Email Link Isolation——防御最新網(wǎng)絡(luò)釣魚攻擊的安全網(wǎng)

電子郵件是企業(yè)每天使用的最普遍、也是被利用最多的工具之一。引誘用戶點(diǎn)擊電子郵件中的惡意鏈接是絕大多數(shù)惡意行為者的一種長期策略，無論是最老練的犯罪組織，還是初出茅廬的攻擊者。

盡管這是用于獲取帳戶權(quán)限或?qū)嵤┢墼p的常見手段，但用戶仍然被騙到點(diǎn)擊惡意鏈接，進(jìn)而被惡意利用。原因很簡單：即使是受過充分培訓(xùn)的用戶（和安全解決方案）也不一定能夠區(qū)分無害鏈接和惡意鏈接。

最重要的是，保護(hù)員工郵箱通常會(huì)牽涉多個(gè)供應(yīng)商、復(fù)雜的部署和巨大的資源消耗。

Email Link Isolation使Cloudflare Area 1成為防止網(wǎng)絡(luò)釣魚攻擊領(lǐng)域最全面的電子郵件解決方案。它會(huì)重寫可能被利用的鏈接，提醒用戶他們即將訪問的網(wǎng)站存在不確定性并保持警惕，并通過用戶友好的Cloudflare Browser Isolation服務(wù)防范惡意軟件和漏洞。同時(shí)，這個(gè)功能一鍵即可完成部署，符合Cloudflare的一貫風(fēng)格。

防止欺詐鏈接

（迄今）數(shù)十位客戶參加了測試，保護(hù)了超過100萬個(gè)鏈接，我們現(xiàn)已清晰地看到這個(gè)解決方案可以實(shí)現(xiàn)的巨大價(jià)值和潛力。為了讓這些安全優(yōu)勢惠及更多的客戶，并持續(xù)擴(kuò)展這項(xiàng)安全防御技術(shù)的多種應(yīng)用方式，我們已推出Email Link Isolation的通用版本（GA）。

Email Link Isolation包含于Cloudflare Area 1 Enterprise計(jì)劃中，無需額外費(fèi)用，三個(gè)步驟即可啟用：

1.登錄到Area 1門戶

2.進(jìn)入“設(shè)置”（齒輪圖標(biāo)）

3.在“電子郵件配置”下，進(jìn)入“電子郵件策略”>“鏈接操作”

4.滾動(dòng)到Email Link Isolation并啟用它

分層防御

隨著威脅參與者不斷尋找繞過每個(gè)安全措施的方法并開發(fā)更復(fù)雜的攻擊，應(yīng)用多層防御部署變得越來越重要。揭示這些不斷發(fā)展演變的攻擊手段最佳的案例便是延遲網(wǎng)絡(luò)釣魚攻擊。在這種攻擊中，當(dāng)電子郵件到達(dá)你的電子郵件安全棧并最終進(jìn)入用戶的收件箱時(shí)，嵌入的URL是無害的，但會(huì)在投遞后武器化。

為了對(duì)抗不斷演變的電子郵件威脅，如惡意鏈接，Area 1不斷更新其機(jī)器學(xué)習(xí)（ML）模型，以考慮所有潛在的攻擊手段，并利用投遞后掃描和撤回作為額外的防御層?，F(xiàn)在，Enterprise計(jì)劃客戶還可以使用Email Link Isolation作為最后的防御措施——一張安全網(wǎng)。

成功增加安全保護(hù)層的關(guān)鍵是使用一個(gè)強(qiáng)大的Zero Trust套件，而非將來自多個(gè)供應(yīng)商的不相關(guān)產(chǎn)品拼湊起來。用戶需要在生產(chǎn)力不受干擾的情況下保證安全——否則他們將開始看到重要的電子郵件被隔離，或者在訪問網(wǎng)站時(shí)遇到糟糕的體驗(yàn)，用不了多久這些用戶便會(huì)無奈開始尋找繞過公司安全防御的方式訪問網(wǎng)絡(luò)。

不影響員工效率的安全防御方案

Email Link Isolation提供了一個(gè)額外的安全層，幾乎不會(huì)破壞用戶體驗(yàn)。它足夠智能，可以判斷哪些鏈接是安全的，哪些是惡意的，哪些仍然是可疑的。然后，這些可疑的鏈接會(huì)被更改（更準(zhǔn)確而言是“重寫”），Email Link Isolation會(huì)不斷評(píng)估它們，直到得到一個(gè)高度可信的結(jié)論。當(dāng)用戶單擊這些重寫的鏈接時(shí)，電子郵件鏈接隔離會(huì)檢查結(jié)論（良性或惡意）并采取相應(yīng)的行動(dòng)——良性鏈接在本地瀏覽器中打開，就像它們沒有被更改一樣，而惡意鏈接則完全被阻止打開。

最重要的是，當(dāng)Email Link Isolation無法根據(jù)所有可用情報(bào)得出可信的結(jié)論時(shí)，會(huì)打開一個(gè)插頁，要求用戶格外警惕。插頁提示該網(wǎng)站是可疑的，用戶應(yīng)避免輸入任何個(gè)人信息和密碼，除非他們知道并完全信任該網(wǎng)站。在過去幾個(gè)月的測試中，我們發(fā)現(xiàn)超過三分之二的用戶在看到插頁后不再繼續(xù)訪問網(wǎng)站——這是一件好事!

對(duì)于那些在看到插頁后仍想訪問網(wǎng)站的用戶，Email Link Isolation將使用Cloudflare Browser Isolation，在Cloudflare距離用戶最近的數(shù)據(jù)中心運(yùn)行的隔離瀏覽器中自動(dòng)打開鏈接。得益于我們的網(wǎng)絡(luò)矢量渲染（NVR）技術(shù)和Cloudflare廣闊、低延遲的網(wǎng)絡(luò)，這能提供與使用本地瀏覽器幾乎無異的體驗(yàn)。通過在隔離瀏覽器中打開可疑鏈接，用戶可以免受潛在的瀏覽器攻擊（包括惡意軟件、零日和其他類型的惡意代碼執(zhí)行）。

簡而言之，當(dāng)Email Link Isolation對(duì)網(wǎng)站的安全性不確定時(shí)顯示插頁，這提供了另一層防范釣魚攻擊的意識(shí)和保護(hù)。然后，當(dāng)用戶決定繼續(xù)訪問此類網(wǎng)站時(shí)，Cloudflare Browser Isolation用于防止惡意代碼執(zhí)行。

測試期間看到的情況

不出所料，用戶實(shí)際點(diǎn)擊重寫鏈接的百分比非常?。▋H為個(gè)位數(shù)）。這是因?yàn)榇蠖鄶?shù)這樣的鏈接并不是用戶所預(yù)期的消息，并非來自他們信任的同事或合作伙伴。所以，即使用戶點(diǎn)擊了這樣的鏈接，他們通常也會(huì)看到插頁，并決定不再繼續(xù)前進(jìn)。我們看到，只有不到一半的點(diǎn)擊導(dǎo)致用戶真正訪問了網(wǎng)站（在Browser Isolation中，以防止可能在幕后執(zhí)行的惡意代碼）。

您可能想知道為什么我們在這些重寫的鏈接上沒有看到更多的點(diǎn)擊量。答案很簡單，對(duì)于可能繞過了其他防御層的攻擊手段而言，Email Link Isolation確實(shí)是最后一層保護(hù)。實(shí)際上，所有經(jīng)過精心設(shè)計(jì)，旨在嘗試欺騙用戶點(diǎn)擊惡意鏈接的網(wǎng)絡(luò)釣魚攻擊，幾乎已經(jīng)被Area 1悉數(shù)阻止，此類郵件無法到達(dá)用戶的收件箱。

測試結(jié)果在安全防御和用戶體驗(yàn)上達(dá)到了令人滿意的平衡。在生產(chǎn)中使用Email Link Isolation測試版的客戶中（其中包括一些財(cái)富500強(qiáng)公司），我們沒有收到用戶體驗(yàn)方面的負(fù)面反饋。這意味著我們正在實(shí)現(xiàn)最具挑戰(zhàn)性的目標(biāo)之一——提供額外的安全性而不影響到用戶，也不給SOC和IT團(tuán)隊(duì)增加調(diào)優(yōu)/管理負(fù)擔(dān)。

我們發(fā)現(xiàn)了一件值得注意的事情，那就是客戶發(fā)現(xiàn)我們對(duì)短鏈接的點(diǎn)擊行為監(jiān)測是多么有價(jià)值。一個(gè)被縮短的URL（例如bit.ly）可以在任何時(shí)候被修改以指向一個(gè)不同的網(wǎng)站，這讓我們的一些客戶感到焦慮。Email Link Isolation在點(diǎn)擊行為觸發(fā)時(shí)檢查鏈接，評(píng)估它要打開的實(shí)際網(wǎng)站，然后繼續(xù)在本地打開、阻止或顯示插頁。我們正在開發(fā)通過Email Link Isolation的完整鏈接縮短器覆蓋。

完全基于Cloudflare全球網(wǎng)絡(luò)打造

Cloudflare的情報(bào)驅(qū)動(dòng)著有關(guān)重寫哪些鏈接的決策。我們掌握比其他供應(yīng)商更早的信號(hào)。

Email Link Isolation基于Cloudflare在很多領(lǐng)域的獨(dú)特能力打造。

首先，Cloudflare處理龐大的互聯(lián)網(wǎng)流量，能夠信心十足地識(shí)別出新/低可信度的潛在危險(xiǎn)域，比其他任何人更早——利用Cloudflare情報(bào)以獲得這種早期信號(hào)是用戶體驗(yàn)的關(guān)鍵，從而不會(huì)給用戶日常訪問的合法網(wǎng)站制造任何速度障礙。其次，我們使用Cloudflare Workers來處理這些數(shù)據(jù)，并在不給用戶帶來令人沮喪的延遲的情況下提供插頁。最后，只有Cloudflare Browser Isolation能夠防御惡意代碼，提供對(duì)最終用戶不可見的低延遲體驗(yàn)，感覺與本地瀏覽器別無二致。