钓鱼邮件“攻陷”顶级VC 网络攻击已成金融体系最大风险

　　一封暗藏玄机的电子邮件，能够对企业造成多大伤害?

　　近日，硅谷顶级风险投资公司红杉资本遭遇的钓鱼邮件攻击，再次给企业界敲响了网络安全警钟。红杉资本表示，在该公司近期遭遇的网络钓鱼攻击中，投资者的个人信息和财务信息可能已被第三方窃取。

　　声誉是金融机构赖以生存的生命线。除了直接经济损失，网络安全事件也无疑会影响客户及公众对于金融机构的信心。不幸的是，金融机构掌握的巨量财富、高价值信息和社会资源，正是黑客们最渴望捕获的“猎物”。摩根大通CEO杰米·戴蒙(Jamie Dimon)曾在股东信中表示，毁灭性的网络攻击可能是美国金融体系面临的最大风险，该银行每年在网络安全方面的投入接近6亿美元。

　　随着产业数字化进程的加速，网络攻击会给企业带来越来越致命的威胁，红杉事件成为这种威胁最新、最真实的注脚。腾讯安全技术专家认为，在当前环境下，亡羊补牢式的网络安全观已经不合时宜，企业一把手亟需建立“安全左移”的观念，做好主动规划和前瞻防御，构建全面的企业安全免疫系统。

　　钓鱼邮件“攻陷”顶级VC

　　据外电报道，今年2月，外部黑客对一名红杉员工进行了邮件钓鱼攻击，从而获得了投资者的邮件地址。随后，攻击者根据获得的邮件地址，仿冒红杉员工向投资者们发送BEC(商业欺诈邮件)，可能已经访问了投资者的个人信息和财务信息。

　　此次黑客使用的BEC攻击，其本质原理是通过高度模仿企业员工或合作伙伴的恶意账号，向他人发送个性化的电子邮件。这些具有针对性的个性化邮件十分具有迷惑性，极易诱使客户、合作伙伴泄漏敏感信息或转账，从而造成信息泄露，甚至造成资金损失。

　　腾讯安全技术专家表示，BEC攻击是网络攻击中最惯用的手法，技术手段上更多利用高危漏洞来实现。黑客通常会周密地选择攻击目标，例如可靠的业务合作伙伴或公司的CEO，因此成功率非常高。美国联邦调查局发布的年度互联网犯罪报告指出，在2019年收到的467361起互联网和网络犯罪投诉中，几乎一半的损失来自BEC(商业欺诈邮件)。FBI的数据还显示，2019年BEC受害人损失达17.7亿美元，平均每宗投诉损失额达到75000美元。

　　我国也是遭受BEC攻击的高发地。国家互联网应急中心(CNCERT)公布的数据显示，2019年CNCERT监测到重要党政机关部门遭受钓鱼邮件攻击数量达50多万次，月均4.6万封。另有统计显示，2019年全国企业邮箱用户共收到各类钓鱼邮件约344.3亿封，较2018年增长了68.5%。

　　携带漏洞利用恶意代码的 Office 文档，是钓鱼邮件的主要载荷。去年，腾讯安全威胁情报中心就曾检测到以PPT文档为诱饵的钓鱼邮件攻击。经分析发现，黑产组织投递的钓鱼邮件中，附件PPT文档均包含恶意宏代码，用户一旦打开就会启动恶意程序下载Azorult窃密木马，导致账号密码丢失、信息泄漏等严重后果。

　　钓鱼邮件给企业造成的损失巨大。全球最大白名单提供商Return Path发布的报告称，为恢复网络钓鱼攻击带来的影响，平均每家大企业每年需要花费370万美元，包括生产力、消费者服务方面的损失和监管罚款。

　　这还仅仅是钓鱼攻击造成的直接损失。上述报告还显示，受到电子邮件网络钓鱼攻击后，消费者不会再信任品牌，品牌的Gmail阅读率下降18%，Yahoo下降11%。品牌的合法邮件也会被电子邮件服务商归为垃圾邮件，Gmail电子邮件打开率平均下降10%，Yahoo下降7%。

　　数字时代亟需“安全左移”

　　频发的网络安全案件，给企业的信息安全建设敲响了警钟。随着我国全面迈向大数据时代，企业对于通信技术和计算机应用的依赖性在不断增强。一旦遭遇网络安全事故，企业的资产、业务和声誉都将蒙受巨大损失，甚至会动摇自身的生存根基。那么，企业如何在享受信息技术红利的同时，抵御越来越致命的网络安全风险?

　　最重要的是“安全左移”。 腾讯安全技术专家认为，要把网络安全建设作为一把手工程重点关注，在生产流程中把安全建设前置。同时，借助AI和大数据技术，提前发现和处置异常，降低高风险环节的权限，主动控制重要数字资产的风险暴露时间窗口，尽最大可能减少受攻击面。

　　相比“应对”威胁，“提前感知”威胁，显然是提升安全防护效率、降低安全风险最经济的方式。因此，威胁情报的安全投入对于企业占据攻防先机至关重要，也是企业在安全左移趋势下做好安全前置的有效途径。以腾讯的威胁情报系统为例，该系统可以为企业提供全面准确的、与其相关的、能够执行和决策的知识和信息，从而协助企业预防各类网络入侵攻击，做到“未攻先防”，全力避免潜在损失。

　　另一方面，以“持续验证，永不信任”为核心的零信任，无论是从安全高配，还是在降本增效方面，都是远程业务常态化过程中企业进行安全建设的高性价比价值点。即使企业存在被攻陷的风险，在多维身份认证、最小权限动态访问控制以及可变信任管理等策略的保护下，iOA等客户端保护方案也能为企业资源的访问提供持续安全防护。

　　在此次红杉遭遇的钓鱼邮件攻击事件中，如果能够事先建立起多层次防御体系，各个层级的安全产品可通过威胁情报系统、安全运营系统有机整合在一起，将有助于最大化降低黑客入侵风险，减少潜在损失。