虽然包藏病毒和勒索软件的电子邮件附件依然是一大威胁,大多数邮件攻击却已不再包含恶意软件。
9月上旬,火眼发布其《2018上半年电子邮件威胁报告》,指出其安全系统分析过的大部分电子邮件都有潜在风险。
火眼的分析基于其2018年1月到6月检测的5亿多封电子邮件样本, 其中仅32%的电子邮件流量可被视为“干净”,也就是说没有或仅有极少风险的“干净”邮件,被证实发送到了用户收件箱。不过,邮件“不干净”倒也未必意味着就存在恶意企图。火眼指出,电子邮件中包藏祸心的仅占1/101。
电子邮件不仅仅是最普遍的沟通形式,也是最常见的网络攻击方法。所以每家公司里电子邮件都是最大的漏洞。
Bagnall的言论有火眼数据支持:所有网络攻击中有91%都将电子邮件作为攻击入口。
至于火眼确定干净邮件百分比的方法,他们主要考虑的是连接和内容中的威胁指标。58%的电子邮件在连接层级就被阻挡了,在连接层面上,异常邮件流量根据恶意IP地址及已知恶意域名黑名单加以识别。另外10%的电子邮件是根据内容来阻止的,比如内含恶意附件、恶意软件URL或假冒欺诈信息。
无恶意软件攻击
欺诈攻击包含商业电子邮件欺骗(BEC),攻击者通过邮件诱骗公司企业支付虚假发票。FBI最新调查报告显示,自2013年10月以来的5年间,BEC攻击已在全球卷走125亿美元。
火眼将假冒伪装和BEC归到了同一类攻击中,称之为无恶意软件攻击:攻击与可执行文件或病毒没有直接关系。火眼报告揭示,其2018年上半年拦截的全部电子邮件中有90%都是无恶意软件的,仅10%包含了某种形式的恶意软件,比如勒索软件、病毒或间谍软件等。
进一步探究无恶意软件电子邮件的构成,火眼称,网络钓鱼攻击占据了81%,剩下19%则是假冒伪装攻击。
电子邮件攻击时间趋势
虽然任意日期任意时段都会遭到电子邮件攻击,火眼还是注意到了一些时间上的趋势。
报告中称,周五是假冒伪装攻击最频繁的日子。其他形式的无恶意软件电子邮件攻击多发于周四。而基于恶意软件的电子邮件攻击则最常在周一和周三到来。
《2018上半年电子邮件威胁报告》地址:
上一篇:SOC大改造
下一篇:漏洞管理的定义与最佳实践