商務(wù)電郵入侵(BEC)指的是沒有任何攻擊載荷的所有電子郵件攻擊類型。盡管種類繁多，但攻擊者基本上通過兩種主要機(jī)制利用BEC技術(shù)滲透進(jìn)企業(yè)網(wǎng)絡(luò)：冒用和賬戶盜用攻擊。

最近發(fā)布的研究顯示，71%的企業(yè)承認(rèn)去年遭到過商務(wù)電郵入侵(BEC)攻擊。43%的企業(yè)在過去12個月里經(jīng)歷過安全事件，其中35%聲稱BEC/網(wǎng)絡(luò)釣魚攻擊占據(jù)這些事件的50%以上。

[[418104]]

美國聯(lián)邦調(diào)查局(FBI)互聯(lián)網(wǎng)犯罪投訴中心(IC3)報告稱，BEC欺詐是2020年代價最高昂的網(wǎng)絡(luò)攻擊，共有19,369起投訴，損失約18億美元。近期的BEC攻擊包括對Shark Tank主持人Barbara Corcoran的攻擊(損失38萬美元);波多黎各政府遭受的攻擊(損失400萬美元);還有日本媒體巨頭日經(jīng)新聞社被欺詐電子郵件騙走的2900萬美元。

為挫敗BEC攻擊，企業(yè)必須關(guān)注黃金三角：人員、過程和技術(shù)的協(xié)調(diào)統(tǒng)一。以下就是緩解BEC攻擊應(yīng)遵循的優(yōu)秀實(shí)踐。

過程

每家公司的財務(wù)部門都設(shè)置有支出授權(quán)策略。該策略為每筆支出/付款建立了清晰的批準(zhǔn)層級，從而保護(hù)公司的資產(chǎn)。

盡管所有支出/付款都應(yīng)從已批準(zhǔn)的預(yù)算中開支，這一策略還是為財務(wù)部門提供了工具，確保每筆付款均由適當(dāng)人員根據(jù)金額授權(quán)。

某些情況下，公司首席執(zhí)行官或總裁在要求付款方面被賦予了無限權(quán)力。網(wǎng)絡(luò)罪犯深知這一點(diǎn)，所以經(jīng)常假冒高層人員的電子郵件賬戶。

考慮到當(dāng)前的網(wǎng)絡(luò)安全狀況，財務(wù)部門應(yīng)當(dāng)重新評估這種策略，設(shè)置更嚴(yán)格的過程。這可能意味著要對通過支票、電匯或任意其他渠道的重要開支實(shí)施多重授權(quán)，從而確保付款請求是合法的?；蛟S還可以闡明如何獲得電子授權(quán)。

比如說，如果財務(wù)部門某員工收到了首席執(zhí)行官要求電匯的電子郵件，處理該請求的行政人員須遵從公司策略獲得額外的批準(zhǔn)，例如向預(yù)先核準(zhǔn)的通訊組列表發(fā)送電子郵件以獲得電子批準(zhǔn)，以及通過電話確認(rèn)。開支金額決定了誰能簽字和共同簽署，并且可能基于公司的風(fēng)險偏好，即公司愿意承受多大的損失。

IT團(tuán)隊(duì)成員應(yīng)與財務(wù)部門溝通，解釋BEC及其他欺騙攻擊是如何發(fā)生的，給出近期BEC攻擊真實(shí)案例，并頭腦風(fēng)暴出公司能夠采取哪些不同措施來阻止攻擊?；谶@些案例，財務(wù)部門應(yīng)在將網(wǎng)絡(luò)安全欺騙和BEC納入考慮的情況下重新評估當(dāng)前策略。這可能意味著董事會主席、首席執(zhí)行官或公司總裁并非主要開支的簽字人，且基準(zhǔn)金額取決于公司的風(fēng)險偏好。

這個過程在開支授權(quán)策略范圍內(nèi)建立起來后，公司必須確保其人員接受培訓(xùn)，無一例外地遵守這一策略。

人員

公司所有員工都必須經(jīng)過培訓(xùn)，知道網(wǎng)絡(luò)安全攻擊長什么樣子，該做什么，不該做什么;而且培訓(xùn)應(yīng)該持續(xù)進(jìn)行，因?yàn)榫W(wǎng)絡(luò)安全狀況變化很快。

財務(wù)部門的員工，或者有權(quán)支付任意形式資金的人，應(yīng)該接受有關(guān)BEC及其他欺騙攻擊的培訓(xùn)。

強(qiáng)調(diào)很多這種攻擊都以高管電子郵件的形式出現(xiàn)，往往標(biāo)著“緊急”字樣，有時候會在逼近下班時間發(fā)出請求，并要求立即付款。通過這種培訓(xùn)，再加上要求所有員工都遵循開支授權(quán)策略，公司應(yīng)該就能夠阻止BEC攻擊了。

很多公司購買網(wǎng)絡(luò)保險來彌補(bǔ)BEC損失，但沒有哪家企業(yè)能夠確定保險公司會賠付。例如，貿(mào)易公司Virtu Financial Inc. 在一場BEC騙局中損失了690萬美元，但其保險商Axis Insurance拒絕賠付，宣稱“Virtu計算機(jī)系統(tǒng)遭受的未授權(quán)訪問不是造成損失的直接原因，損失實(shí)際上是由Virtu員工的獨(dú)立干預(yù)行為造成的，因?yàn)樗麄儗σ筠D(zhuǎn)賬的‘假冒’電子郵件信以為真并發(fā)出了電匯。”Virtu Financial Inc.對Axis Insurance提起訴訟，指控該保險公司拒絕承保網(wǎng)絡(luò)攻擊，違反了合同。

技術(shù)

下一代高級網(wǎng)絡(luò)安全技術(shù)有助于在威脅觸及最終用戶之前阻止任何電子郵件威脅，包括垃圾郵件、網(wǎng)絡(luò)釣魚、BEC及后續(xù)攻擊、高級持續(xù)性威脅(APT)和零日漏洞攻擊。

此類解決方案包括：

• 反垃圾郵件引擎：以反垃圾郵件和基于信譽(yù)的過濾器阻止惡意通信。
• 反網(wǎng)絡(luò)釣魚引擎：在波及最終用戶前檢測惡意URL并阻止任意類型的網(wǎng)絡(luò)釣魚攻擊。
• 反欺騙引擎：阻止欺騙、相似域名和顯示名稱欺騙等無載荷攻擊。
• 反規(guī)避技術(shù)：將內(nèi)容遞歸解包成更小的單元(文件和URL)，然后由多個引擎在幾秒鐘內(nèi)動態(tài)檢查，從而檢測惡意隱藏內(nèi)容。
• 機(jī)器智能(MI)和自然語言處理(NLP)：檢查內(nèi)容和上下文中偏離正常的畸變，例如識別異常書寫風(fēng)格、可能預(yù)示惡意活動的關(guān)鍵詞、奇怪的IP地址、地理位置、時間等。
• 檢測：防止高級威脅和零日攻擊。
• 即時電子郵件分析：供最終用戶在采取魯莽行動之前識別惡意電子郵件。
• 最終用戶上下文幫助：以基于策略和規(guī)則的定制旗標(biāo)標(biāo)記電子郵件，從而向最終用戶提供額外的上下文信息，提高他們的安全意識。

解決方案應(yīng)能夠檢測并阻止欺騙及賬戶盜用攻擊，網(wǎng)絡(luò)罪犯往往會借助這些攻擊訪問合法電子郵件賬戶，并試圖進(jìn)一步深入公司網(wǎng)絡(luò)。

結(jié)語

因精通這些攻擊，Acronis網(wǎng)絡(luò)保護(hù)解決方案廣為企業(yè)和托管服務(wù)提供商(MSP)所推崇。憑借機(jī)器智能(MI)、自動化和集成的獨(dú)特組合，該多功能網(wǎng)絡(luò)保護(hù)解決方案有助于降低業(yè)務(wù)風(fēng)險和提高生產(chǎn)效率，而不管數(shù)據(jù)丟失是如何發(fā)生的。