根據(jù)Verizon的數(shù)據(jù)泄漏報(bào)告，2023年商業(yè)郵件欺詐(BEC)攻擊占社交工程攻擊的一半以上！網(wǎng)絡(luò)犯罪分子不僅在增加攻擊數(shù)量，而且在偽造和仿冒郵件方面變得更加老練和自動(dòng)化。

如今，隨著生成式人工智能的快速武器化，BEC攻擊威脅正爆炸式增長(zhǎng)。網(wǎng)絡(luò)犯罪分子不僅擅長(zhǎng)用AI編寫(xiě)極具說(shuō)服力的釣魚(yú)電子郵件，而且還能逃避傳統(tǒng)電子郵件安全工具的檢測(cè)，大規(guī)模地提高攻擊的覆蓋范圍和復(fù)雜性。

2024年，隨著B(niǎo)EC攻擊激增，網(wǎng)絡(luò)安全團(tuán)隊(duì)和業(yè)務(wù)經(jīng)理需要認(rèn)識(shí)到，技術(shù)防御只能在一定程度上減輕風(fēng)險(xiǎn)。常見(jiàn)的電子郵件安全防御技術(shù)包括從反欺騙技術(shù) (如DMARC和SPF) 到行為分析和其他威脅檢測(cè)，以及多因素身份驗(yàn)證 (MFA) 和強(qiáng)大的身份和訪問(wèn)管理等保護(hù)措施。然而，為了建立有效的縱深防御，企業(yè)需要分層實(shí)施威脅情報(bào)，人員導(dǎo)向的業(yè)務(wù)和技術(shù)政策，才能將風(fēng)險(xiǎn)降至最低。

為了避免財(cái)務(wù)損失，首席信息安全官 (CISO) 們應(yīng)與法律團(tuán)隊(duì)一起制定全面的BEC政策文檔來(lái)提高用戶的抗攻擊能力，以下是專家推薦的 BEC 防護(hù)政策的八個(gè)要點(diǎn)：

一、可接受的使用規(guī)則

企業(yè)在業(yè)務(wù)和技術(shù)層面設(shè)置的首要規(guī)則類別是員工訪問(wèn)電子郵件和其他業(yè)務(wù)系統(tǒng)時(shí)的可接受使用標(biāo)準(zhǔn)，以阻止BEC攻擊。Britton表示，可接受使用政策 (AUP) 是提供基于政策的BEC風(fēng)險(xiǎn)保護(hù)的最低要求。

AUP包括常規(guī)的安全最佳實(shí)踐，并應(yīng)特別關(guān)注網(wǎng)絡(luò)釣魚(yú)和BEC防范指南，后者的內(nèi)容包括：不得點(diǎn)擊可疑文件附件或鏈接、不向第三方泄露敏感信息、仔細(xì)檢查發(fā)票支付和工資單變更請(qǐng)求以及報(bào)告可疑攻擊等。

二、確定安全意識(shí)培訓(xùn)的頻率

與AUP一樣，安全意識(shí)培訓(xùn)也應(yīng)作為入職培訓(xùn)的一個(gè)關(guān)鍵部分由BEC政策規(guī)定。但是，政策也應(yīng)規(guī)定員工在企業(yè)工作期間需定期進(jìn)行培訓(xùn)。由于網(wǎng)絡(luò)犯罪分子的策略不斷發(fā)展，企業(yè)應(yīng)至少每四到六個(gè)月進(jìn)行一次復(fù)習(xí)和更新。企業(yè)可以考慮能夠幫助自動(dòng)執(zhí)行這些培訓(xùn)課程的工具。

安全意識(shí)培訓(xùn)更新不僅提供了寶貴的安全威脅提醒和如何識(shí)別不同階段的BEC攻擊的強(qiáng)化教學(xué)內(nèi)容，還可以提供一個(gè)重要的學(xué)習(xí)場(chǎng)所，讓員工了解這些攻擊技術(shù)自上次培訓(xùn)以來(lái)發(fā)生了哪些變化。Embroker 商業(yè)和網(wǎng)絡(luò)保險(xiǎn)公司的首席保險(xiǎn)官 David Derigiotis 表示：“企業(yè)需要通過(guò)安全意識(shí)培訓(xùn)計(jì)劃定期向員工更新不斷發(fā)展的 BEC 威脅和策略，模擬測(cè)試和其他審計(jì)也需要成為這些定期更新的一部分?！?/p>

三、強(qiáng)制性BEC特定事件響應(yīng)計(jì)劃

企業(yè)董事會(huì)和首席執(zhí)行官應(yīng)要求CISO在其事件響應(yīng)(IR)計(jì)劃中包含針對(duì)BEC的程序，

公司應(yīng)制定政策要求安全團(tuán)隊(duì)定期更新這些IR計(jì)劃并測(cè)試其效果。企業(yè)在事件響應(yīng)的所有階段計(jì)劃都有法律專家參與，法律部門(mén)尤其應(yīng)該參與內(nèi)部和外部利益相關(guān)方溝通事件，以確保企業(yè)在BEC攻擊發(fā)生時(shí)不會(huì)增加其法律責(zé)任。

Culhane Meadows合伙人Reiko Feaver表示：“任何違規(guī)都可能帶來(lái)法律責(zé)任，因此最好在違規(guī)之前進(jìn)行討論，并盡可能多地提前制定預(yù)案。”

Feaver建議BEC政策文件應(yīng)規(guī)定法律部門(mén)成為威脅建模團(tuán)隊(duì)的一部分，分析不同類型BEC攻擊的潛在影響，以便將法律專業(yè)觀點(diǎn)納入響應(yīng)計(jì)劃中。她說(shuō)：“此外，泄露或暴露的有關(guān)商業(yè)伙伴、客戶、人員等的信息，包括機(jī)密信息，可能產(chǎn)生法律后果，這也應(yīng)該在制定IRP和實(shí)際應(yīng)對(duì)實(shí)際違規(guī)行為時(shí)加以考慮?！?/p>

四、禁止共享企業(yè)結(jié)構(gòu)圖和其他運(yùn)營(yíng)細(xì)節(jié)的規(guī)則

BEC詐騙者通常會(huì)利用對(duì)組織內(nèi)部運(yùn)作的了解來(lái)針對(duì)特定員工進(jìn)行帳戶接管攻擊，向受害者提出可信的請(qǐng)求，或者設(shè)計(jì)出非常令人信服的社會(huì)工程方法。

SafeGuard Cyber首席技術(shù)官兼首席產(chǎn)品官Stephen Spadaccini表示：“企業(yè)應(yīng)該將組織結(jié)構(gòu)圖和其他詳細(xì)信息從公司網(wǎng)站上刪除。黑客可能用這些信息來(lái)實(shí)施有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)詐騙的職位描述；避免在社交媒體網(wǎng)站上發(fā)布詳細(xì)的個(gè)人信息，這些信息會(huì)落入那些準(zhǔn)備實(shí)施個(gè)性化社交工程騙局的人的手中。”

五、 發(fā)票和財(cái)務(wù)交易協(xié)議

防止BEC造成巨大損失的關(guān)鍵策略與技術(shù)無(wú)關(guān)，重點(diǎn)是建立一個(gè)堅(jiān)不可摧的業(yè)務(wù)標(biāo)準(zhǔn)和流程來(lái)處理發(fā)票和觸發(fā)財(cái)務(wù)交易。

Fortra首席信息安全官Chris Reffkin表示：“這意味著將縱深防御應(yīng)用于整個(gè)企業(yè)的業(yè)務(wù)實(shí)踐，而不僅僅是網(wǎng)絡(luò)安全。例如，如果通過(guò)電子郵件收到更改付款信息的請(qǐng)求，那么業(yè)務(wù)流程的響應(yīng)是什么？”

理想情況下，這些政策應(yīng)要求所有付款都追溯到經(jīng)過(guò)驗(yàn)證的收款人姓名、地址和付款說(shuō)明的已批準(zhǔn)發(fā)票。KnowBe4的防御專家Roger Grimes建議：“任何臨時(shí)付款請(qǐng)求都必須在付款發(fā)出之前進(jìn)行正式審查。要求所有付款指令更改在批準(zhǔn)之前使用合法途徑進(jìn)行驗(yàn)證。”

值得注意的是，強(qiáng)力政策可以消除攻擊者對(duì)員工（社工攻擊）施加的緊迫感和恐懼感，尤其是攻擊者冒充高管或上司提出異常請(qǐng)求時(shí)。強(qiáng)有力的政策能夠保護(hù)嚴(yán)格按規(guī)章辦事，“不聽(tīng)話”的員工。

六、高風(fēng)險(xiǎn)變更和交易的帶外驗(yàn)證

對(duì)于發(fā)票和財(cái)務(wù)交易政策，企業(yè)應(yīng)特別注意如何驗(yàn)證和批準(zhǔn)高風(fēng)險(xiǎn)交易和財(cái)務(wù)賬戶變更。Qmulos合規(guī)策略副總裁Igor Volovich表示：“實(shí)施嚴(yán)格的財(cái)務(wù)交易和數(shù)據(jù)請(qǐng)求驗(yàn)證流程至關(guān)重要。這是抵御BEC攻擊的關(guān)鍵防御措施，確保對(duì)每個(gè)請(qǐng)求進(jìn)行徹底審查。將這些流程嵌入到日常運(yùn)營(yíng)中可以形成強(qiáng)大的防御機(jī)制?！?/p>

企業(yè)為BEC設(shè)置后盾的一個(gè)重要方法是確保通過(guò)電子郵件觸發(fā)的任何高風(fēng)險(xiǎn)事件都通過(guò)某種帶外驗(yàn)證流程（可以是電話、通過(guò)安全系統(tǒng)或短信）進(jìn)行跟進(jìn)。

DarkTower首席執(zhí)行官Robin Pugh強(qiáng)調(diào)：“這是最重要的政策之一。切勿僅根據(jù)電子郵件請(qǐng)求更改付款/銀行詳細(xì)信息。每當(dāng)通過(guò)電子郵件請(qǐng)求付款信息或銀行信息變更時(shí)，應(yīng)制定一項(xiàng)政策，要求收件人始終通過(guò)語(yǔ)音使用受信任的聯(lián)系方式聯(lián)系請(qǐng)求人。” Pugh表示，為高風(fēng)險(xiǎn)交易添加第二位審批人也可進(jìn)一步降低風(fēng)險(xiǎn)并減少內(nèi)部威脅。

OpenText Cybersecurity的威脅情報(bào)高級(jí)經(jīng)理Troy Gill警告說(shuō)，攻擊者會(huì)潛伏在被入侵的電子郵件箱中，等待付款活動(dòng)發(fā)生時(shí)伺機(jī)介入。即使聯(lián)系人通過(guò)電子郵件提供了合法文件，也應(yīng)該用帶外驗(yàn)證進(jìn)行補(bǔ)充。Gill解釋說(shuō)：“在許多情況下，攻擊者會(huì)篡改以前發(fā)送的合法文件，將收款賬號(hào)替換為（攻擊者控制的）賬戶。因此，至關(guān)重要的是，所有更改必須在電子郵件線程之外確認(rèn)?！?/p>

七、請(qǐng)求登記流程

對(duì)于某些組織來(lái)說(shuō)，要求臨時(shí)帶外電話呼叫的政策可能不夠嚴(yán)格，不足以降低BEC風(fēng)險(xiǎn)。TrustNet首席信息安全官兼創(chuàng)始人Trevor Horwitz解釋說(shuō)，將驗(yàn)證策略提升到新水平的一個(gè)策略是建立一個(gè)內(nèi)部安全的“請(qǐng)求寄存器”，通過(guò)該寄存器，每個(gè)交換或更改敏感信息的請(qǐng)求都將通過(guò)該寄存器。

“由于來(lái)自外部欺騙電子郵件和內(nèi)部受損電子郵件來(lái)源的雙重威脅，預(yù)防BEC需要采取廣泛的策略。我們倡導(dǎo)一種受金融服務(wù)領(lǐng)域“積極支付”欺詐預(yù)防啟發(fā)的新穎戰(zhàn)略?！盚orowitz說(shuō)道。“這項(xiàng)政策要求對(duì)所有敏感信息交換和變更采用輔助方法進(jìn)行積極驗(yàn)證，包括收款人、銀行信息、應(yīng)收賬款和員工數(shù)據(jù)。該機(jī)制包括一個(gè)內(nèi)部安全的“請(qǐng)求寄存器”，可確保在任何信息交換或修改之前進(jìn)行積極驗(yàn)證。”

通過(guò)這一政策和方法，每個(gè)敏感請(qǐng)求都會(huì)在集中式系統(tǒng)中注冊(cè)，然后通過(guò)第二個(gè)因素獲得批準(zhǔn)，無(wú)論是電話、一次性密碼 (OTP) 還是硬件安全密鑰（例如FIDO2）?；袈寰S茨告訴CSO：“用戶經(jīng)過(guò)培訓(xùn)，可以在泄露信息或進(jìn)行更改之前通過(guò)此寄存器驗(yàn)證敏感請(qǐng)求?！?/p>

八、開(kāi)放式匯報(bào)機(jī)制

企業(yè)制定政策、文化和流程時(shí)需側(cè)重開(kāi)放式匯報(bào)機(jī)制，讓員工能夠輕松報(bào)告異常請(qǐng)求事件，即使判斷錯(cuò)誤也無(wú)需擔(dān)心懲罰。Feaver說(shuō)：“重要的是要確保員工不怕報(bào)告可疑事件。報(bào)告得越早，就越容易解決，但害怕的員工可能不愿意承認(rèn)錯(cuò)誤?！?/p>

企業(yè)需要建立報(bào)告可疑事件的文檔步驟和機(jī)制，并嘗試獎(jiǎng)勵(lì)阻止錯(cuò)誤而不是懲罰錯(cuò)誤。Gill說(shuō)：“為了增加激勵(lì)措施，我建議為成功識(shí)別和阻止BEC攻擊嘗試的人建立獎(jiǎng)勵(lì)制度，例如獎(jiǎng)池或禮品卡。這將有助于培養(yǎng)防御思維和零信任心態(tài)，他們需要知道如何安全地做到這一點(diǎn)。”