安全路透社
当前位置:安全路透社 > 网络转载 > 正文

专注“钓鱼人防”:安全新星企业PhishMe浅析

*本文作者:kuma@FreeBuf行业研究报告

phishme.png

钓鱼攻击给企业资产带来的威胁不用多说,大家从日常的新闻报道和各类安全公司给出的相关报告当中也有所耳闻,我们直接来看一些直观数据:

91%的数据泄露都由钓鱼开始;

发现一起数据泄露的平均时间为146天;

处理一起数据泄露的平均时间为84天;

全球企业因数据泄露遭受的平均损失为4百万美元。

针对这样的形式,各安全企业对此也有各不相同的着力点,从连接安全、登录安全、浏览器设定、邮箱客户端配置、垃圾邮件过滤、钓鱼网站监测到备选交易认证渠道等。随着技术的发展,我们也愈发依赖技术来对抗不断演变的网络威胁。但在这个过程中,最重要的因素——人却极易被忽略。其实钓鱼针对的就是人,也就是企业员工,92%的信息行业从业者都在使用电子邮箱。针对员工,攻击者玩的是概率,找的是容易中招的对象。而我们今天将的PhishMe关注的就是人这最后一道防线,帮助事件响应团队快速分析并响应针对性钓鱼攻击。

人类可以是安全防御中最强大的环节,也可以是最薄弱的环节。安全管理人员正极力提高安全意识,改善终端用户行为,与此同时提高安全业绩、生产效率,加强问责制和合规性。

—— Gartner 基于计算机的安全意识培训魔力象限(Security Awareness Computer Based Training Magic Quadrant) Perry Carpenter, Joanna G. Huisman. 25 October 2016.

PhishMe简介

PhishMe是一家美国信息安全企业,帮助企业培训员工,辨别潜在的钓鱼风险。Gartner在上述魔力象限报告中,称其为钓鱼市场知名的“老兵”,并认为PhishMe是当前最大的基于计算机的反钓鱼培训服务提供商,在全球享有极高声誉。在上述魔力象限中,Gartner也将其放在了领导者的范畴当中。

Quad-Graphic-actual.png

Gartner的报告中写道,PhishMe专注于钓鱼行为管理,拥有庞大的市场基础,其客户满意度可作为行业基准。PhishMe品牌在安全行业相当知名,其营销能力和技术创新使其成为反钓鱼解决方案的业内标杆。

PhishMe成立于2011年,Rohyt Belani和Aaron Higbee联合创立,前者为CEO,后者为CTO。该企业A轮融资200万美元,B轮融资1300万美元,C轮4250万美元,投资方包括圣骑士资本集团、Aldrich Capital Partners领投公司。PhishMe在2015年收购了钓鱼威胁情报供应商Malcovery,体现了该公司一个新的发展方向。

PhishMe的产品及资源

solutions-graphic.png

能获得Gartner如此评价的企业,究竟有什么过人之处呢?我们这就来看看他们的产品和服务。简单来说,PhishMe提供的服务其实就是教育员工,分辨钓鱼邮件,当然也有上报钓鱼邮件、钓鱼威胁情报等服务。我们姑且把PhishMe的产品和服务作以下的分类:

教育培训类

PhishMe Stimulator

Simulator-3.png

PhishMe Stimulator是一款SaaS钓鱼情景模拟服务,设计目的在于改变员工的风险行为,帮助员工识别并上报恶意钓鱼邮件。PhishMe会收集真实钓鱼邮件,创造逼真的钓鱼情景,让员工定期亲身体验钓鱼实例。能够体验的“活跃威胁”包括勒索软件、商务邮件钓鱼、鱼叉式钓鱼、社工、恶意程序和恶意附件、路过式攻击、高级会话钓鱼攻击等。PhishMe Stimulator拿到了2016 SC Magazine“最佳IT安全相关培训项目”奖。这个服务我们是很感兴趣的,也是PhishMe从成立之初就在做的项目,所以我们也致信PhishMe申请Live Demo体验,奈何PhishMe在中国还没有开展业务,无法体验,甚是可惜。

CBFree

许多企业都有安全培训的合规性需求,所以PhishMe开发了一套符合SCORM标准的安全意识培训材料CBFree,适用于所有公司。这个材料是免费的,所有客户都可以申请下载。材料中包括15个互动小课程模块,培训内容涵盖高级鱼叉式钓鱼攻击、勒索软件、数据保护等等,可以单独在PDF中观看,也可以结合PhishMe的平台使用。这些材料目前提供了9种语言的版本,也有中文版。每个小课程持续时间大约5分钟,英文讲解,中文字幕,浅显易懂,适合用于公司培训。

snip_20170329153009.png

snip_20170329153155.png  

PhishMe LMS

以上的这些免费培训资料模块在PhishMe的学习管理系统(LMS)当中,员工可以直接上手学习。除了现有的材料外,企业还可以上传自己的培训模块,并在系统中进行管理。员工开始学习之后,PhishMe LMS还能追踪哪些员工已经开始、完成或者还没开始自己登记的学习模块。系统中所有预置的模块都可以让员工进行互动学习,允许用户自己衡量对相应话题的理解程度。学习结果还能够以机器可读的格式导出。

各种报告

PhishMe针对钓鱼态势、勒索软件都有自己的报告,当然很多其他公司也是有的,并不算什么亮点,所以不作太详细的介绍。

Awareness Resources

除了上述的实景模拟服务和培训材料之外,PhishMe还做了许多提高员工反钓鱼意识的资源。为了吸引企业员工的注意力,PhishMe也是蛮努力的。画风从高逼格到小清新应有尽有。以下是他们的一些反钓鱼海报。

GameofPhish.png  

1Phish2Phish.png 

报告类

PhishMe Reporter

虽然 PhishMe Stimulator提供钓鱼实景模拟,教育员工识别钓鱼行为,但光靠“不点击”是不够的。钓鱼攻击来袭时,早期检测也是很重要的。安全团队想要缩短攻击者在企业网络中的时间,就需要提高可视化程度。迄今为止,企业还没有一个良好的流程,来收集、组织、分析用户上报的可疑邮件。PhishMe Reporter给企业提供了简单、性价比高的方法来填补这一信息空隙。

reporter-1.png

PhishMe Reporter是一款PC或MaC的Outlook、o365、Gmail、Lotus Notes邮箱工具条中的插件,安装简单,使用便捷。此外,基于Office插件框架,PhishMe还提供了PhishMe Reporter移动版(PhishMe Reporter for Mobile),覆盖了多种邮件客户端。PhishMe Reporter还能通过钓鱼模拟,自动识别来自未知源的邮件,保证发给安全人员或PhishMe Triage(后续将介绍)的只有潜在的恶意邮件。PhishMe Reporter简化了员工上报可疑邮件的流程,可以让员工主动参与到企业的安全项目中来。

reporter-2.png

PhishMe认为仅仅有基于计算机的培训资料是不够的。亲身的体会和积极的鼓励才能改变员工行为,提升反钓鱼能力。员工上报了正确的钓鱼邮件或者没能识别出模拟的钓鱼行为,PhishMe Reporter都会及时予以反馈,给员工留下难忘的体验。PhishMe认为积极正面的鼓励才是构筑强大人工钓鱼防线的关键。

PhishMe Intelligence

PhishMe Intelligence提供钓鱼威胁情报,还有分析师人工审查,减少误报率。PhishMe每天分析来自各不同源的数百万条信息,自动分解,并发现新的钓鱼和恶意程序威胁。然后PhishMe情报会以STIX、JSON、CEF等机器可读方式发布,通过一个RESTful API获取,可以简单地整合到其他安全解决方案,并且转化为人工可读模式,供深入研究和诊断。用户在PhishMe的SaaS研究平台上还可以搜索各种犯罪软件家族,查找钓鱼和恶意程序攻击。另外,用户还可以订阅PhishMe Threat Alter威胁警报,实时获得最新钓鱼威胁和恶意程序攻击信息。

Intelligence-1.png

检测及响应类

PhishMe Triage

PhishMe Triage是首个专门针对钓鱼的事件响应平台,帮助安全运营和事件响应人员,自动化钓鱼威胁的优先级排布、分析和响应。钓鱼攻击发生时,PhishMe Triage能够实现实时可视效果,并快速认证攻击。已经认证,攻击情报就会被推送给防御层、运营团队和事件管理解决方案。Triage还有多种部署选择,可以按照企业的具体需求和规模来优化钓鱼事件响应:

PhishMe Triage——虚拟应用,可由内部团队全权管理

PhishMe Triage Cloud——专用实例,部署于PhishMe的安全云基础设施中,用户可进行操作。

PhishMe Triage Managed——部署于PhishMe的云基础设施中,完全由PhishMe管理。

Triage能够与企业现有的安全解决方案整合,比如SIEM、反恶意程序、分析和威胁情报解决方案等,并与上游安全团队共享IOC/IOP,预防更多攻击。PhishMe的整合包括:系统日志整合、外部查询、配置整合。合作产品品牌如下:

triage-tap.png

下面我们来看看Triage是如何与Lastline Analyst整合使用

从PhishMe的所有产品当中,我们都可以看到人在其中所起的关键作用。信息安全行业常常充斥着“人是最薄弱的环节”这种言论,但正如PhishMe CEO在今年的RSA 2017上接受iSMG采访时所言,让人去适应,给人提供培训,人就能变成强大的防御,这是许多传统行业早就验证得出的结论,PhishMe只是将之应用到安全行业当中了。

PhishMe与安全意识培训市场

当然除了PhishMe CEO之外,还有许多其他厂商也同意这样的观点。因为企业组织层面需要改变或改善员工、公民及用户安全行为,终端用户安全教育与培训的市场正在快速增长。另一个驱动因素在于基于技术的安全系统还没有办法提供完美的安全防护,人因为自身固有的优势和弱点,在企业安全和风险当中扮演着不可忽视的角色。因为这一现实,加上企业和员工越来越多地使用手机、IoT设备和云解决方案,CISO必须认识到员工行为对企业安全及风险管理效率的影响有增无减,必须加以管理。

根据Gartner的统计,从2014年到2015年,该市场增长率达到55%,2016年增长率也达到相似水平,2016年市场大小预计约2.4亿美元。进入上面魔力象限的18个供应商当中,有15个年增长率都超过了25%,其中许多增长率超过70%,还有4家超过了100%。投资界也在密切关注这一市场,其中我们看到KnowBe4在A轮融资8百万美元,而PhishMe C轮融资4250万美元。

why-is-security-awareness-training-important.jpg

市场趋势

随着相关产品逐渐成熟,安全培训类企业也在寻求各种不同的方法来区别自己与竞争者。从2011年至2014年,许多厂家通过在产品组合中加入反钓鱼行为管理功能来突显自身的优势,但现在绝大部分厂家都已经整合了这一功能,或与反钓鱼行为管理厂商展开合作。

这两年来,各厂商更注重以下几点:

学习管理系统(LMS):有些厂商提供强大的LMS平台,基于SaaS,拥有定制内容,功能齐全的管理仪表盘和报告系统,还会对钓鱼模拟测试和CBT培训表现的交叉指标进行全面解读。

游戏化:某些厂商较为侧重游戏化,而且这种游戏化不仅仅是将游戏作为学习工具。这里的“游戏化”包括创建跨部门排行榜等,用各种不同的方式将各部门进行排名。

多语言支持:大多数较老的厂商都支持所有主要语言群体。不过现在许多厂商通过一些非传统语言服务支持来彰显自己的不同之处,支持语言超过20种,有些厂商甚至支持50多种语言,包括某些语言的文化变体和方言。

庞大的补充内容资料库:意识到CISO和安全意识管理人员都不是职业的内容编辑、平面设计师或者营销专家,许多安全意识培训厂商提供了庞大的资料库,包含众多预先设计好的内容,作为补充材料。这些内容可能包括内部通讯材料、企业内部网络海报、邮件、安全警告、家庭安全信息等等。

各异的内容格式、长度、风格:许多企业用户和供应商都意识到自己的安全培训内容不能是千篇一律的。因此,他们也在开发不同长度、不同风格的内容,比如1-2分钟超短微课程,或者在培训材料中加入幽默元素。这样,培训人员就可能以不同形式接受相同信息,增加信息吸收率,同时也能够针对特定岗位或人员定制培训内容。

合作整合:许多厂商也在寻找与核心安全技术供应商之间的合作,比如员工监控厂商、端点检测和响应(EDR)厂商、端点保护平台(EPP)厂商、安全邮件网关(SEG)厂商及其他。这类合作的目的在于能够同时利用实时数据和日志数据,基于观察到的员工不安全行为,提供精准的及时的学习材料。另外,一旦记录到不安全或风险行为时,系统还会自动将该员工登记到相关语境的训练模块当中。这也是反钓鱼行为管理市场的演化方向——基于观察到的个人行为的、特别针对相应受众的培训。

竞争性定价:安全意识培训市场供应商众多,许多有竞争力的厂商提供的服务组合了基于计算机的培训模块、反钓鱼行为管理和安全意识支持材料。如果不仔细研究,许多产品和服务看起来都非常相似,许多曾经的特色也会在其他厂商的产品或服务中出现。因此,许多厂商下调了价格,以在报价方面体现不同。

Reporter-slideA2-j.png

PhishMe的优势与劣势

根据以上的市场趋势,PhishMe的产品及服务存在以下优势:

PhishMe拥有灵活多变的分析和报告,能够最大化培训结果和钓鱼易感性评估。

PhishMe在许多方面已经成为安全培训市场中最受认可的供应商,但即便这样,PhishMe依然保持强劲的再投资,用于产品改良、开发新功能和新服务。

PhishMe与同类厂商比较大的区别应该在于它的Reporter和新推出的Triage,这两者允许用户通过邮箱客户端中的“report”按钮上报可疑钓鱼邮件,还可针对钓鱼内容自动分析并进行风险评级,帮助事件响应团队。

虽然PhishMe在这一市场,但当下竞争日渐激化,PhishMe在一些方面也略显疲软。比如,PhishMe的免费培训材料,与其他很多厂商的材料相比,不够强大,新意也有不足,内容显得比较单调和枯燥,其他厂商对“游戏化”和内容形式多样化的探索,对PhishMe的免费培训材料构成了一定威胁。

另外,PhishMe一直侧重钓鱼,但现在越来越多其他厂商也在推出反钓鱼解决方案,可能会削弱PhishMe反钓鱼系列产品的价值定位。不过,如前文提及的,PhishMe近期收购了Malcovery,可以看出PhishMe也在继续探寻新的创新途径和特色,也许今后在钓鱼威胁情报方面会有比较新的突破。

PhishMe大事记

PhishMe这家公司可谓是获奖无数,业界对其的肯定也是有目共睹。

比如在2017信息安全产品指南全球卓越奖中,PhishMe就斩获了如下4项大奖:

PhishMe联合创始人兼CEO Rohyt Belani连续两年荣获年度CEO奖项铜奖;

PhishMe联合创始人兼CTO Aaron HIgbee荣获年度CTO奖项银奖;

PhishMe反钓鱼解决方案获得最佳安全服务铜奖;

PhishMe安装获得美国最佳部署金奖

在用户使用率和财政收入方面,PhishMe也是逐年创新高。比如,2017年1月31日,PhishMe公布2016年年度运营率营收又创纪录了,达到5千万美元。PhishMe目前为全球范围内1200多家企业用户提供服务。PhishMe联合创始人兼CEO Rohyt Belani表示,财富100企业中有50%都信任他们的产品,PhishMe在2016年在业务方面达成了数个关键里程碑,并且期待在2017年保持这种趋势。

一些亮点

PhishMe Triage销量增长350%。这个产品上线才18个月,就已经有100多个企业客户积极采用。

2016年7月,PhishMe宣布C轮融资,并成功融资4250万美元,投资者对其依然保有强大的信心。此轮融资还吸引了新的投资方Bessemer Venture Partners。PhishMe所吸引的传统大额投资(institutional capital)比其所有竞争对手加在一起还要多,表明投资界对于PhishMe的信心还是很高的。

随着融资增多,PhishMe的规模也在扩大,新增办事处包括澳大利亚、新加坡、迪拜、沙特阿拉伯,还给PhishMe欧洲总部再添了一个办公室。PhishMe的增长速度也受到了业界的认可,比如2016年11月17日,德勤就在“北美高成长科技企业500强”中将PhishMe排在第152位。在2015年更是排到了99位。至于今年,PhishMe的势头会不会继续这样旺盛呢?PhishMe能不能在竞争激烈的安全培训市场中杀出一条血路呢?

参考资料

https://phishme.com/

http://www.darkreading.com/endpoint/91–of-cyberattacks-start-with-a-phishing-email/d/d-id/1327704

https://www.gartner.com/doc/3488130/magic-quadrant-security-awareness-computerbased

https://www.youtube.com/watch?v=gs_GjmdpY7I

https://www.infosecurity-magazine.com/interviews/interview-rohyt-belani-ceo-phishme/

http://www.infosecurityproductsguide.com/world/

http://finance.yahoo.com/news/phishme-reports-explosive-growth-annual-140000105.html

https://www2.deloitte.com/us/en/pages/technology-media-and-telecommunications/articles/fast500-winners-press-release.html

*本文作者:kuma@FreeBuf行业研究报告,转载请注明来自FreeBuf

未经允许不得转载:安全路透社 » 专注“钓鱼人防”:安全新星企业PhishMe浅析

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册