商業電子郵件犯罪 （BEC） 是指沒有有效載荷的所有類型的電子郵件攻擊。盡管有多種類型，但攻擊者利用 BEC 技術滲透組織的主要機制主要有兩種：欺騙和帳戶接管攻擊。

　　在最近的一項研究中，71% 的組織承認他們在過去一年中遇到了企業電子郵件泄露 （BEC） 攻擊。43% 的組織在過去 12 個月內經歷過安全事件，35% 的組織表示商業電子郵件犯罪/網絡釣魚攻擊占事件的 50% 以上。

　　FBI 的互聯網犯罪投訴中心 （IC3） 報告稱，BEC 詐騙是 2020 年企業經濟損失最大的網絡攻擊，有 19369 起投訴，調整后損失約為 18 億美元。最近的 BEC 攻擊包括對 Shark Tank 主機 Barbara Corcoran 的欺騙攻擊，損失了 380,000 美元；波多黎各政府的損失金額達 400 萬美元，日本媒體巨頭 Nikkei 根據欺詐性電子郵件中的要求已經轉移了 2900 萬美元。

　　為了阻止 BEC 攻擊，組織必須專注于更嚴格的轉賬流程、數據的安全、員工和技術的統一。

　　更嚴格的轉賬流程

　　每個組織的財務部門都有財務支出授權政策，該政策為保護公司資產的任何財務支出/付款設立了明確的批準級別。

　　雖然所有財務支出/付款都應是批準預算的一部分，但該政策為財務部門提供了一種工具，以確保每筆付款均由正確的個人或個人根據金額授權。

　　在某些情況下，公司的 CEO 或總裁在要求付款時被授予無限權力。攻擊者意識到這一點，這就是為什么他們欺騙高級主管個人的電子郵件帳戶。

　　鑒于當前的網絡安全形勢，財務部門應重新評估該政策，以制定更嚴格的流程。這可能意味著需要對通過支票、網絡轉賬或任何其他渠道支付的主要財務支出進行多次授權，以確保付款請求是合法的，它還可以說明如何獲得電子授權。

　　例如，如果財務部門的某個人收到 CEO 要求網絡轉賬的電子郵件，則處理該請求的管理員需要遵循公司政策以獲得額外的批準，包括將電子郵件發送到預先批準的傳播列表以獲得電子批準以及通過電話確認。財務支出金額決定了誰可以簽署和共同簽署，這基于組織的風險偏好。

　　作為 IT 團隊的一員，網絡安全主管應該與財務部門溝通，解釋 BEC 和其他欺騙攻擊是如何發生的。提供最近 BEC 攻擊的真實示例，并集思廣益，以便公司會采取更有針對性的方式來阻止攻擊。基于這些例子，財務部門應該重新評估當前的政策，考慮到網絡安全欺騙和 BEC。

　　數據的安全

　　近幾個月來，擴展檢測和響應（XDR）已成為安全供應商和分析人員的一個突出話題。與大多數傳統 SIEM 部署一樣，早期的 XDR 客戶一直在努力平衡投入和產出的關系。事實上，大多數企業尚未充分考慮與某些供應商 XDR 解決方案所需的數據收集和分析相關的成本和產出的關系。本文就讓我們詳細地了解一下這些挑戰，并考慮 SentinelOne 如何通過解決威脅XDR 的最大和最復雜的障礙——大規模數據管理，來徹底改變 XDR 碰到的安全困局。

　　數據呈指數增長。IDC預測，到2025年，全球存儲的數據總量將達到175ZB！這比 2018 年 （33ZB） 增長了 5 倍。對于那些停止以千兆字節計算的人來說，1 澤字節等于 1 萬億 GB。但是這些數據是如何分解的？這些數據中有多少可以用于提供更好的安全決策，以確保企業免受有針對性的攻擊？在預測的 175ZB 中，大約 85% 是企業和或公共云數據存儲。更重要的是，IDC 預測，到 2025 年，多達 30% 的數據將被歸類為自終端和物聯網設備的追蹤分析數據。對于希望通過利用豐富的數據來改善其安全狀況的企業來說，這既是一個巨大的挑戰，也是一個機遇。數據本身是沒有用的，數據必須經過上下文化和分析才能成為信息。基于同樣的理解，我們知道只有當我們在多個信息點之間應用有意義的聯系，將情境化的數據組合成可操作的結果時，信息才會成為知識。因此，沒有背景的數據往往是多余的。

　　有效的數據管理。如今，大多數企業都會生成大量數據，包括來自用戶、設備、應用程序和傳感器的活動日志。如果沒有相應的記錄，就不會發生任何重要的事情。這通常采用日志或事件的形式：描述實體、操作、屬性和可能的響應條件的事務性消息。遙測技術的其他形式可以包含包含采樣或匯總測量的簡單度量。

　　信息安全告訴我們，即使是最無害和平庸的數據集也可能以某種方式與調查或惡意檢測的范圍相關。Singularity ActiveEDR/XDR 利用 SentinelOne 獲得專利的 Storyline 技術的獨特功能，將不同的安全事件拼接成一個單一的時間線和攻擊可視化，并在可能的情況下使用 MITRE ATT&CK 技術歸因以及攻擊者的詳細信息。

　　員工

　　所有公司員工都必須接受培訓，了解網絡安全攻擊是什么樣的，做什么，不做什么，而且這種培訓應該持續進行，因為網絡安全形勢變化如此之快。

　　財務部門的員工或任何有權以任何形式支付資金的人都應該接受有關 BEC 和其他欺騙攻擊的培訓。

　　需要強調的是，這些攻擊中有許多采取來自高層管理人員的電子郵件形式，它們往往是“緊急”請求，有時該請求是在營業結束前幾分鐘發送的，需要立即付款。通過此培訓，再加上要求所有員工遵守財務支出授權政策，公司應該能夠阻止 BEC 攻擊。

　　許多公司購買保險來支付這些 BEC 損失，但沒有組織可以確定承運人會支付。例如，貿易公司 Virtu Financial公司在 BEC 騙局中損失了 690 萬美元，但他們的保險公司 Axis Insurance 拒絕付款，聲稱“未經授權訪問 Virtu 的計算機系統不是損失的直接原因，而是由Virtu 員工的單獨行為造成的，因為他們相信要求轉移資金的‘欺騙性’電子郵件是真實的。”

　　Virtu Financial公司已對 Axis Insurance 提出投訴，稱其因拒絕為網絡攻擊提供保險而違反合同。

　　技術

　　下一代先進的網絡安全技術可以幫助阻止任何電子郵件威脅，包括垃圾郵件、網絡釣魚、BEC 和后續攻擊、高級持續性威脅 （APT） 和攻擊漏洞的零日漏洞。

　　這些類型的解決方案包括：

　　一個反垃圾郵件引擎，通過反垃圾郵件和基于信譽的過濾器阻止惡意通信；

　　一個反網絡釣魚引擎，用于檢測惡意 URL 并在到達最終用戶之前阻止任何類型的網絡釣魚攻擊；

　　一個反欺騙引擎，可防止無載荷攻擊，例如欺騙、相似域和顯示名稱欺騙；

　　反逃避技術通過遞歸地將內容解包成更小的單元（文件和 URL）來檢測惡意隱藏內容，然后由多個引擎在幾秒鐘內動態檢查；

　　機器智能 （MI） 和自然語言處理 （NLP） 以檢查內容和上下文中是否與規范有偏差，例如識別異常書寫風格、可能表示惡意活動的關鍵詞、奇怪的 IP 地址、地理位置、時間等；檢測以防止高級威脅和零日攻擊。

　　對最終用戶進行臨時電子郵件分析，以便在采取魯莽行動之前識別可疑電子郵件。

　　最終用戶上下文幫助基于策略和規則使用可定制的橫幅標記電子郵件，為最終用戶提供額外的上下文信息并提高他們的安全意識。

　　該解決方案應該能夠檢測并阻止欺騙和帳戶接管攻擊，其中攻擊者可以訪問合法的電子郵件帳戶并試圖進一步進入網絡。