长期以来,网络钓鱼一直是访问目标组织的最佳方式之一。 以前不是这样的。 在计算机安全的早期,远程代码利用 (RCE) 是获得访问权限的首选方法,因为它不需要用户交互。 事实上,如果某事需要用户交互,就不会被视为严重威胁。 更好的安全实践开始占据主导地位,RCE 访问方法变得更具挑战性。 事实证明,让用户互动比想象的要容易。
同样的循环已经开始在本地目标上重演。 组织已经开始在保护其内部网络免受使用端点检测和响应 (EDR) 的威胁方面取得进展,并且其他技术可以更好地检测恶意软件和横向移动。 虽然攻击变得越来越困难,但这对攻击者来说绝不是一种无效的策略。 部署勒索软件和其他形式的恶意软件仍然是常见的结果。
为什么您的云基础设施是网络钓鱼攻击的首要目标
云为网络钓鱼者提供了一个全新的攻击边界,事实证明它可能非常危险。 SaaS 环境是网络钓鱼攻击的成熟目标,并且可以为攻击者提供比访问某些电子邮件更多的东西。 在这种环境下,安全工具仍在不断成熟,这为攻击者提供了机会之窗,使网络钓鱼攻击等方法变得非常有效。
针对开发人员和软件供应链的网络钓鱼攻击
正如我们最近看到的, Dropbox 出事了 由于针对其开发人员的网络钓鱼攻击。 他们被骗进 提供他们的 Github 凭据 通过网络钓鱼电子邮件和虚假网站向攻击者发送信息,尽管 多因素身份验证 (外交部)。 令人恐惧的是,这不仅仅是来自销售或其他业务部门的随机用户,而是可以访问大量 Dropbox 数据的开发人员。 值得庆幸的是,事件的范围似乎并未影响 Dropbox 最关键的数据。
GitHub 和持续集成/持续部署 (CI/CD) 领域的其他平台是许多公司的新“皇冠上的明珠”。 通过正确的访问权限,攻击者可以窃取知识产权、泄露源代码和其他数据,或进行 供应链攻击. 它走得更远,因为 GitHub 经常与其他平台集成,攻击者可能会以这些平台为中心。 所有这一切都可以在不触及受害者的本地网络或组织已经获得的许多其他安全工具的情况下发生,因为它都是软件即服务 (SaaS) 到 SaaS。
这种情况下的安全性可能是一个挑战。 每个 SaaS 提供商的做法都不同。 客户对这些平台中发生的事情的可见性通常是有限的。 例如,GitHub 仅在其企业计划下提供对其审计日志 API 的访问权限。 获得可见性只是要克服的第一个障碍,接下来是围绕它制作有用的检测内容。 SaaS 提供商在他们所做的事情和他们提供的数据方面可能会有很大的不同。 需要对它们如何工作进行上下文理解才能进行和维护检测。 您的组织可能使用了许多此类 SaaS 平台。
您如何降低与云中网络钓鱼相关的风险?
Okta 等身份平台可以帮助降低风险, 但不完全. 识别未经授权的登录无疑是发现网络钓鱼攻击并对其做出响应的最佳方法之一。 这说起来容易做起来难,因为攻击者已经掌握了检测其存在的常用方法。 代理服务器或 VPN 很容易被用来至少看起来与用户来自相同的一般区域,以击败国家或不可能的旅行检测。 可以应用更高级的机器学习模型,但这些模型尚未得到广泛采用或验证。
传统的威胁检测也开始适应 SaaS 世界。 Falco 是一种流行的容器和云威胁检测工具,它有一个插件系统,几乎可以支持任何平台。 Falco 团队已经为 Okta 和 GitHub 等发布了插件和规则。 例如, GitHub 插件 如果任何提交显示出加密矿工的迹象,就会触发一条规则。 利用这些专门构建的检测是开始将这些平台纳入您的整体威胁检测计划的好方法。
网络钓鱼将继续存在
网络钓鱼和一般的社会工程学永远不会落伍。 多年来,它一直是一种有效的攻击方法,只要人们进行交流,它就会一直有效。 了解这些攻击不仅限于您拥有或直接管理的基础设施至关重要。 由于大多数组织对这些平台上实际发生的事情缺乏可见性,SaaS 尤其面临风险。 不能将他们的安全视为其他人的问题,因为只需一封简单的电子邮件和虚假网站就可以访问这些资源。
