阻止商业电子邮件犯罪 (BEC) 攻击的最佳策略

商业电子邮件犯罪 (BEC) 是指没有有效载荷的所有类型的电子邮件攻击。尽管有多种类型，但攻击者利用 BEC 技术渗透组织的主要机制主要有两种：欺骗和帐户接管攻击。

在最近的一项研究中，71% 的组织承认他们在过去一年中遇到了企业电子邮件泄露 (BEC) 攻击。 43% 的组织在过去 12 个月内经历过安全事件，35% 的组织表示商业电子邮件犯罪/网络钓鱼攻击占事件的 50% 以上。

FBI 的互联网犯罪投诉中心 (IC3) 报告称，BEC 诈骗是 2020 年企业经济损失最大的网络攻击，有 19369 起投诉，调整后损失约为 18 亿美元。最近的 BEC 攻击包括对 Shark Tank 主机 Barbara Corcoran 的欺骗攻击，损失了 380,000 美元；波多黎各政府的损失金额达 400 万美元，日本媒体巨头 Nikkei 根据欺诈性电子邮件中的要求已经转移了 2900 万美元。

为了阻止 BEC 攻击，组织必须专注于更严格的转账流程、数据的安全、员工和技术的统一。

更严格的转账流程

每个组织的财务部门都有财务支出授权政策，该政策为保护公司资产的任何财务支出/付款设立了明确的批准级别。

虽然所有财务支出/付款都应是批准预算的一部分，但该政策为财务部门提供了一种工具，以确保每笔付款均由正确的个人或个人根据金额授权。

在某些情况下，公司的 CEO 或总裁在要求付款时被授予无限权力。攻击者意识到这一点，这就是为什么他们欺骗高级主管个人的电子邮件帐户。

鉴于当前的网络安全形势，财务部门应重新评估该政策，以制定更严格的流程。这可能意味着需要对通过支票、网络转账或任何其他渠道支付的主要财务支出进行多次授权，以确保付款请求是合法的，它还可以说明如何获得电子授权。

例如，如果财务部门的某个人收到 CEO 要求网络转账的电子邮件，则处理该请求的管理员需要遵循公司政策以获得额外的批准，包括将电子邮件发送到预先批准的传播列表以获得电子批准以及通过电话确认。财务支出金额决定了谁可以签署和共同签署，这基于组织的风险偏好。

作为 IT 团队的一员，网络安全主管应该与财务部门沟通，解释 BEC 和其他欺骗攻击是如何发生的。提供最近 BEC 攻击的真实示例，并集思广益，以便公司会采取更有针对性的方式来阻止攻击。基于这些例子，财务部门应该重新评估当前的政策，考虑到网络安全欺骗和 BEC。

数据的安全

近几个月来，扩展检测和响应(XDR)已成为安全供应商和分析人员的一个突出话题。与大多数传统 SIEM 部署一样，早期的 XDR 客户一直在努力平衡投入和产出的关系。事实上，大多数企业尚未充分考虑与某些供应商 XDR 解决方案所需的数据收集和分析相关的成本和产出的关系。本文就让我们详细地了解一下这些挑战，并考虑 SentinelOne 如何通过解决威胁XDR 的最大和最复杂的障碍——大规模数据管理，来彻底改变 XDR 碰到的安全困局。

数据呈指数增长。IDC预测，到2025年，全球存储的数据总量将达到175ZB！这比 2018 年 (33ZB) 增长了 5 倍。对于那些停止以千兆字节计算的人来说，1 泽字节等于 1 万亿 GB。但是这些数据是如何分解的?这些数据中有多少可以用于提供更好的安全决策，以确保企业免受有针对性的攻击?在预测的 175ZB 中，大约 85% 是企业和或公共云数据存储。更重要的是，IDC 预测，到 2025 年，多达 30% 的数据将被归类为自终端和物联网设备的追踪分析数据。对于希望通过利用丰富的数据来改善其安全状况的企业来说，这既是一个巨大的挑战，也是一个机遇。数据本身是没有用的，数据必须经过上下文化和分析才能成为信息。基于同样的理解，我们知道只有当我们在多个信息点之间应用有意义的联系，将情境化的数据组合成可操作的结果时，信息才会成为知识。因此，没有背景的数据往往是多余的。

有效的数据管理。如今，大多数企业都会生成大量数据，包括来自用户、设备、应用程序和传感器的活动日志。如果没有相应的记录，就不会发生任何重要的事情。这通常采用日志或事件的形式：描述实体、操作、属性和可能的响应条件的事务性消息。遥测技术的其他形式可以包含包含采样或汇总测量的简单度量。

信息安全告诉我们，即使是最无害和平庸的数据集也可能以某种方式与调查或恶意检测的范围相关。Singularity ActiveEDR/XDR 利用 SentinelOne 获得专利的 Storyline 技术的独特功能，将不同的安全事件拼接成一个单一的时间线和攻击可视化，并在可能的情况下使用 MITRE ATT&CK 技术归因以及攻击者的详细信息。

员工

所有公司员工都必须接受培训，了解网络安全攻击是什么样的，做什么，不做什么，而且这种培训应该持续进行，因为网络安全形势变化如此之快。

财务部门的员工或任何有权以任何形式支付资金的人都应该接受有关 BEC 和其他欺骗攻击的培训。

需要强调的是，这些攻击中有许多采取来自高层管理人员的电子邮件形式，它们往往是“紧急”请求，有时该请求是在营业结束前几分钟发送的，需要立即付款。通过此培训，再加上要求所有员工遵守财务支出授权政策，公司应该能够阻止 BEC 攻击。

许多公司购买保险来支付这些 BEC 损失，但没有组织可以确定承运人会支付。例如，贸易公司 Virtu Financial公司在 BEC 骗局中损失了 690 万美元，但他们的保险公司 Axis Insurance 拒绝付款，声称“未经授权访问 Virtu 的计算机系统不是损失的直接原因，而是由Virtu 员工的单独行为造成的，因为他们相信要求转移资金的‘欺骗性’电子邮件是真实的。”

Virtu Financial公司已对 Axis Insurance 提出投诉，称其因拒绝为网络攻击提供保险而违反合同。

技术

下一代先进的网络安全技术可以帮助阻止任何电子邮件威胁，包括垃圾邮件、网络钓鱼、BEC 和后续攻击、高级持续性威胁 (APT) 和攻击漏洞的零日漏洞。

这些类型的解决方案包括：

◼一个反垃圾邮件引擎，通过反垃圾邮件和基于信誉的过滤器阻止恶意通信；

◼一个反网络钓鱼引擎，用于检测恶意 URL 并在到达最终用户之前阻止任何类型的网络钓鱼攻击；

◼一个反欺骗引擎，可防止无载荷攻击，例如欺骗、相似域和显示名称欺骗；

◼反逃避技术通过递归地将内容解包成更小的单元（文件和 URL）来检测恶意隐藏内容，然后由多个引擎在几秒钟内动态检查；

机器智能 (MI) 和自然语言处理 (NLP) 以检查内容和上下文中是否与规范有偏差，例如识别异常书写风格、可能表示恶意活动的关键词、奇怪的 IP 地址、地理位置、时间等；检测以防止高级威胁和零日攻击。

对最终用户进行临时电子邮件分析，以便在采取鲁莽行动之前识别可疑电子邮件。

最终用户上下文帮助基于策略和规则使用可定制的横幅标记电子邮件，为最终用户提供额外的上下文信息并提高他们的安全意识。

该解决方案应该能够检测并阻止欺骗和帐户接管攻击，其中攻击者可以访问合法的电子邮件帐户并试图进一步进入网络。