We're sunsetting PodQuest on 2025-07-28. Thank you for your support!
Export Podcast Subscriptions
cover of episode 华泰证券如何建设钓鱼防护体系

华泰证券如何建设钓鱼防护体系

2024/11/17
logo of podcast 网络安全AI说

网络安全AI说

Shownotes Transcript

选自公众号:安全村SecUN

原文链接:https://mp.weixin.qq.com/s/BnWcCWEftamtaTF2k62AWQ

1、背景介绍

在实际社工钓鱼中,以邮件、IM投毒最为频繁,接下来主要通过钓鱼邮件和IM钓鱼的攻击过程来详细讲述下社会工程学的攻击过程与防御手段。

(1)邮件钓鱼

攻击者通常利用密码到期、发票、岗位薪资调整、财政补助等具有欺骗性的文字诱导受害者点击或者下载附件,从而达到窃取信息或远控的目的。其攻击方式也变得多种多样,通过日常安全运营可知,目前钓鱼邮件逐渐加密化、二维码化、图片化、精准化以及人工智能化。

(2)IM钓鱼

攻击者在充分了解被害人的职位、工作内容、基本称呼和一些公开信息后进行有针对性的对话,一般的IM投毒主要伪装成客户、投诉者等,利用客服人员的工作性质,工作内容进行有针对性的话术欺骗,最终诱导受害者点击病毒文件,从而进行进一步的渗透。其防范存在以下难点:

**1) 应用范围广:**微信、QQ、企业微信等IM软件在企业日常办公中承担重要支撑作用;是对外沟通的重要渠道,不可能禁止。

**2) 检测难:**IM软件协议私有,在协议层面无法还原,无法在网关和流量层面进行检测防范;同时装有IM软件的客户端遍布公司终端、自有终端。

**3) 人的弱点:**内部员工的安全意识参差不齐,面对针对性的话术诱骗容易落入圈套

**4) 处置难:**无法快速定位失陷人员,很容易造成大面积失陷。

2、华泰证券防护实践

(1)构建钓鱼邮件纵深防御体系

此防御体系可以总结为事前防御、事中防御、事后处置三个过程。

**1) 事前防御:**以加强人的安全意识为主,所以一定频率的钓鱼演练和安全宣贯是社工防御必不可少的环节。情报的收集和获取也是事前防御的重点,购买情报服务或加入行业情报组织对于事前的社工防御也是重中之重。

**2) 事中防御:**是整个纵深防御体系的关键环节,其中以邮件网关的防御能力为主,随着钓鱼邮件逐渐的加密化、二维码化、图片化甚至随着人工智能的兴起,钓鱼内容的生成也逐渐的智能化和精准化。邮件网关的能力也要随着技术的更新而不断的完善。其主要包括:SPF\RBL的检测能力;DDOS的防御能力;病毒邮件识别能力;垃圾邮件指纹分析能力;云情报联动能力;OCR识别能力;机器学习能力;Syslog日志推送能力;API功能对接能力。

3) 事后处置:对于透过邮件网关的钓鱼邮件,在用户点击威胁附件或链接之前,还有很短的一段时间,我们称之为邮件处理的黄金时间。如何在这段黄金时间如何在用户无感知的情况下快速删除邮件并封禁相关域名和IP,是思考邮件事后处置的基本出发点。我们通过SIEM平台接入各种邮件安全日志进行分析和告警,同时将确认无疑的告警发往SOAR平台进行自动化的编排和处置。其技术过程主要包括以下三点:1、邮件网关后流量接入邮件检测设备,包括邮件溯源系统、邮件M01联防系统、邮件沙箱等设备同时将这些设备检测的结果以syslog日志的形式传入SIEM;2、SIEM汇总来自旁路部署的各邮件安全设备的日志,同时还接入了邮件网关的日志、邮件服务器的登录日志等邮件相关日志,通过对邮件各种日志的汇总分析,分析出威胁严重的告警进而推送到SOAR;3、SOAR接收来自SIEM的威胁告警,包括邮件各维度的信息如发件人、收件人、主题等,通过打通SOAR对接邮件服务器的删除接口API和对接邮件网关的封禁接口API,同时编排应对各种场景的剧本,通过剧本来处置来自SIEM的告警。整个处置过程少于1分钟。

(2)打造IM钓鱼全流程防护处置体系

对于IM类投毒,进行IM的落地文件监控是至关重要的,尤其是可执行文件,一般木马程序都是通过可执行文件进行的。通过对文件的监控,把可疑文件放入沙箱进行自动化检测,如果发现有可疑文件,则通过IM进行通知检测结果,如果发现被受害人点击了威胁文件,则进行自动化断网,自动化隔离等一系列应急操作,通过对威胁文件的全流程监控,达到快速响应的效果。其过程主要分为以下几个方面:

**1) 落地文件的监测,**通过SIEM平台接入IM日志进行文件类型监控,主要针对于加密附件类与可执行文件类的检测。在此阶段通过分析判定该文件是否为恶意文件,如果为恶意文件则进行下一步操作。

**2) 文件自动化检测,**通过把威胁告警传给SOAR,SOAR接收来自威胁告警的详细信息,通过文件的ID调取IM的接口,下载文件传入文件沙箱,同时将文件沙箱的结果以IM的方式告知安全处置人员和受害人。

**3) 威胁处置,**安全人员收到来自SOAR的分析结果,则开始迅速响应,一般包括直接电话通知受害人,若受害人点击了威胁文件,则会触发自动化断网,和自动化隔离等操作。

**4) 流程优化,**对于经常收到IM投毒的客服人员或投顾人员,在进行社工安全的培训后可加入告警白名单,嵌入到整个自动化处置流程中,对于新增受害者则会重点关注,增加整个处置流程的效率。

PS:网络安全AI说播客补充:华泰证券针对IM的钓鱼,上述说到的沙箱是个好技术,由于IM钓鱼同时因为会释放一些可执行文件,也可以利用市面上的EDR技术做检测。