「零信任」为何成为企业防钓鱼的新法器？

科技云报道原创。

网络钓鱼，作为一种“古老”的攻击技术已盛行多年。尽管企业的安全设备不断上新，却依然防不住钓鱼的层层套路，令无数企业头疼不已。

在每年的攻防演练中，“网络钓鱼”也是最有效的攻击方式之一。攻击方通常伪装成行政、猎头等对目标企业员工进行邮件钓鱼，成功绕过企业现有的安全设备，让企业重金建设的安全堡垒成为不堪一击的“马奇诺防线”。

钓鱼攻击屡试不爽的原因，正是凯文·米特尼克在《反欺骗的艺术》中提到的“人为因素是安全的软肋”。

相关报告显示，42%的员工承认在上网时采取过危险行动，如点击未知链接、下载文件或暴露个人数据，未遵循网络钓鱼预防的最佳实践等。

随着传播渠道的不断丰富，攻击技术以及生成式AI技术的快速升级，网络钓鱼的花样还在不断翻新。企业仅凭提升全员安全意识，根本无法彻底杜绝钓鱼攻击，颇有一种“看不惯却又干不掉”的无奈。

为什么网络钓鱼这么难防？企业真的就治不了这个顽疾吗？

日益隐秘的钓鱼攻击

相比于其他网络攻击手段，网络钓鱼显得更加简单直接，一般通过网站、语音、短信、邮件、WiFi等渠道，引诱企业员工、个人用户点击恶意链接或提供个人信息，从而进行渗透或欺诈活动。

但令人忧心的是，近年来网络钓鱼事件仍呈爆发式增长。Perception Point《2023年年度报告：网络安全趋势与洞察》显示，2022年威胁行为者尝试的高级网络钓鱼攻击数量增长了356%。

Zimperium《2023年全球移动威胁报告》显示，2022年，以移动设备为目标的网络钓鱼网站的比例从75%增加到80%。

伴随着攻击数量的飙升，网络钓鱼的手段也在走向高级化、多样化。据腾讯安全总经理王宇观察，近几年网络钓鱼攻击呈现四大新特征：

一是传播渠道更广泛，网络钓鱼的传播渠道已经从最初的网站、垃圾邮件、短信，逐步扩大到社交媒体、短视频平台，可谓是无孔不入。

二是隐蔽性越来越强，网络钓鱼充分利用人性的弱点进行攻击，通过利诱、威逼、假冒等隐蔽方式来达到诱骗目的；

三是场景化，过去网络钓鱼不分行业和客群，攻击者普遍采用通用方式去钓鱼，但现在是针对金融、医疗等不同场景实施定向钓鱼；

四是跨国化，网络钓鱼已经从单一的国内攻击发展为跨国攻击，不少钓鱼行为是针对国内企业在境外的员工，或在国内工作的华侨人士。

以上种种攻击新趋势，都意味着网络钓鱼比以往来得更加凶猛，更加难以防范。

对此，王宇举了一个腾讯安全处理的真实案例：

攻击者通过短视频平台添加了基金经理A的社交软件，仿冒潜在客户咨询理财产品，向A发送了一个钓鱼文件。

A在看到一个潜在大客户的咨询后，毫无防备地点击下载运行了攻击程序，从而被攻击者悄悄控制了社交软件。

当天晚上，攻击者开始查看A的客户群，充分了解其业务状况。一段时间后，攻击者展开攻击，将自己设置为群管理员，并将A踢出群，然后迅速对群内上千个客户实施诈骗，最终涉案金额高达千万级。

王宇表示，这已经不是过去简单的钓账号行为，而是针对证券行业的定向攻击，提前进行大量的情报收集，这种钓鱼攻击针对性、隐蔽性更强，并且很难通过员工培训完全防范杜绝。

网络钓鱼为何难防？

尽管网络钓鱼花样繁多，但毕竟是一个存在多年的网络安全“毒瘤”，为什么网络钓鱼就如此难以防范，而现有的安全设备也难以发挥作用呢？

我们不妨从攻防双方的特点来看：

从攻击方看，钓鱼本质上是利用人的弱点，攻击者可以用被钓鱼人员的身份，是一种典型的可信攻击，原则上只能不断提升人的安全意识，但无法彻底杜绝。

即便企业经过多年攻防演练，总部的投入大、安全意识教育足够重视，但是子公司、分支、供应链等的安全意识还远远不足，大部分被钓鱼成功也来源于此。

更加严峻的是，当前生成式人工智能(AIGC)技术也极大提升了钓鱼攻击的效率。王宇表示，攻击者能够利用AIGC技术高效生成更加难以分辨的钓鱼邮件。

“很多钓鱼攻击都会有很明显的团伙特征，比如说一个俄罗斯的黑客团伙，他去给其他国家的人发钓鱼邮件，其实是可以通过内容识别他不是用native的语言去写的，而现在利用AIGC就让模仿的精细度更高，能够消弭这样的一些差异，加大了防御的难度。”王宇举例称。

从防守方看，当攻击者通过钓鱼成功投递样本后，随之而来的是持久化的驻留、信息收集、内网横向移动等行为，攻击者会通过多种技术绕过现有安全设备，进行持续对抗。

而企业现有安全建设往往是烟囱式的，无论是WAF、IDS、EDR还是IAM、数据防泄漏等安全设备，都是各自为战，无法对伪装成正常行为的钓鱼攻击形成联动检测和响应，单点设备难免会漏报。

即便是拥有SOC安全运营中心的大型企业，现阶段也较难实现有效的安全设备联动，海量告警导致难以判断哪些是真正的钓鱼攻击行为。

换句话说，面对来势汹汹的网络钓鱼，人防不如技防，而技防则需端到端的联防。

防钓鱼需要新法器

知易行难，当单点的安全设备无力应战时，企业在防钓鱼这件事上显然需要一种“新法器”。

在王宇看来，“打蛇打七寸”，想要防住网络钓鱼，首先得研究清楚钓鱼的攻击路径，然后再有针对性地制定防护策略。

据王宇介绍，网络钓鱼攻击一般会分为“事前-事中-事后”三个步骤：

“事前”即投递环节，通过IM、邮箱、社交媒体等渠道投递钓鱼文件，诱导用户点击或下载文件执行，而执行程序则隐藏其中。

“事中”即执行/内网横移环节，当受害者运行了恶意程序后，恶意程序会在受害终端执行，建立持久化驻留，获取凭据，信息收集，横向移动等操作。为了能在系统中运行，恶意程序通常都会经过免杀处理，从而逃避杀软的查杀。

“事后”即命令和控制(外联C2)环节，外连控制台，为了将窃取到的有价值的信息回传，攻击者会采用一些隐匿加密通信技术进行外联通信，从而实现远控。

事实上，钓鱼攻击的每一个环节都有相应的行为特征，关键在于是否能有效检测出这些异常行为。

结合腾讯多年以来的攻防技术和经验，腾讯零信任iOA钓鱼防护方案能够针对钓鱼攻击的三个阶段攻击特点，分别从对钓鱼攻击的来源路径监测、钓鱼文件形态识别、程序联网零信任审计，实施外连监测和关联分析，确保“看得见”&“防得住”的效果，具体而言：

• 来源路径监测

在投递环节，腾讯iOA在每个终端都建立本地基线数据，对新入的文件实现来源分析和追踪。目前已实现覆盖钓鱼攻击常见利用路径，如邮件、IM工具等来源实行监测。

未来将会和常用企业IM工具（企业微信等）合作，更精准识别和还原出钓鱼入侵的源头。

• 文件形态识别

在第二环节，腾讯iOA基于钓鱼样本检测引擎，可以准确识别出钓鱼样本，专项识别样本免杀技巧。

• 联网零信任审计

针对联网行为，腾讯iOA建立了联网基线，联网基线与新入文件基线实行关联分析，对新入未知程序，可信程序（被注入）的联网实行零信任审计，彻底拦截少量免杀的漏网之鱼。

有了准确的检测，腾讯iOA就可以在“事前-事中-事后”的每一个环节进行处置，比如：事前限制敏感数据的下载；事中阻止内网横移等恶意行为；事后及时阻断文件外传行为等。

这种全生命周期的检测和响应，使得腾讯iOA在理论上可以对钓鱼攻击行为实现100%覆盖。目前在国家级的攻防演练实战中，腾讯iOA已实现钓鱼防护0漏报。

如此理想的效果，正是在于腾讯iOA采用了零信任理念。

在过去的几年中，腾讯零信任iOA实现了零信任网络访问、办公安全、身份安全、终端安全管理、数据安全等维度的功能，将身份、设备、应用、链路关联起来，并强制所有访问都必须经过认证、授权和加密，避免了单点安全设备之间无法关联上下文分析的弊端，拥有了更全面和更易用的威胁溯源与风险控制的能力，从而实现了立体化的、端到端的安全防护。

这种全面的零信任安全能力，来源于腾讯20多年的攻防实战技术和经验。

作为多次在大型攻防演练中夺冠的攻击队，腾讯安全掌握着最新的攻击手法，拥有一手的威胁情报；同时，腾讯自身也是被钓鱼攻击最多的互联网公司之一，有着多年对抗钓鱼攻击的经验。

作为国内唯一拥有“云+管+端+IM+邮件”产品联动的厂商，腾讯在防钓鱼攻击方面极具优势。

零信任是 网络安全的未来

不可否认，近几年零信任理念在国内备受追捧，头部安全厂商无一例外都在推广零信任的优势。但零信任如何落地，如何真正解决像钓鱼攻击这样的实际问题，始终是企业关心的方向。

在过去多年的安全建设中，企业大多部署了网络侧、终端侧、应用侧的安全设备。面对功能全面的零信任安全产品，难道企业需要全盘抛弃现有安全设备、从头来过？

答案是否定的。

在王宇看来，零信任方案的落地是有节奏的，一定是从业务视角出发，从企业最关心的场景切入，先与现有的安全设备做结合，看到实际效果之后再进行逐步替代。

事实上，作为国内率先实践零信任的互联网公司之一，腾讯内部的零信任实践也是分步实现的。

从2016年内部上线，到2017年实现内部职场办公一体化安全平台，再到2020年新冠疫情期间，腾讯零信任iOA支撑了腾讯全球10W +设备的随时随地接入办公，实现了安全零事故，腾讯iOA也因此成为国内最大规模落地的自研自用零信任解决方案。

而从目前企业客户需求看，远程办公带来的安全接入问题，是其最关注的业务场景。因此，替代或新建VPN成为零信任最为明晰的切入点，其带来的价值也非常直观。

随着远程接入安全问题的解决，企业下一步关心的安全问题是权限的控制，即能否对身份、设备、数字资产等实现灵活可控的权限收放，而这正是钓鱼防护、勒索防护、入侵防御等安全场景的关键所在。

对此，王宇建议在实现VPN替代之后，企业可以进一步增加防钓鱼功能，之后再补充终端安全功能，将零信任方案中的更多功能联动起来，实现一体化的安全防护。

针对已有SOC的大型企业，腾讯零信任iOA也能够与SOC联动，基于多维监测数据场景实现关联分析，为安全运营带来更精准和效率的检测。

目前，腾讯零信任iOA的防钓鱼功能已在金融、游戏、运营商等多个行业头部企业中应用。

凭借成熟的产品能力和商业交付能力，腾讯零信任iOA 终端部署量级达数百万，成为了国内首个部署终端突破百万的零信任产品。

结语

高端的猎手，往往采用最朴素的攻击方式。当企业把安全防线做到万无一失时，最直接的攻破手段，反而是网络钓鱼这类古老的攻击方式。

但无论网络钓鱼多么难防，终归是攻防双方的技术对抗，在零信任“持续验证，永不信任”的防护理念之下，钓鱼攻击正在迎来史上最黑暗的时刻。