许多安全团队仍在用点击率衡量钓鱼攻击。它易于追踪、便于放入演示文稿,但同时也具有误导性。测量点击率就像"测量潮汐涨落"——它会自然波动,很少能预测实际影响。

更有意义的问题是大多数防护项目无法回答的:如果攻击者进入邮箱,他们能造成多大破坏?

这才是真正的成熟度指标。不是完成率,也不是谁记得悬停查看URL。即使点击率微乎其微,只需一名员工稍不注意就足以酿成大祸。更不用说无需钓鱼攻击就能发生的收件箱入侵正日益普遍。

钓鱼攻击只是可能的入口;危机发生在后续阶段

在让首席信息安全官彻夜难眠的事件中,钓鱼攻击只是获取访问权限的手段。真正的问题在于攻击者进入后会发生什么:

  • 窃取多年的敏感邮箱数据和共享文件
  • 利用邮箱重置下游应用的密码
  • 使用被盗身份从可信来源钓鱼其他员工

多因素认证并非万能解药——有大量方法可以完全绕过它进入云工作空间。如果入侵不可避免,目标就从完美预防转向弹性防护。

无需猜测即可保护Google Workspace

通过为云工作空间实施自动化修复工作流,Material Security可处理繁琐事务——例如收回敏感附件或撤销危险的第三方应用权限——无需为每个事件手动干预。

申请演示

分层式弹性邮件安全方法

当今市场上大多数邮件安全工具仅专注于阻止入站攻击——即预防。这固然关键,但不能是唯一的防护措施。现代攻击速度太快、规模太大、手段太复杂。任何仅依赖入站防护的方案都是不足的。

预防
- 阻止入站威胁,修复错误配置,加固风险文件共享。尽可能在攻击发生前采取预防措施。

检测与恢复
- 具备在损害发生前发现入侵和接管迹象的可视化能力。不仅包括异常登录行为,还有数据访问模式、邮件转发规则、文件共享行为等账户异常迹象。

遏制
- 持续风险缓解措施,减少爆炸半径,最小化攻击者入侵账户后可能造成的损害。限制其窃取敏感数据、横向移动以及在环境中扩散攻击的能力。

大多数组织在预防方面做得相当好,但范围往往过于有限。较成熟的组织具备一定的检测响应能力。但极少能有效实施遏制。

缺失的层面:遏制

遏制措施并不炫目,也无法简单归入现有安全类别。但它对降低入侵严重性有着惊人影响。

可以这样理解:预防是保养汽车、安全驾驶、避免事故。检测响应是确保事故后人员安全并呼叫救援。遏制则是安全带和安全气囊:让碰撞灾难性降低的安全措施。

遏制不是口号,而是一套针对攻击者入侵后目标的实用控制措施:

提升邮箱窃取难度:
为何获得账户访问权就意味着能无限制获取多年的个人身份信息和财务报告?内部隔离——对敏感信息要求额外验证——可限制攻击者的"战利品"。

通过密码重置阻断横向移动:
如果想通过一项控制改变入侵轨迹,那就是:拦截密码重置邮件并强制额外多因素认证挑战,使被入侵邮箱不会变成身份失陷。

修复"设置债务":
攻击者钟爱遗留默认设置。禁用IMAP/POP(可绕过多因素认证)和清理应用专用密码是显著缩小爆炸半径的基础防护措施。

超越人工分类处理

大多数团队面临的障碍是时间。没有人手能手动审核每个文件权限或分类处理每个用户报告。

如果认真对待遏制,就需要能自动执行枯燥工作的系统——在后台检测风险并修复——让团队仅在真正需要判断时才介入。

应该衡量的替代指标

如果点击率只是潮汐,这些指标才能真正反映风险:

邮箱可窃取性:
无需额外验证即可访问多少敏感内容?

重置路径暴露度:
有多少关键应用可通过仅邮件密码重置访问?

遏制时间:
攻击者入侵后,您能以多快速度限制其行动?

邮件安全多年来过度关注前门防护。现在应该开始思考:如果攻击者此刻正在邮箱中,他们在接下来十分钟能做什么?您能以多快速度剥夺这种能力?

了解Material Security如何自动化实施遏制。

赞助撰写:Material Security

标签: 钓鱼攻击, 多因素认证, 邮件安全, 云工作空间, 遏制措施, 自动化修复, Google Workspace

添加新评论