身份的概念是动态的——它一直在变化。在人类历史的大部分时间里,一个人的身份由他们的名字、他们的家庭关系和他们居住的地方组成。身份只有三四个元素。在过去的 100 年里,随着护照和其他身份证明文件的广泛使用,人们的身份也增加了额外的元素——紧随其后的是驾照、电话号码和电子邮件地址。
身份欺骗和身份盗窃并不新鲜——它们甚至在现代计算出现之前就已经发生了。犯罪分子可以通过偷钱包或皮包、偷听电话交谈、翻垃圾箱或拿起他人的收据来获取信用卡详细信息、电话号码、银行帐号和地址等个人信息。如果罪犯有足够的身份要素,他们可能能够使用身份欺骗进行购买、开立新账户或申请贷款。
在过去的 25 年里,曾经面对面进行的活动已经转移到互联网上。随着人们和企业以最少的身体接触进行互动,这导致了新身份元素的爆炸式增长。最小和最大的商业交易已经转移到网上。数字参与现在已成为常态。新的身份元素,包括密码、用户 ID、电子邮件地址、一次性密码 (OTP) 以及指纹和面部识别等生物识别技术,为犯罪分子创造了新的机会。
数字参与导致身份元素的爆炸式增长
数字参与和身份元素的扩散使不良行为者比以往任何时候都更容易获得一个或多个身份属性,并将这些属性用作窃取身份或创建合成身份的平台。
一些身份元素甚至可以在暗网上购买。信用卡号码、护照号码和驾驶执照的详细信息可以相对容易地购买,用户 ID、电子邮件地址和密码组也可以。虚假的电子邮件地址和欺骗域可用于欺骗人们共享身份详细信息。
事实上,网络钓鱼(通常以电子邮件欺诈的形式出现)被证明是一种非常成功的获取凭证和其他核心身份元素的方法。此外,随着越来越多的组织使用 Microsoft Office 365 和 Google Workspace 电子邮件进行协作和交流,云帐户遭到入侵的频率和严重程度正在上升。这为攻击者提供了非常强大和令人信服的工具,以在组织内部获得强大的立足点。
采取以人为本的方法打击身份欺骗
Proofpoint 采用以人为本的方法来处理人们识别自己的最大方式之一:电子邮件。电子邮件欺诈和 BEC(商业电子邮件妥协)是大多数 CISO 和组织的首要威胁,并且有充分的理由。
根据澳大利亚网络安全中心 (ACSC) 发布的年度网络威胁报告,在 2021-22 年,成功的 BEC 报告数量略有下降至 1514 次。但是,2021-22 年自我报告的损失大幅增加,超过 9800 万美元. 在全国范围内,每个成功的 BEC 的平均损失增加到超过 64,000 美元。
Proofpoint 开发了一个框架来帮助 CISO 分类、识别和管理电子邮件欺诈。该框架由三层组成:
1.身份:这是指攻击者假装的人或实体。它可以是员工、供应商或未知。每个类别都可以根据需要进一步分解。例如,员工可以包括主管人员、现场工作人员、管理员等。如果这个人确实受到损害,这个方面说明了对组织的影响。在零信任世界中,我们不能假设每次成功登录都是合法的。
2. 欺骗:这涉及电子邮件欺诈者使用的技术和策略。它包括两类:模仿和妥协。模拟涉及涉及操纵一个或多个消息属性(最常见的是域)以伪装消息来源的技术。妥协涉及获得对合法帐户和邮箱的访问权限,例如属于受信任的合作伙伴或高级管理人员的帐户和邮箱。如果在正确的上下文中收到电子邮件,收件人将没有理由质疑电子邮件的合法性。
3. 主题:这包括常见的电子邮件欺诈类型。它们包括发票欺诈、工资单重定向、勒索、诱饵和任务、礼品卡和预付费用欺诈。这些主题是 Proofpoint 认为与管理电子邮件欺诈最相关的类别。
打击基于电子邮件的身份欺骗的方法
那么,组织可以做些什么来管理基于电子邮件的身份欺骗的威胁呢?组织需要更加重视使用一系列控制措施来缓解基于身份的威胁。具体来说,他们需要:
- 可见性:组织需要对其人类攻击面的可见性——了解哪些用户受到攻击的风险最高,哪些供应商最有可能受到威胁或冒充。这在用户工作的所有地方和方式中都是必不可少的;无论是在电子邮件、协作还是云应用程序中。
- 检测:组织需要现代检测功能来检测和遏制威胁,无论是否有有效载荷。这些类型的功能需要人工智能和机器学习功能,这些功能可以分析潜在威胁并在整个攻击链(交付前、交付期间和交付后)检测到异常活动时快速做出响应。
- 策略:组织需要在所有云资产中实施一致的策略,特别关注电子邮件帐户。实施电子邮件身份验证策略 DMARC 是防止电子邮件欺诈的最佳工具和第一步。
- 意识:组织需要实施更高的安全意识和培训,让人们有更好的机会识别网络钓鱼攻击和电子邮件欺诈。用户需要充当强大的防线,因为有些攻击会到达他们而不会被检测到。用户需要更轻松地报告可疑消息,安全团队也需要更轻松地对其进行快速分析。
快速数字化正在创造更多的身份元素,从而为攻击者带来更多机会。必须更严格地管理身份和数据蔓延。组织需要专注于确保他们的用户了解他们在报告威胁和管理他们的数字足迹方面的责任。他们需要了解其员工的所有工作方式,从本质上讲,组织需要更多地关注明智地使用身份元素作为潜在帐户泄露的证据。
组织还需要尽其所能在欺诈性电子邮件和其他形式的身份欺骗到达收件箱之前检测它们;具有现代检测和响应能力以及充分的意识培训和教育。因为,一如既往,人是成功防御的核心。