安全路透社
当前位置:安全路透社 > 安全客 > 正文

【安全报告】2016企业网络钓鱼威胁研究报告(下)

http://p0.qhimg.com/t01a51fb779c3fbeecf.png

翻译:pwn_361

预估

投稿方式:发送邮件,或登陆网页版

传送门


【技术分享】2016企业网络钓鱼威胁研究报告(上)


概述


目前,91%的网络攻击和数据泄漏都是以钓鱼攻击开始的,今年以来,全球钓鱼攻击增长了55%,以商业内容为主题的钓鱼攻击造成的损失增长了1300%,在所有钓鱼邮件的样本中,97.25%为勒索软件,勒索钓鱼增长了400%。如果您对钓鱼邮件威胁、企业如何应对感兴趣,请你耐心读完这篇研究报告。


PhishMe介绍


为了更好的理解这篇研究报告,我们有必要介绍一下PhishMe 公司,正是这家公司发布了这篇研究报告。

“鱼叉式网络钓鱼”是骗子常用的手法,这种攻击方法的成功率很高。企业中的任何一个人,点击链接、打开附件文件就有可能为攻击者开启了整个企业的大门,攻击者就可以以此为基点,在企业内部渗透,接触到企业内部的所有信息了。这种方法虽然早就出现,但是到目前为止还是企业安全面临的最头疼和最严峻的安全威胁,目前唯一有效的方法就是告诉你的员工,让他们认识到情况。这需要对员工进行考察,看看谁会成为受害者。那些打开假冒附件的人都应该接受培训,让他们知道自己错在哪里。这可以让员工提高主动安全意识。如果有很多人都成为受害者,那么就应该进行正规的教育了。其次,在发现存在可疑钓鱼邮件时,鼓励员工及时上传并报告给安全团队,这样安全团队才能及时发现存在的网络钓鱼活动,并着手将危害降到最低。针对这一整套的流程,网络安全初创公司 PhishMe推出了相应的解决方案,这是一家领先的安全行为管理服务提供商,旨在帮助企业对抗恶意软件造成的钓鱼攻击,而PhishMe的工具可以让员工识别出带有恶意钓鱼攻击性质的邮件,并将恶意邮件汇报给公司内部的网络安全小组。为公司及时堵住漏洞创造条件。

为了更好理解报告中的内容,有必要介绍一下PhishMe的一些工具。

PhishMe Simulator:是一个能发送模拟钓鱼邮件的模拟程序,会模拟现实生活中钓鱼的情景、语境,允许组织评估、测试和教育所有员工关于网络钓鱼的威胁,提高员工的安全意识。

PhishMe Reporter:一个为方便员工报告可疑钓鱼攻击的工具,员工发现邮件有可疑点后,只需要一个点击,就可以将可疑文件报告给安全团队,可以让安全团队及时发现存在的网络钓鱼活动,并立即着手调查,将危害降到最低。目前,全球安装PhishMe Reporter的用户约有500万个,根据这个安装量和用户数据,我们可以统计出人们上传并报告钓鱼邮件的精确数量和比例。

勒索软件和活跃威胁


同样,我们根据当前的活跃威胁,建立了勒索钓鱼邮件场景,并加入到了PhishMe的钓鱼模拟系统中。

http://p9.qhimg.com/t019269d84ee79e9963.png

如上图,使用勒索钓鱼邮件模板进行模拟钓鱼攻击的平均响应率达到了17%。根据PhishMe第3季度的恶意软件综述,在钓鱼邮件样本中,包含勒索软件的占97.25%。上图中,比我们的勒索钓鱼邮件模板的响应率还要高的是Locky勒索软件,这是今年年初疯狂传播的勒索软件。

http://p2.qhimg.com/t01378d74d1ada22871.png

勒索软件Locky的钓鱼分析


在2016年2月,PhishMe的情报小组确定了一种异常的、大量的电子邮件,这些邮件包含Word附件,Word中包含恶意宏,并能下载恶意软件,下载的恶意软件就是Locky勒索软件。Locky勒索软件在其部署的第一天,仅仅用了几个小时,全世界遭到感染的人就超过了难以置信的40万个。在2016年,Locky传播的不仅比大多数恶意软件都多,而且超过了所有其他勒索软件,因此,在我们进行模拟钓鱼攻击时,我们很有必要用Locky来进行模拟。目前我们在PhishMe模拟器中已经加入了Locky的模拟钓鱼模板。

http://p2.qhimg.com/t0135ace61ae0b9caf1.png

在分析PhishMe的Locky模板对用户的易感性前,我们先来看一下Locky钓鱼邮件的特点,在我们的反钓鱼程序中和现实世界中都赋予它有效性。

1.它呈现的是商业内容。

2.有目标明确的收信人。

3.语法和拼写上没有明显的错误。

4.它模仿许多组织现有的发票流程

http://p4.qhimg.com/t0189072b5982f9d2b3.png

上图是PhishMe的Locky模板。

http://p7.qhimg.com/t01d20662535f34e2ca.png

根据上图,很明显,在面对钓鱼邮件时,现实世界中的不同行业,又一次表现出了不一样的响应率。根据我们的数据,我们发现这些组织如:保险、零售和能源部门最脆弱,平均响应率从28%到35%。

上面是采用Locky场景在各行业中的响应率,下面是其他场景在多个行业的响应率:

http://p5.qhimg.com/t01b89ca1df41843ef6.png

阻止BEC邮件面临的挑战—没有链接、没有附件

商业内容的邮件陷阱(BEC:Business Email Compromise)是一个复杂的骗局,通常这种电子邮件没有链接或邮件附件。它瞄准那些熟悉的业务和业务活动的请求,如执行电子付款,或被要求提供公司的敏感信息数据,如W2数据。这些电子邮件似乎来自内部领导,但是没有链接、没有附件,这就造成了触发报警和技术分析上的困难,使这些威胁非常难以检测。

http://p4.qhimg.com/t01fb661282b0617628.png


采用BEC形式的钓鱼邮件的易感性


http://p3.qhimg.com/t01cd511b5d5e2100da.png

如上图,我们看到,采用BEC形式的网络钓鱼的平均响应率有14.2%,处理网络汇款明显是易感率最高的钓鱼邮件场景,在国防、保险和媒体行业尤其有效。

http://p2.qhimg.com/t01dcd8d87d1d277282.png


制定反网络钓鱼计划


报告写到这里,我们的报告已经概述和讨论了网络钓鱼的风险程度,以及影响用户识别和报告的困难因素。要强调一下,渗透测试结果和反钓鱼行为培训计划之间是有差异的。仅仅确定风险的广度是不够的。我们必须回答这个问题:我们如何利用钓鱼邮件攻击易感性研究结果,并把它们用到缓解网络钓鱼威胁中去呢?

http://p4.qhimg.com/t015dc2481c0d02ebdd.png

在设计反钓鱼程序/纲要/计划时,我们可以用上图中的网络钓鱼杀伤链为模型。这个模型模仿了安全组织利用的著名的杀伤链过程。不同点在于,用户在网络钓鱼的杀伤链中加入了报告制度。将上面的模型加入到反钓鱼程序(或计划、流程)中可以通过下面的步骤:

1.给你们企业使用的技术和流程弱点设置起码的底线。

2.分析最初/以前的网络钓鱼场景结果,确定出那些用户难以发现、识别的钓鱼场景。

3.根据2中的分析结果,和难以识别的场景模型,设计出未来可能被钓鱼的场景方案。

4.向你企业中的人阐述钓鱼场景,对他们进行教育,强化安全意识。

5.强调在所有意识活动中报告可疑网络钓鱼的重要性,和你的场景教育。

6.对高危人群和部门结合鱼叉式网络钓鱼。

7.重复你的场景以增加用户的识别能力和报告意识。

8.对用户报告的可疑钓鱼行为进行跟踪研究。

9.将员工报告的可疑钓鱼邮件发给事件响应团队,用于分析和消除危害。


强化识别和报告


当评估一个反钓鱼程序是否有效时,可以通过查看以下三个指标:

1.降低易感率;

2.增加识别率;

3.增加报告率;

在下表中,我们分析了不同大小的企业,在面对多次钓鱼攻击时的趋势、和报告率。这个分析结果来源于30多万个在企业中安装了PhishMe Reporter可疑钓鱼报告工具的用户。这个工具是一年前开发的。

http://p7.qhimg.com/t0124763df7f6b47b04.png

上图为用户响应网络钓鱼的趋势,说明了:无论公司大小,在用户失败一次以后(点击了钓鱼邮件),再次面对网络钓鱼时,响应率降低了19%,这说明用户对网络钓鱼的识别能力显著提高了。

下面是用户报告可疑钓鱼邮件的分解图:

http://p4.qhimg.com/t01e4a3100ff7d63384.png

我们可以看到,作为强调报告对反钓鱼程序的重要性的结果,用户有上传并报告可疑钓鱼邮件的新习惯。对于安装了PhishMe Reporter的用户来讲:

1.12%至20%已报告至少一次。

2.17%至29%已报告过多次。

除了这些统计数据,参与这次研究的企业,在12到18个月的期间内,企业从员工那收集到了很多“真实的”可疑钓鱼邮件(不是PhishMe的模拟钓鱼邮件):

1.大型企业–超过100万个

2.中型企业–超过4万个

3.小型企业–超过1.6万个

http://p8.qhimg.com/t01931f418bca6613b6.png

如图所示,不论公司大小,上传并报告的用户比例很高,参与的用户从37%到47.5%。不要忘了,对于所有类型和模板的模拟钓鱼邮件,易感率大概在15%到20%之间,和这个相比,报告率非常显著。

正如我们以前讨论过的,及时上报可疑钓鱼邮件的好处是显而易见的,能让企业及时发现正在活跃的威胁,并着手开始解决和清除,尤其是当一个企业的报告率大于易感率时,这个企业远离损失的机会就会非常大。


测量反钓鱼计划的有效性


当评估一个反钓鱼计划的有效性时,我们可以使用以下模型,我们可以提供一个企业当前面对钓鱼攻击的成熟程度和弹性等级。

http://p1.qhimg.com/t01c4ea666bca420292.png

这个模型从企业完全没有安全意识,到主动应对并减轻威胁,共分四种状态。确认企业当前所在状态的方法是:随着时间的推移,比较你们企业易感性趋势和报告趋势。下面的图中是一个企业的真实数据,给我们展示了一个理想的易感率和报告率的分叉。换句话说,就是随着易感率的下降,报告率同时也在上升。这也是企业员工安全意识在不断增强的一个过程。

http://p6.qhimg.com/t01b397555e6c2f55f6.png

正如钓鱼杀伤链所建议的那样,这个公司在刚开始实施反钓鱼计划时,就多次向员工强调报告可疑钓鱼行为的重要性。这项程序/计划已经在该公司实施了18个月,根据员工报告的可疑钓鱼行为,每年发现的新钓鱼场景有11或12个。


培养员工的报告习惯


为了更进一步说明用户报告可疑钓鱼行为的重要性,我们分析了安装PhishMe Reporter客户端的所有用户过去两年的数据,下图显示了易感用户的百分比与报告的百分比,以及各阶段使用PhishMe Reporter工具的用户数量与总数量的百分比。

http://p4.qhimg.com/t016d574e6694d6da4d.png

例如,在2015年,当安装Reporter客户端用户的数量和现在相比有10%到20%时,易感率为15%,而报告率为7%。而到了2016年,这10%到20%的人的易感率变成了13%,报告率变成了16%。

上图显示:一个采用钓鱼杀伤链模型的反钓鱼计划的有效性,通过多次给员工强调报告的重要性,我们看到易感率在降低,员工报告习惯在增加。

上图显示了在部署Reporter后呈现出了几个重要的趋势:

1.与前一年相比,我们看到随着Reporter的部署,易感率有了积极的变化。

2.在部署Reporter的第二年,我们能看到平均报告率一直比平均易感率高。

3.当Reporter部署到了公司80%以上的人员中时,即使在第一年,报告率就比易感率高了。


根据报告,快速发现存在的威胁


只要我们能获得更多用户关于可疑网络钓鱼的报告,而不是受其影响,就可以给企业提供宝贵的时间:事件响应团队就可以大大减少事件响应的时间,消除潜在的威胁,企业就可以减少、甚至远离损失。

http://p2.qhimg.com/t01b5e8f63d70622ab9.png

上图中显示的是,根据公司的大小反应出的平均报告时间的长短,所有公司的平均报告时间为1.2小时,最长的2.1小时,最短的0.4小时。

在这样的情况下,我们将探测到入侵行为的时间,有效地降到了只有1.2小时。你知道目前行业平均水平吗?目前行业的水平是需要146天。

http://p5.qhimg.com/t01b50c597b6c2c3976.png

目前的平均报告时间为1.2小时,而且在有些用户被成功钓鱼之前,就有人报告了存在的钓鱼活动,如上图,在我们的数据中,我们可以看到多个这样的例子。例如,在上图中,在企业里一个员工错误的点击钓鱼邮件、曝光了公司财情况的前11分钟,就有很多员工发现了可疑的钓鱼行为,并进行了报告。这样公司就能及时知道存在的可疑威胁,并着手进行处理。


安全操作中心和事件响应团队响应钓鱼事件


制定一个正式的可疑邮件报告处理程序,还达不到安全要求,并且大量的报告可能会让你的安全操作(SOC)团队和事件响应(IR)团队不知所措。因为,在没有一种有效的方法来组织、评估、并对大量报告进行响应的情况下,团队可能无法快速响应,并避免安全事件。

http://p5.qhimg.com/t012f8ba87bb3fa2e3f.png

必须有专用的钓鱼事件响应平台,帮助SOC和IR团队自动列出报告的优先级,对绕过你们邮件安全机制的钓鱼威胁进行分析和响应,降低安全风险。PhishMe Triage就是这样一个平台。


结论


通过查找已知的弱点,识别存在的威胁,了解企业员工识别具体钓鱼类型上存在的困难,和钓鱼邮件的组成,企业可以建立一个反钓鱼计划,会大大减少网络钓鱼的威胁。

再次重复一次,对员工实施持久和有效的钓鱼邮件模拟攻击计划,并督促员工对可疑钓鱼行为及时报告,能显著提高企业的安全防御水平,降低钓鱼攻击的威胁。通过对我们海量模拟钓鱼邮件和员工报告数据的分析,我们发现:

1. 钓鱼邮件采用适当的语境和情感激励时,会让员工非常难识别,造成很高的易感率。实际上,利用这些高风险钓鱼邮件采用的场景和主题,对员工进行重复的模拟钓鱼攻击训练,能显著降低员工的易感率,减少总的训练时间,并能允许企业将精力集中在特殊钓鱼风险的修补上。

2. 通过对员工实施模拟钓鱼攻击训练,一个企业可以迅速使更多的员工提高安全意识,并能确定出影响员工行为的关键触发因素。

3. 教育员工及时报告可疑邮件企图很重要,一旦员工发现邮件有不对劲的地方,就要及时报告,网络钓鱼企图将在其活动的最初几个小时之内得到响应处理。

4. 在员工已经养成了报告可疑邮件活动的习惯时,将探测到入侵的时间从天,降到分钟是非常有可能的。


传送门


【技术分享】2016企业网络钓鱼威胁研究报告(上)



原文链接:http://phishme.com/2016-enterprise-phishing-susceptibility-report

未经允许不得转载:安全路透社 » 【安全报告】2016企业网络钓鱼威胁研究报告(下)

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册