用IT工單影響生產(chǎn)力或消耗用戶的時間。由于Cloudflare瀏覽器隔離建立在Cloudflare網(wǎng)絡(luò)上，后者覆蓋全球270個城市，Web瀏覽會話能在盡可能靠近用戶的位置進行，從而最大程度減少延遲。此外，Cloudflare瀏覽器隔離將每個網(wǎng)頁的最終輸出發(fā)送給用戶，而非進行頁面清洗或推送像素流，從而進一步降低延遲，不會破壞基于瀏覽器的應(yīng)用程序，如SaaS。

我如何開始？

現(xiàn)有Cloudflare Area 1和Cloudflare Gateway客戶均有資格使用電子郵件鏈接隔離的測試版。如需了解詳情并表達意向，請注冊即將發(fā)布的測試版。

如果您想看看Cloudflare Area 1能在您的實際電子郵件流中檢測到什么威脅，在此預(yù)約免費的網(wǎng)絡(luò)釣魚風(fēng)險評估。啟動僅需5分鐘，不會影響到郵件流。