電子郵件需要依靠零信任安全模型來避免攻擊

自發件人身份欺詐轉移到電子郵件世界并被稱為網絡釣魚以來已有20年。在早期，電子郵件威脅主要以內容為中心，并且通常包含惡意鏈接或附件，以誘騙用戶進入陷阱。但是特別是在過去的五年中，網絡釣魚已經成熟：現在，所有攻擊中有89%利用假冒來發起社會工程攻擊。

如果您曾經收到過來自CEO的虛假電子郵件，要求你趕緊購買大量禮品卡，或者如果電子郵件欺騙你，讓你以為CFO需要擬通過電子郵件提供完整銀行帳號，那么你就是目標社會工程學的攻擊目標。

實際上，當今的網絡釣魚電子郵件中，絕大多數（90%）不包含可能引起內容掃描警報的惡意軟件（惡意文件或附件）。這些電子郵件由于缺少可識別的惡意內容，因此很容易繞過大多數最新的電子郵件防御措施。相反，它們旨在與你（收件人）建立信任關系。一旦建立了這種關系，攻擊者就可以利用這種關系使您采取違背自己利益的行動。

持續的威脅

不幸的是，電子郵件威脅的問題仍然普遍存在，而且由于缺乏可識別的惡意代碼，解決起來更加困難。自新冠病毒開始以來，電子郵件安全供應商報告稱，以大流行為主題的網絡釣魚攻擊激增。這些騙局利用了人們在家辦公的機會，在這樣的環境中，他們很容易分心，電腦硬件和網絡不太安全。

不管是否在家辦公，釣魚者們都在繼續隨時部署攻擊，釣魚活動平均持續時間僅為12分鐘。谷歌表示，他們每天會攔截超過1億封釣魚郵件，其中68%是新出現的、從未見過的騙局。這是由犯罪分子利用自動網絡釣魚來避免通過從一個騙局到另一個騙局的增量更改而被發現。

在形勢變化的情況下，有必要對網絡釣魚攻擊進行更新分類：

基于身份的電子郵件攻擊的類型

基于身份的電子郵件攻擊分為三種類型。每一個都利用了以內容為中心的電子郵件防御中的一個特定漏洞。

精確域攻擊，也稱為域欺騙，是通過在郵件的“來自”字段中使用他們的域，直接模擬受信任的發件人的電子郵件。示例：“《老板》 @ 《你的公司》.com”。

域模擬攻擊，也稱為不可信域攻擊，是指來自稍微修改過的“相似”或“表親”域的電子郵件。例如：“ 《你的老板》 @ fedexx.com”。

開放注冊攻擊，也稱為用戶模仿或友好的電子郵件，在“友好發件人”字段中顯示一個合法的發件人的名字——這部分通常顯示你的全名。然而，這些電子郵件來自一個在免費在線電子郵件服務上創建的帳戶，如雅虎或Gmail。例如：“你朋友的名字

為什么模式匹配在現代攻擊中不起作用

當今市場上的大多數反網絡釣魚解決方案都依賴于識別和響應特定的模式。他們掃描電子郵件中的可疑內容，例如鏈接、附件、短語或關鍵字，并應用機器學習來識別不良行為者。

不幸的是，盡管這些解決方案在電子郵件內容上做得不錯，但它們無法提供有關發件人身份的可操作、可靠的信息。當網絡釣魚電子郵件來自域欺騙攻擊并使用精心設計的消息時，在形式和內容上與合法消息幾乎沒有區別。在這種情況下，內容看起來是合法的，發件人看起來是合法的，并且反網絡釣魚系統被愚弄為認為它是合法的消息。即使是粗糙的傳真也會造成重大的破壞，比如最近伊朗針對美國民主黨選民的欺騙攻擊。

此外，網絡釣魚者還進行自動攻擊，利用機器不斷地對自己的信息進行輕微修改，試圖領先于過濾器。在這個游戲中，罪犯做出增量的改變，然后電子郵件過濾算法以增量的改變回應，這是一個永無止境的昂貴的防御過程。攻擊比以往任何時候都更容易部署，因為這樣做的成本大幅下降，機器速度加速，以及租用自動機器人的能力。這種反復的過程沒有盡頭，因為拼寫錯誤、措詞錯誤和欺騙的組合是無限的。更糟糕的是，進攻者只需要“贏”一次，而防守者需要每次都是正確的——這是一個高度不對稱的場景。與此同時，企業繼續被非法電子郵件所欺騙，隨著每一個新聞周期，犯罪分子進一步受到激勵，繼續這種欺騙行為。

要解決這種不對稱，需要一種不同的方法。定義和實施合法的通信行為要容易得多，而不是演化，預測和增加將描述所有可能的不良行為的所有模式的列表。換句話說，定義一組有限的好行為要比定義一組不良的行為容易。

了解通信應用程序中行為的合法性從身份和屬性開始，確定通信參與者身份的最好方法就是在通信開始時強制進行身份驗證。

輸入：零信任方法

以內容為中心的解決方案根據壞消息的嚴重程度來評估每條消息，這會造成差距，基于身份的電子郵件攻擊可能會通過此漏洞來逃避。零信任電子郵件安全模型對于縮小這一差距至關重要。

零信任也可以被描述為零假設。為了消除犯罪分子偷偷摸摸的政策模棱兩可的領域，您應該什么都不做并且對所有內容進行身份驗證。該原則是大多數數字交互的基礎，例如付款，登錄網站，對員工進行身份驗證等。然而，出于歷史原因，在電子郵件中，基本的首要方法是“允許一切通過，阻止不良行為”。

相反，零信任的方法重新定義了電子郵件的安全性：只有能夠證明它值得進入收件箱，電子郵件才被信任。這樣的模型不允許消息到達收件箱，除非消息來自經過身份驗證的發送者，該發送者已被授予顯式的權限，可以將消息發送到特定的收件箱。

零信任解決方案將重點放在識別受信任的發件人上。這使收件箱可以自動標記，阻止或發送到垃圾郵件，而不包括在受信任的發件人列表上的所有內容。用戶無需擔心要定期查找、分析或評估之前進入收件箱的無數可能的惡意發件人。

為了更好地理解這一點，請考慮傳統的登錄系統。它能積極地識別出已知和值得信任的用戶，而不會讓您擔心分析無數可能的錯誤登錄來確定每個登錄是否可疑。類似地，一個零信任的電子郵件安全系統可以積極地識別出已知的和值得信任的發件人，同時消除尋找惡意發件人的擔憂。由于電子郵件供應商的開放標準和支持，零信任方法現在不僅是現實的，而且被認為是有效電子郵件安全的基本部分。

簡而言之：如果您只允許來自已知良好發件人列表的通信，則無需花費時間尋找所有不良發件人。

完美的電子郵件解決方案不存在

完美有點主觀，但真正的安全卻不是。在評估任何一種解決方案或公司來委托您組織的電子郵件安全性時，請詢問以下問題：

解決方案符合哪些開放標準？DMARC，DKIM，SPF和BIMI？這些是公認的身份驗證標準，有助于將電子郵件推向根本上為零信任的原則，在電子郵件內部人士中也稱為“沒有認證，就無法進入”。盡管這些標準現在不是強制性的，但它們是最佳實踐，可能有一天會被要求。

你會有什么樣的控制水平？如果您需要批準某些通常標記為“壞”的發件人，您的解決方案會允許您這樣做嗎？或者他們會太仁慈而不能阻止你做出錯誤的決定？

他們多久驗證一次您的電子郵件？瞬間？還是每天一次，在此期間類似的壞角色可以進入收件箱？

您將需要花費多少時間來管理解決方案？重要的是要有一個簡單，直接的界面，該界面使您可以執行所需的操作，然后繼續執行其他任務。不必要的復雜性是敵人。計算執行常見管理操作所需的步驟，并尋找可讓您做出最明智的決定而又需要最少點擊的解決方案。

我們必須進化來阻止電子郵件欺詐

企業和組織必須保護他們的電子郵件安全，以避免成為釣魚攻擊的受害者。網絡釣魚的成本已經太高了，而且只會越來越糟。我們必須采取新的“零信任第一”框架——目前的做法根本跟不上攻擊的步伐。電子郵件安全最可靠的基礎是“零信任第一”方法：讓發件人在真正進入你的收件箱之前證明他們值得進入。然后，在這個可靠的零信任基礎之上添加一個過濾解決方案，以便捕捉任何漏過的內容，例如從被破壞的帳戶發送的消息。

換句話說，首先進行身份驗證，然后進行篩選。只有通過這種對電子郵件安全零信任的方法，我們才能創建一個電子郵件可以真正信任的世界。

我們必須不斷發展以制止電子郵件欺詐

企業和組織必須保護其電子郵件安全性，以免遭受網絡釣魚攻擊。網絡釣魚的成本已經太高了，而且只會越來越糟。我們必須采用新的零信任優先框架——當前的方法根本無法跟上攻擊的步伐。電子郵件安全性最可靠的基礎是“零信任”優先方法：讓發件人在實際進入您的收件箱操作之前證明他們。然后，在該可靠的零信任基礎上添加一個篩選解決方案，以捕獲任何漏掉的內容，例如從受感染帳戶發送的消息。

換句話說，先進行身份驗證，然后進行過濾。只有采用這種對電子郵件安全的零信任方法，我們才能創建一個可以真正信任的電子郵件世界。
責編AJX