由 dawei 美国网络安全机构 CISA 与 NSA、FBI 和 MS-ISAC 发布了一份联合指南,详细介绍了常用的网络钓鱼技术,并提供了如何缓解这些技术的建议。
在网络钓鱼攻击中,威胁行为者依靠社会工程来诱骗受害者泄露其凭据或访问旨在部署恶意软件或窃取其登录信息的恶意网站,然后将其用于访问企业网络或其他资源。
为了降低凭证盗窃网络钓鱼的风险,建议组织实施多重身份验证 (MFA),但要避免弱形式,例如未启用 FIDO 或基于 PKI 的 MFA、未启用号码匹配的推送通知 MFA 以及 SMS和语音 MFA。
为了降低成功的凭证网络钓鱼攻击的风险,组织应该对员工进行社会工程培训,设置防火墙规则并启用电子邮件保护以防止可疑或恶意电子邮件,使用电子邮件和消息监控,实施防网络钓鱼的 MFA,防止用户重定向到恶意域名,阻止已知的恶意域名和IP,限制用户的管理权限,实施最小权限原则,阻止宏和恶意软件的执行。
CISA、NSA、FBI 和 MS-ISA 指出,操作系统软件制造商应在其开发过程中纳入安全框架设计和默认操作系统安全设计原则,以减少非法的网络钓鱼攻击操作系统成功到达其用户的风险。
这些机构指出,新指南适用于所有组织的网络防御,但也包括专门针对中小型企业的部分,这些企业防御网络钓鱼攻击的资源可能有限。他们建议,企业应该采取措施保护自己免受网络钓鱼攻击,例如在网站上安装一个安全软件,或者使用防火墙来阻止恶意代码的传播。