電子郵件是企業(yè)每天使用的最普遍�、也是被利用最多的工具之一。引誘用戶(hù)點(diǎn)擊電子郵件中的惡意鏈接是絕大多數(shù)惡意行為者的一種長(zhǎng)期策略��,無(wú)論是最老練的犯罪組織,還是初出茅廬的攻擊者�。
電子郵件是企業(yè)每天使用的最普遍、也是被利用最多的工具之一���。引誘用戶(hù)點(diǎn)擊電子郵件中的惡意鏈接是絕大多數(shù)惡意行為者的一種長(zhǎng)期策略��,無(wú)論是最老練的犯罪組織��,還是初出茅廬的攻擊者����。
盡管這是用于獲取帳戶(hù)權(quán)限或?qū)嵤┢墼p的常見(jiàn)手段,但用戶(hù)仍然被騙到點(diǎn)擊惡意鏈接��,進(jìn)而被惡意利用���。原因很簡(jiǎn)單:即使是受過(guò)充分培訓(xùn)的用戶(hù)(和安全解決方案)也不一定能夠區(qū)分無(wú)害鏈接和惡意鏈接�。
最重要的是����,保護(hù)員工郵箱通常會(huì)牽涉多個(gè)供應(yīng)商、復(fù)雜的部署和巨大的資源消耗�。
Email Link Isolation使Cloudflare Area 1成為防止網(wǎng)絡(luò)釣魚(yú)攻擊領(lǐng)域最全面的電子郵件解決方案。它會(huì)重寫(xiě)可能被利用的鏈接�����,提醒用戶(hù)他們即將訪問(wèn)的網(wǎng)站存在不確定性并保持警惕���,并通過(guò)用戶(hù)友好的Cloudflare Browser Isolation服務(wù)防范惡意軟件和漏洞��。同時(shí)��,這個(gè)功能一鍵即可完成部署�����,符合Cloudflare的一貫風(fēng)格���。
防止欺詐鏈接
(迄今)數(shù)十位客戶(hù)參加了測(cè)試,保護(hù)了超過(guò)100萬(wàn)個(gè)鏈接�����,我們現(xiàn)已清晰地看到這個(gè)解決方案可以實(shí)現(xiàn)的巨大價(jià)值和潛力�。為了讓這些安全優(yōu)勢(shì)惠及更多的客戶(hù),并持續(xù)擴(kuò)展這項(xiàng)安全防御技術(shù)的多種應(yīng)用方式��,我們已推出Email Link Isolation的通用版本(GA)�����。
Email Link Isolation包含于Cloudflare Area 1 Enterprise計(jì)劃中����,無(wú)需額外費(fèi)用���,三個(gè)步驟即可啟用:
1.登錄到Area 1門(mén)戶(hù)
2.進(jìn)入“設(shè)置”(齒輪圖標(biāo))
3.在“電子郵件配置”下����,進(jìn)入“電子郵件策略”>“鏈接操作”
4.滾動(dòng)到Email Link Isolation并啟用它
分層防御
隨著威脅參與者不斷尋找繞過(guò)每個(gè)安全措施的方法并開(kāi)發(fā)更復(fù)雜的攻擊�����,應(yīng)用多層防御部署變得越來(lái)越重要�����。揭示這些不斷發(fā)展演變的攻擊手段最佳的案例便是延遲網(wǎng)絡(luò)釣魚(yú)攻擊���。在這種攻擊中����,當(dāng)電子郵件到達(dá)你的電子郵件安全棧并最終進(jìn)入用戶(hù)的收件箱時(shí)��,嵌入的URL是無(wú)害的�,但會(huì)在投遞后武器化。
為了對(duì)抗不斷演變的電子郵件威脅���,如惡意鏈接�,Area 1不斷更新其機(jī)器學(xué)習(xí)(ML)模型,以考慮所有潛在的攻擊手段���,并利用投遞后掃描和撤回作為額外的防御層?�,F(xiàn)在����,Enterprise計(jì)劃客戶(hù)還可以使用Email Link Isolation作為最后的防御措施——一張安全網(wǎng)���。
成功增加安全保護(hù)層的關(guān)鍵是使用一個(gè)強(qiáng)大的Zero Trust套件���,而非將來(lái)自多個(gè)供應(yīng)商的不相關(guān)產(chǎn)品拼湊起來(lái)���。用戶(hù)需要在生產(chǎn)力不受干擾的情況下保證安全——否則他們將開(kāi)始看到重要的電子郵件被隔離��,或者在訪問(wèn)網(wǎng)站時(shí)遇到糟糕的體驗(yàn)�����,用不了多久這些用戶(hù)便會(huì)無(wú)奈開(kāi)始尋找繞過(guò)公司安全防御的方式訪問(wèn)網(wǎng)絡(luò)��。
不影響員工效率的安全防御方案
Email Link Isolation提供了一個(gè)額外的安全層�,幾乎不會(huì)破壞用戶(hù)體驗(yàn)。它足夠智能��,可以判斷哪些鏈接是安全的��,哪些是惡意的�����,哪些仍然是可疑的��。然后��,這些可疑的鏈接會(huì)被更改(更準(zhǔn)確而言是“重寫(xiě)”)����,Email Link Isolation會(huì)不斷評(píng)估它們,直到得到一個(gè)高度可信的結(jié)論���。當(dāng)用戶(hù)單擊這些重寫(xiě)的鏈接時(shí)����,電子郵件鏈接隔離會(huì)檢查結(jié)論(良性或惡意)并采取相應(yīng)的行動(dòng)——良性鏈接在本地瀏覽器中打開(kāi)�,就像它們沒(méi)有被更改一樣,而惡意鏈接則完全被阻止打開(kāi)。
最重要的是����,當(dāng)Email Link Isolation無(wú)法根據(jù)所有可用情報(bào)得出可信的結(jié)論時(shí),會(huì)打開(kāi)一個(gè)插頁(yè)���,要求用戶(hù)格外警惕�����。插頁(yè)提示該網(wǎng)站是可疑的�,用戶(hù)應(yīng)避免輸入任何個(gè)人信息和密碼��,除非他們知道并完全信任該網(wǎng)站����。在過(guò)去幾個(gè)月的測(cè)試中,我們發(fā)現(xiàn)超過(guò)三分之二的用戶(hù)在看到插頁(yè)后不再繼續(xù)訪問(wèn)網(wǎng)站——這是一件好事!
對(duì)于那些在看到插頁(yè)后仍想訪問(wèn)網(wǎng)站的用戶(hù)����,Email Link Isolation將使用Cloudflare Browser Isolation�����,在Cloudflare距離用戶(hù)最近的數(shù)據(jù)中心運(yùn)行的隔離瀏覽器中自動(dòng)打開(kāi)鏈接���。得益于我們的網(wǎng)絡(luò)矢量渲染(NVR)技術(shù)和Cloudflare廣闊���、低延遲的網(wǎng)絡(luò)�,這能提供與使用本地瀏覽器幾乎無(wú)異的體驗(yàn)����。通過(guò)在隔離瀏覽器中打開(kāi)可疑鏈接,用戶(hù)可以免受潛在的瀏覽器攻擊(包括惡意軟件����、零日和其他類(lèi)型的惡意代碼執(zhí)行)。
簡(jiǎn)而言之��,當(dāng)Email Link Isolation對(duì)網(wǎng)站的安全性不確定時(shí)顯示插頁(yè)�����,這提供了另一層防范釣魚(yú)攻擊的意識(shí)和保護(hù)�。然后,當(dāng)用戶(hù)決定繼續(xù)訪問(wèn)此類(lèi)網(wǎng)站時(shí)����,Cloudflare Browser Isolation用于防止惡意代碼執(zhí)行。
測(cè)試期間看到的情況
不出所料,用戶(hù)實(shí)際點(diǎn)擊重寫(xiě)鏈接的百分比非常?�。▋H為個(gè)位數(shù))���。這是因?yàn)榇蠖鄶?shù)這樣的鏈接并不是用戶(hù)所預(yù)期的消息����,并非來(lái)自他們信任的同事或合作伙伴���。所以�����,即使用戶(hù)點(diǎn)擊了這樣的鏈接���,他們通常也會(huì)看到插頁(yè),并決定不再繼續(xù)前進(jìn)����。我們看到,只有不到一半的點(diǎn)擊導(dǎo)致用戶(hù)真正訪問(wèn)了網(wǎng)站(在Browser Isolation中�,以防止可能在幕后執(zhí)行的惡意代碼)�����。
您可能想知道為什么我們?cè)谶@些重寫(xiě)的鏈接上沒(méi)有看到更多的點(diǎn)擊量。答案很簡(jiǎn)單����,對(duì)于可能繞過(guò)了其他防御層的攻擊手段而言,Email Link Isolation確實(shí)是最后一層保護(hù)���。實(shí)際上����,所有經(jīng)過(guò)精心設(shè)計(jì)�,旨在嘗試欺騙用戶(hù)點(diǎn)擊惡意鏈接的網(wǎng)絡(luò)釣魚(yú)攻擊,幾乎已經(jīng)被Area 1悉數(shù)阻止�����,此類(lèi)郵件無(wú)法到達(dá)用戶(hù)的收件箱���。
測(cè)試結(jié)果在安全防御和用戶(hù)體驗(yàn)上達(dá)到了令人滿(mǎn)意的平衡���。在生產(chǎn)中使用Email Link Isolation測(cè)試版的客戶(hù)中(其中包括一些財(cái)富500強(qiáng)公司),我們沒(méi)有收到用戶(hù)體驗(yàn)方面的負(fù)面反饋��。這意味著我們正在實(shí)現(xiàn)最具挑戰(zhàn)性的目標(biāo)之一——提供額外的安全性而不影響到用戶(hù),也不給SOC和IT團(tuán)隊(duì)增加調(diào)優(yōu)/管理負(fù)擔(dān)���。
我們發(fā)現(xiàn)了一件值得注意的事情�����,那就是客戶(hù)發(fā)現(xiàn)我們對(duì)短鏈接的點(diǎn)擊行為監(jiān)測(cè)是多么有價(jià)值���。一個(gè)被縮短的URL(例如bit.ly)可以在任何時(shí)候被修改以指向一個(gè)不同的網(wǎng)站,這讓我們的一些客戶(hù)感到焦慮����。Email Link Isolation在點(diǎn)擊行為觸發(fā)時(shí)檢查鏈接,評(píng)估它要打開(kāi)的實(shí)際網(wǎng)站����,然后繼續(xù)在本地打開(kāi)、阻止或顯示插頁(yè)���。我們正在開(kāi)發(fā)通過(guò)Email Link Isolation的完整鏈接縮短器覆蓋��。
完全基于Cloudflare全球網(wǎng)絡(luò)打造
Cloudflare的情報(bào)驅(qū)動(dòng)著有關(guān)重寫(xiě)哪些鏈接的決策���。我們掌握比其他供應(yīng)商更早的信號(hào)���。
Email Link Isolation基于Cloudflare在很多領(lǐng)域的獨(dú)特能力打造�����。
首先���,Cloudflare處理龐大的互聯(lián)網(wǎng)流量�����,能夠信心十足地識(shí)別出新/低可信度的潛在危險(xiǎn)域���,比其他任何人更早——利用Cloudflare情報(bào)以獲得這種早期信號(hào)是用戶(hù)體驗(yàn)的關(guān)鍵,從而不會(huì)給用戶(hù)日常訪問(wèn)的合法網(wǎng)站制造任何速度障礙�。其次,我們使用Cloudflare Workers來(lái)處理這些數(shù)據(jù)��,并在不給用戶(hù)帶來(lái)令人沮喪的延遲的情況下提供插頁(yè)���。最后���,只有Cloudflare Browser Isolation能夠防御惡意代碼�����,提供對(duì)最終用戶(hù)不可見(jiàn)的低延遲體驗(yàn)���,感覺(jué)與本地瀏覽器別無(wú)二致。
閩公網(wǎng)安備 35010202001226號(hào)
