安全研究人員推出魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)黑箱粉碎機(jī)
機(jī)器學(xué)習(xí)+編碼,檢測(cè)并報(bào)警妄圖從員工處套取口令的嘗試。
美國(guó)加州大學(xué)伯克利分校和勞倫斯伯克利國(guó)家實(shí)驗(yàn)室的安全研究人員,想出了企業(yè)環(huán)境中緩解魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)風(fēng)險(xiǎn)的辦法。
來(lái)自這兩個(gè)機(jī)構(gòu)的幾位研究員,在 Usenix 2017 上發(fā)表了論文《企業(yè)環(huán)境中檢測(cè)憑證魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)》。論文描述了利用網(wǎng)絡(luò)流量日志和機(jī)器學(xué)習(xí)的一套系統(tǒng),可以在雇員點(diǎn)擊嵌入電子郵件中的可疑URL時(shí),實(shí)時(shí)觸發(fā)警報(bào)。
魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)是一種社會(huì)工程攻擊方法,針對(duì)特定個(gè)人進(jìn)行,精心編造電子郵件,誘騙收件人安裝惡意文件或訪問(wèn)惡意網(wǎng)站。
此類針對(duì)性攻擊不像廣撒網(wǎng)式的網(wǎng)絡(luò)釣魚(yú)那么常見(jiàn),但其破壞力更為巨大。美國(guó)人事管理局(OPM)大規(guī)模數(shù)據(jù)泄露事件(2210萬(wàn)人受害),醫(yī)療保險(xiǎn)提供商Anthem數(shù)據(jù)泄露事件(8000萬(wàn)病歷記錄被盜),以及其他引人注目的數(shù)據(jù)失竊案,均涉及到魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)。
研究人員將重點(diǎn)放在了憑證竊取上,因?yàn)檫@一攻擊相對(duì)漏洞利用類攻擊要容易得多。如果涉及惡意軟件,積極修復(fù)和其他安全機(jī)制會(huì)提供防護(hù),即便目標(biāo)已經(jīng)中招。而一旦憑證被找到,就只需誘使目標(biāo)暴露出數(shù)據(jù)了。
冒充受信實(shí)體,是研究人員重點(diǎn)處理的攻擊方式。這種攻擊往往涉及冒用電郵名稱字段、偽造看起來(lái)可信的名稱(如helpdesk@example.com),或者從被黑受信賬戶發(fā)送郵件。另一種假冒方式——冒用電子郵件地址,則不在研究人員考慮之列,因?yàn)橛蛎荑€識(shí)別郵件標(biāo)準(zhǔn)(DKIM)和域名消息驗(yàn)證報(bào)告一致性協(xié)議(DMARC)之類電子郵件安全機(jī)制會(huì)處理。
自動(dòng)化魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)檢測(cè)的難點(diǎn),在于此類攻擊比較少見(jiàn),這也是為什么很多企業(yè)仍然依賴用戶報(bào)告來(lái)啟動(dòng)調(diào)查的原因所在。研究人員指出,他們的企業(yè)數(shù)據(jù)集包含3.7億電子郵件——約4年的量,但只有10例已知的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)案例。
因此,即便只有0.1%的誤報(bào)率,都意味著37萬(wàn)次虛假警報(bào)——足以癱瘓企業(yè)IT部門(mén)。而且,魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)樣本的相對(duì)稀少性,也使機(jī)器學(xué)習(xí)技術(shù)缺少了創(chuàng)建可靠訓(xùn)練模型所需的大量數(shù)據(jù)。