近年来,网络钓鱼已逐渐成为勒索病毒的主要攻击手段,令人难以防范,成为业界又一重大网络安全威胁。近日,知名电子邮件安全解决方案提供商Cofense发现了一次专门针对美国能源公司的网络钓鱼攻击活动,攻击者利用二维码将恶意电子邮件塞进收件箱并绕过安全系统。此次攻击总共发送了超过1000封电子邮件,其中大约有三分之一(29%)针对一家大型美国能源公司,而其余的目标分布于制造业(15%)、保险业(9%)、技术(7%)、和金融服务(6%)。
由于钓鱼攻击程序最终还是需要在终端系统落地运行,目的是攻击终端或盗取终端数据,所以如何在终端系统上建立有效的钓鱼攻击检测防御机制是重中之重。
一、 传统反钓鱼解决方案的局限性传统的反钓鱼解决方案在一定程度上的确能缓解钓鱼攻击带来的影响,但也存在着一些局限性:
① 静态检测难以应对新型攻击
以往反钓鱼检测引擎主要依靠已知的恶意软件特征库和签名来进行检测,这种静态检测方法难以应对新型和未知的钓鱼攻击,从而导致绕过检测。
② 网络流量检测和防御能力不足
以往钓鱼攻击检测通常依赖网络流量的监测和分析,但现代钓鱼攻击往往使用加密通信等手段来隐藏攻击流量,难以有效检测。且一般旁路流量检测设备,不能联动终端,无法对数据的传入和传出行为进行直接阻断。
③ 缺乏物理设备传输检测
传统反钓鱼主要针对终端设备的软件层面进行检测和响应,无法检测到物理设备的攻击,如恶意USB设备传输等。
④ 不具备主动防御能力
传统反钓鱼主要是被动监测和响应,一旦发现钓鱼攻击行为,只能通过隔离受感染的终端设备来阻止攻击的扩散,缺乏主动防御手段。
二、江民赤豹EDR对抗钓鱼攻击的特点为了克服传统反钓鱼解决方案的局限性,江民赤豹EDR解决方案通过双引擎查杀、主动防御、网络隔离、终端检测与响应等能力,对钓鱼攻击进行全方位的检测与防御,注重于综合利用关联分析、机器学习、联动响应等技术,以提高对未知和新型钓鱼攻击的检测和防御能力,可以帮助组织更好地对抗网络钓鱼攻击。
(1)双引擎查杀:
采用完全自研的特征引擎+AI引擎,不仅能准确检测已知钓鱼攻击程序,还能快速检测未知类型和新型钓鱼程序,全面提高钓鱼程序检测查杀能力。
(2)快速检测与响应:
能够实时检测终端设备上的行为活动,包括文件行为、注册表行为、网络行为、文件行为、进程行为等,及时发现可疑的网络钓鱼攻击行为,进行主动防御,做出快速的响应阻断动作。
(3)文件追踪:
采用内核级监测技术,江民赤豹EDR能够实现文件传输行为的全方位跟踪,包括U盘文件传输、http文件传输、邮件传输、网络共享传输以及ftp传输等文件传输行为。
(4)网络隔离:
当检测到网络钓鱼攻击行为时,它可以立即采取响应措施,如一键隔离终端、一键封堵端口、一键禁用IP等快速网络隔离操作,防止攻击的扩散。
(5)违规外联检测:
提供违规外联检测能力,可以有效检测和防御钓鱼程序的外联行为,防止内网终端数据泄露到外网。同时提供取证能力,将违规外联的详情记录下来。
(6)与NDR联动响应:
支持与江民赤豹NDR设备或其他流量检测设备进行联动响应,通过关联分析和机器学习,增强钓鱼攻击的检测成功率和响应能力,补充网络流量钓鱼攻击检测的不足之处。
江民赤豹EDR是一款专业的终端安全管理系统,可以有效地对抗钓鱼攻击,能够从源头上保护企业和单位的终端数据安全,防止企业计算机信息被破坏、丢失、泄露。