電子郵件是企業(yè)每天使用的最普遍、也是被利用最多的工具之一。引誘用戶點擊電子郵件中的惡意鏈接是絕大多數(shù)惡意行為者的一種長期策略�����,無論是最老練的犯罪組織�����,還是初出茅廬的攻擊者�����。
電子郵件是企業(yè)每天使用的最普遍�����、也是被利用最多的工具之一�����。引誘用戶點擊電子郵件中的惡意鏈接是絕大多數(shù)惡意行為者的一種長期策略�����,無論是最老練的犯罪組織�����,還是初出茅廬的攻擊者�����。
盡管這是用于獲取帳戶權限或?qū)嵤┢墼p的常見手段�����,但用戶仍然被騙到點擊惡意鏈接�����,進而被惡意利用�����。原因很簡單:即使是受過充分培訓的用戶(和安全解決方案)也不一定能夠區(qū)分無害鏈接和惡意鏈接�����。
最重要的是�����,保護員工郵箱通常會牽涉多個供應商�����、復雜的部署和巨大的資源消耗�����。
Email Link Isolation使Cloudflare Area 1成為防止網(wǎng)絡釣魚攻擊領域最全面的電子郵件解決方案�����。它會重寫可能被利用的鏈接�����,提醒用戶他們即將訪問的網(wǎng)站存在不確定性并保持警惕�����,并通過用戶友好的Cloudflare Browser Isolation服務防范惡意軟件和漏洞。同時�����,這個功能一鍵即可完成部署�����,符合Cloudflare的一貫風格�����。
防止欺詐鏈接
(迄今)數(shù)十位客戶參加了測試�����,保護了超過100萬個鏈接�����,我們現(xiàn)已清晰地看到這個解決方案可以實現(xiàn)的巨大價值和潛力�����。為了讓這些安全優(yōu)勢惠及更多的客戶�����,并持續(xù)擴展這項安全防御技術的多種應用方式�����,我們已推出Email Link Isolation的通用版本(GA)�����。
Email Link Isolation包含于Cloudflare Area 1 Enterprise計劃中�����,無需額外費用�����,三個步驟即可啟用:
1.登錄到Area 1門戶
2.進入“設置”(齒輪圖標)
3.在“電子郵件配置”下�����,進入“電子郵件策略”>“鏈接操作”
4.滾動到Email Link Isolation并啟用它
分層防御
隨著威脅參與者不斷尋找繞過每個安全措施的方法并開發(fā)更復雜的攻擊�����,應用多層防御部署變得越來越重要。揭示這些不斷發(fā)展演變的攻擊手段最佳的案例便是延遲網(wǎng)絡釣魚攻擊�����。在這種攻擊中�����,當電子郵件到達你的電子郵件安全棧并最終進入用戶的收件箱時�����,嵌入的URL是無害的�����,但會在投遞后武器化�����。
為了對抗不斷演變的電子郵件威脅�����,如惡意鏈接�����,Area 1不斷更新其機器學習(ML)模型�����,以考慮所有潛在的攻擊手段�����,并利用投遞后掃描和撤回作為額外的防御層?����,F(xiàn)在�����,Enterprise計劃客戶還可以使用Email Link Isolation作為最后的防御措施——一張安全網(wǎng)�����。
成功增加安全保護層的關鍵是使用一個強大的Zero Trust套件,而非將來自多個供應商的不相關產(chǎn)品拼湊起來�����。用戶需要在生產(chǎn)力不受干擾的情況下保證安全——否則他們將開始看到重要的電子郵件被隔離�����,或者在訪問網(wǎng)站時遇到糟糕的體驗�����,用不了多久這些用戶便會無奈開始尋找繞過公司安全防御的方式訪問網(wǎng)絡�����。
不影響員工效率的安全防御方案
Email Link Isolation提供了一個額外的安全層�����,幾乎不會破壞用戶體驗�����。它足夠智能�����,可以判斷哪些鏈接是安全的�����,哪些是惡意的�����,哪些仍然是可疑的�����。然后�����,這些可疑的鏈接會被更改(更準確而言是“重寫”)�����,Email Link Isolation會不斷評估它們�����,直到得到一個高度可信的結(jié)論。當用戶單擊這些重寫的鏈接時�����,電子郵件鏈接隔離會檢查結(jié)論(良性或惡意)并采取相應的行動——良性鏈接在本地瀏覽器中打開�����,就像它們沒有被更改一樣�����,而惡意鏈接則完全被阻止打開�����。
最重要的是�����,當Email Link Isolation無法根據(jù)所有可用情報得出可信的結(jié)論時�����,會打開一個插頁�����,要求用戶格外警惕�����。插頁提示該網(wǎng)站是可疑的�����,用戶應避免輸入任何個人信息和密碼�����,除非他們知道并完全信任該網(wǎng)站�����。在過去幾個月的測試中�����,我們發(fā)現(xiàn)超過三分之二的用戶在看到插頁后不再繼續(xù)訪問網(wǎng)站——這是一件好事!
對于那些在看到插頁后仍想訪問網(wǎng)站的用戶�����,Email Link Isolation將使用Cloudflare Browser Isolation,在Cloudflare距離用戶最近的數(shù)據(jù)中心運行的隔離瀏覽器中自動打開鏈接�����。得益于我們的網(wǎng)絡矢量渲染(NVR)技術和Cloudflare廣闊�����、低延遲的網(wǎng)絡�����,這能提供與使用本地瀏覽器幾乎無異的體驗�����。通過在隔離瀏覽器中打開可疑鏈接�����,用戶可以免受潛在的瀏覽器攻擊(包括惡意軟件�����、零日和其他類型的惡意代碼執(zhí)行)�����。
簡而言之,當Email Link Isolation對網(wǎng)站的安全性不確定時顯示插頁�����,這提供了另一層防范釣魚攻擊的意識和保護�����。然后�����,當用戶決定繼續(xù)訪問此類網(wǎng)站時�����,Cloudflare Browser Isolation用于防止惡意代碼執(zhí)行�����。
測試期間看到的情況
不出所料�����,用戶實際點擊重寫鏈接的百分比非常?����。▋H為個位數(shù))�����。這是因為大多數(shù)這樣的鏈接并不是用戶所預期的消息�����,并非來自他們信任的同事或合作伙伴�����。所以�����,即使用戶點擊了這樣的鏈接�����,他們通常也會看到插頁�����,并決定不再繼續(xù)前進。我們看到�����,只有不到一半的點擊導致用戶真正訪問了網(wǎng)站(在Browser Isolation中�����,以防止可能在幕后執(zhí)行的惡意代碼)�����。
您可能想知道為什么我們在這些重寫的鏈接上沒有看到更多的點擊量�����。答案很簡單�����,對于可能繞過了其他防御層的攻擊手段而言�����,Email Link Isolation確實是最后一層保護�����。實際上�����,所有經(jīng)過精心設計�����,旨在嘗試欺騙用戶點擊惡意鏈接的網(wǎng)絡釣魚攻擊�����,幾乎已經(jīng)被Area 1悉數(shù)阻止�����,此類郵件無法到達用戶的收件箱�����。
測試結(jié)果在安全防御和用戶體驗上達到了令人滿意的平衡。在生產(chǎn)中使用Email Link Isolation測試版的客戶中(其中包括一些財富500強公司)�����,我們沒有收到用戶體驗方面的負面反饋�����。這意味著我們正在實現(xiàn)最具挑戰(zhàn)性的目標之一——提供額外的安全性而不影響到用戶�����,也不給SOC和IT團隊增加調(diào)優(yōu)/管理負擔�����。
我們發(fā)現(xiàn)了一件值得注意的事情�����,那就是客戶發(fā)現(xiàn)我們對短鏈接的點擊行為監(jiān)測是多么有價值�����。一個被縮短的URL(例如bit.ly)可以在任何時候被修改以指向一個不同的網(wǎng)站�����,這讓我們的一些客戶感到焦慮�����。Email Link Isolation在點擊行為觸發(fā)時檢查鏈接�����,評估它要打開的實際網(wǎng)站�����,然后繼續(xù)在本地打開�����、阻止或顯示插頁�����。我們正在開發(fā)通過Email Link Isolation的完整鏈接縮短器覆蓋�����。
完全基于Cloudflare全球網(wǎng)絡打造
Cloudflare的情報驅(qū)動著有關重寫哪些鏈接的決策。我們掌握比其他供應商更早的信號�����。
Email Link Isolation基于Cloudflare在很多領域的獨特能力打造�����。
首先�����,Cloudflare處理龐大的互聯(lián)網(wǎng)流量�����,能夠信心十足地識別出新/低可信度的潛在危險域�����,比其他任何人更早——利用Cloudflare情報以獲得這種早期信號是用戶體驗的關鍵�����,從而不會給用戶日常訪問的合法網(wǎng)站制造任何速度障礙�����。其次�����,我們使用Cloudflare Workers來處理這些數(shù)據(jù)�����,并在不給用戶帶來令人沮喪的延遲的情況下提供插頁�����。最后�����,只有Cloudflare Browser Isolation能夠防御惡意代碼�����,提供對最終用戶不可見的低延遲體驗�����,感覺與本地瀏覽器別無二致。
閩公網(wǎng)安備 35010202001226號
