报告详解：CISA、NSA、FBI联合发布《网络钓鱼指南》

概述

社会工程学是试图诱骗他人泄露信息（如密码）或采取可用于入侵系统或网络的行动。网络钓鱼是社会工程学的一种形式，在此情境中，恶意行为者会引诱受害者（通常通过电子邮件）访问恶意网站或欺骗他们提供登录凭据。

恶意行为者主要利用网络钓鱼实现以下目的： 

·获取登录凭据。恶意行为者进行网络钓鱼活动，以窃取用于初始网络访问的登录凭据。

·部署恶意软件。恶意行为者通常通过网络钓鱼活动部署恶意软件，以开展后续活动，例如中断或破坏系统、提升用户权限以及在受损系统上维持持久性。

近日，网络安全和基础设施安全局（CISA）、国家安全局（NSA）、联邦调查局（FBI）和多国信息共享与分析中心（MS-ISAC）发布了这份联合指南，概述了恶意行为者常用的网络钓鱼技术，并为网络防御者和软件制造商提供了指导。这将有助于减少网络钓鱼攻击在获取凭据和部署恶意软件方面的影响。

该指南为所有规模的组织提供了网络防御建议，但考虑到中小型企业可能没有足够的资源雇佣专门的IT人员来持续防御网络钓鱼威胁，因此专为中小型企业量身定制了一系列建议。

针对软件制造商的指南侧重于安全设计和默认（secure-by-design and -default）策略与技术，建议制造商应该开发和提供能够抵御最普遍的网络钓鱼威胁的安全软件，从而提高客户的网络安全态势。

获取登录凭据的网络钓鱼

定义

在用于获取登录凭据的网络钓鱼攻击中，恶意行为者会冒充可信来源（如同事、熟人或组织）来引诱受害者提供登录凭据。恶意行为者可以使用被泄露的凭据（如用户名和密码）来访问企业网络或受保护资源，例如电子邮件帐户。

技术示例

为了获取登录凭据，恶意行为者通常会执行以下操作：

·冒充主管、信任的同事或IT人员发送有针对性的电子邮件，欺骗员工提供登录凭据。

·使用智能手机或平板电脑以及短信系统（SMS），在Slack、Teams、Signal、WhatsApp或Facebook Messenger等平台上发送私信，引诱用户泄露自己的登录凭据。（注意：在混合环境中运营的组织面对面互动较少，虚拟交流频繁；因此，这些环境中的用户更有可能被针对其常用平台量身定制的社会工程技术所欺骗。）

·用互联网协议语音（VoIP）轻松欺骗来电者身份（ID），此举滥用了公众对电话服务（尤其是固定电话）安全性的信任。

多因素身份验证（MFA）可以减少恶意行为者使用泄露凭据进行初始访问的能力。尽管如此，如果启用了弱形式的MFA，恶意行为者仍然可以通过网络钓鱼和其他技术获得访问权限。弱MFA实现的实例包括以下几种：

·使用未启用快速身份在线（FIDO）MFA或基于公钥基础设施（PKI）的MFA账户。这些形式的MFA很容易受到恶意行为者的影响，因为他们会利用泄露的合法凭据作为合法登录门户中的用户进行身份验证。

·没有号码匹配的推送通知MFA。恶意行为者可以发送大量的批准或拒绝“推送请求”，直到用户接受请求为止。因此，如果没有启用号码匹配功能，恶意行为者可能会使用受损用户的凭据进行身份验证。

·SMS或语音MFA。恶意行为者可以说服手机运营商代表转移用户电话号码的控制权，以接收任何基于短信或呼叫的MFA代码。恶意行为者还可能通过发送包含恶意网站（模仿公司的合法登录门户）链接的电子邮件，来欺骗用户提交他们的用户名、密码和6位数MFA代码，恶意行为者随后会接收这些信息，以在合法登录门户中冒充用户进行身份验证。

基于恶意软件的网络钓鱼

定义

在基于恶意软件的网络钓鱼攻击中，恶意行为者会利用可信来源（如同事、熟人或组织）引诱受害者与恶意超链接进行交互或打开电子邮件附件，以便在主机系统上执行恶意软件。

技术示例

为了在主机系统上执行恶意软件，恶意行为者通常会执行以下操作：

·发送恶意超链接或附件，导致用户下载恶意软件，为初始访问、信息窃取、破坏或中断系统或服务和/或提升账户权限提供便利。

（1）恶意行为者可能会使用免费、公开的工具（如GoPhish或Zphisher）来促进鱼叉式网络钓鱼活动，在这些活动中，个人用户会被特定的、令人信服的诱饵锁定。

（2）恶意行为者可能会发送带有宏脚本的恶意附件或带有看似无害或混淆链接的信息，这些链接会下载恶意可执行文件。

·使用智能手机或平板电脑应用程序发送短信或在协作平台聊天，以引诱用户与执行恶意软件的恶意超链接或附件进行交互。（注意：用户很难在这些小型平台上检测到恶意的URL，因为它们使用受约束的用户界面。）

缓解措施

所有组织适用。以下缓解措施与CISA和NIST为组织制定的跨部门网络安全性能目标（CPG）保持一致，以帮助缓解组织网络中面临的最普遍的网络威胁。

1. 保护登录凭证

CISA、NSA、FBI和MS-ISAC建议组织实施以下措施，以降低登录凭证网络钓鱼成功的可能性。

·实施有关社会工程和网络钓鱼攻击的用户培训。定期教育用户识别可疑电子邮件和链接，不与可疑项目互动，以及报告打开可疑电子邮件、链接、附件或其他潜在诱惑的重要性。

·对收到的电子邮件启用基于域的消息验证、报告和一致性（DMARC）。

（1）DMARC与发件人策略框架（SPF）和域密钥识别邮件（DKIM）一起，通过检查已发布的规则来验证所收电子邮件的发送服务器。如果电子邮件未通过检查，则会被视为欺骗性电子邮件地址，邮件系统会将其隔离并报告为恶意邮件。

（2）可以为接收DMARC报告定义多个收件人。

（3）当启用拒绝DMARC策略时，这些工具会拒绝任何域名被欺骗的传入电子邮件。

·确保将DMARC策略设置为“拒绝”。这提供了强大的保护，防止其他用户收到冒充域名的电子邮件。

（1）被欺骗的电子邮件在发送前会被邮件服务器拒绝。

（2）DMARC 报告提供了一种机制，用于通知欺骗域名的所有者，包括明显伪造者的来源。

（3）启用DMARC策略，以降低网络威胁行为者伪造看似来自您组织域的电子邮件的机会。

·实施内部邮件和信息监控。监控内部邮件和信息流量以识别可疑活动是必不可少的，因为用户可能会在目标网络之外或在组织安全团队不知情的情况下被钓鱼。建立正常网络流量基线，并仔细检查任何偏差。

·使用免费的安全工具，以防止网络威胁者将用户重定向到恶意网站以窃取他们的凭证。

·通过以下方式加固凭证：

（1）实施基于FIDO或PKI的MFA。这些形式的MFA可抵御网络钓鱼，并能抵御前几节列出的威胁。如果使用基于移动推送通知的MFA的组织无法实施防网络钓鱼的MFA，可使用号码匹配来缓解“MFA倦怠”。

（2）优先为管理员和特权用户账户提供抗网络钓鱼的MFA。

（3）围绕单点登录（SSO）计划实施集中登录。单点登录是一种用户生命周期管理机制，它可以降低用户被社会网络诱骗而放弃登录凭据的几率，尤其是与MFA或抗网络钓鱼MFA搭配使用时。SSO还可为 IT专业人员提供审计跟踪功能，以便在发生可疑或确认的安全漏洞后主动或追溯检查。

·审查MFA锁定和警报设置，并跟踪被拒绝的MFA登录。

（1）当出现异常活动或持续的恶意登录尝试时，执行账户锁定，以防止恶意行为者绕过MFA。

（2）尽量减少不必要的干扰。这包括优先考虑组织和消费者数据的健康，而非单个员工的短期生产力。重大网络安全事件不仅会影响许多员工的生产，还会影响资源可用性和潜在客户或合作伙伴的数据。

（3）识别并修复成功的网络钓鱼尝试。

（4)及时报告网络钓鱼事件。

（5）制定文档化的事件响应计划。

2.防止恶意软件执行

CISA、NSA、FBI和MS-ISAC建议组织实施以下措施，以减少网络钓鱼攻击后成功执行恶意软件的可能性。

·在电子邮件网关中加入拒绝列表，并启用防火墙规则，以防止恶意软件的成功部署。

·使用拒绝列表来阻止已知的恶意域、URL和IP地址以及.scr、.exe、.pif 和.cpl等文件扩展名和错误标记的文件扩展名（例如，标记为 .doc文件的 .exe文件）。

·限制MacOS和Windows用户拥有管理权限。

·在管理用户账户时执行最小特权原则（PoLP），只允许指定的管理员账户用于管理目的。

·实施应用程序允许列表，这是一种安全控制措施，可根据定义的基线列举网络中授权存在的应用程序组件。

·默认情况下阻止宏。

·实施远程浏览器隔离（RBI）解决方案，通过在用户执行时隔离恶意软件样本来防止恶意软件传播。RBI解决方案在用户与恶意链接或二进制文件交互时运行隔离恶意软件的应用程序，以防止其进一步扩散到环境中。在远程工作站中配置RBI解决方案，以便将任何恶意软件都限制在隔离边界内，无法访问组织的资源。

·使用免费安全工具，在用户执行时识别并阻止恶意软件。

·建立自助式应用程序商店，客户可在此安装经批准的应用程序，并阻止来自其他来源的应用程序和可执行文件。

·实施免费的保护性DNS解析器，防止恶意行为者将用户重定向到恶意网站以窃取其凭据。

中小型企业（SMB）或组织适用。CISA、NSA、FBI和MS-ISAC建议资源有限的中小型组织优先考虑以下最佳实践，以保护网络资源免受流行的网络钓鱼威胁：

·用户网络钓鱼意识培训：实施标准的反网络钓鱼培训计划，并要求员工每年复习网络钓鱼培训材料。此外，在计划结束时进行培训检查，以证明员工已掌握培训计划中的所有信息。

·识别网络钓鱼漏洞：鼓励联邦机构参与CISA的网络钓鱼漏洞扫描评估服务。

·启用MFA：激活强大的MFA是小型企业保护其面向互联网的企业账户免受网络钓鱼相关威胁的最佳方法。

此外，CISA、NSA、FBI和MS-ISAC还建议中小企业实施以下技术解决方案，以防止与网络钓鱼相关的危害：

·实施强密码策略来验证用户身份。这些密码必须遵守密码强度政策，其中要求最小字符长度、数字、特殊字符和区分大小写，并禁止用户重复使用以前使用过的密码。

·实施DNS过滤或防火墙拒绝列表，阻止已知的恶意网站。

·实施反病毒解决方案，以减少恶意软件，并在打开恶意超链接或电子邮件附件时阻止恶意软件执行。

·实施文件限制策略，防止下载和执行恶意高风险文件扩展名（如 .exe或 .scr）。这些类型的文件对于日常操作来说是不必要的，应该在标准业务账户中加以严格限制。

·确保软件应用程序设置为自动更新，以便网络软件始终升级到最新版本。这有助于防止恶意行为者利用企业网络软件中的漏洞。

·启用安全网页浏览策略，确保员工只能访问日常业务运营所需的网站。这些策略还能防止用户访问恶意网站，这些网站通常包含恶意软件，可以获取用户凭据或部署额外的恶意软件来破坏组织系统。

·在启用MFA的情况实现安全的虚拟专用网络（VPN）。

·考虑迁移到信誉良好的第三方供应商提供的托管云电子邮件服务。CISA、NSA和MS-ISAC鼓励资源有限的小型企业从可信的第三方供应商处寻求托管云电子邮件服务。

软件制造商适用。CISA、NSA、FBI和MS-ISAC建议软件制造商将安全设计和默认原则和策略纳入其软件开发实践中，以降低客户遭受网络钓鱼攻击的可能性。

为减少网络钓鱼电子邮件成功到达用户以及用户与电子邮件互动的情况，建议软件制造商遵循以下策略：

·对电子邮件软件进行现场测试。实现威胁建模，针对各种部署情况测试电子邮件软件，同时考虑到从小型到大型组织的用例，并根据测试结果为软件配置安全默认值。

·提供默认已启用DMARC的电子邮件软件。

·提供带有默认“拒绝”DMARC 配置的电子邮件软件。

·提供默认已启用内部邮件和信息监控机制的电子邮件产品。鼓励电子邮件软件制造商在默认情况下包括自动电子邮件流量监控机制，以自动扫描电子邮件流量，检查电子邮件中是否存在恶意附件或URL。

·对特权用户强制执行MFA。通常，恶意行为者会将其渗透技术集中在管理员账户上。管理员账户拥有更高的权限，默认情况下，应该受到强大的MFA保护。

·通过现代开放标准为应用程序实施SSO。例如，安全断言标记语言（SAML）或 OpenID Connect（OIDC）。

·在电子邮件软件产品中使用非安全配置时，考虑为客户实施安全通知。例如，如果管理员没有注册 MFA，可反复发送安全通知，警告组织当前的安全风险，以便他们知道如何降低风险。

为了减少网络钓鱼攻击后恶意软件的成功执行，可以遵循以下建议：

·确保默认情况下电子邮件软件中包含网络钓鱼过滤和阻止机制，以防止恶意软件成功部署。

·提供默认具有有限管理权限的电子邮件软件。只允许指定的管理员账户用于管理目的。

·提供默认带有应用程序允许列表的电子邮件软件。

·提供自助式应用程序商店，客户可在其中安装经批准的应用程序。阻止来自外部、未经批准的、组织政策不允许的应用程序和可执行文件。

·在电子邮件产品中加入默认阻止宏的机制。

·默认包含RBI解决方案。

事件响应

如果组织从网络钓鱼活动中发现了泄露的凭据和/或成功的恶意软件，则可以通过以下方式进行补救：

1. 重新配置可疑或已确认受损的用户账户，以防止恶意行为者保持对环境的持续访问。

2. 在确认网络钓鱼事件后审计账户访问，以确保恶意行为者不再能够访问最初受影响的账户。

3. 在检测到网络钓鱼攻击后隔离受影响的工作站。这有助于阻止已执行的恶意软件进一步扩散到组织的网络中。

4. 分析恶意软件。隔离受影响的工作站后，请专门从事恶意软件分析的团队对恶意软件进行分析。

5. 清除恶意软件。从网络中清除恶意软件，使组织网络中的其他工作站不再受到已执行恶意软件的负面影响。

6. 恢复系统正常运行，并确认其功能正常。这一阶段的主要挑战是确认修复是否成功、重建系统、重新连接网络以及纠正错误配置。

最后，CISA、NSA、FBI和MS-ISAC鼓励组织使用内置在Microsoft Outlook和其他云电子邮件平台中的报告功能，以及直接向Microsoft、Apple和谷歌报告垃圾邮件。报告可疑的网络钓鱼活动是保护组织最有效的方法之一，因为它可以帮助电子邮件服务提供商识别新的或潜在的网络钓鱼攻击。