钓鱼攻击之所以让人头大,本质上是因为钓鱼攻击作为社会工程学攻击方式的典型代表,利用的是人性的弱点。
这就导致了钓鱼攻击可以有无限种实施方式,一切利用人类心理(比如好奇、同情、贪婪、惯性思维等)的手段都可以用于钓鱼攻击,结合目标的特点提前构建钓鱼场景,就可以轻松达到获取目标信任和权限的攻击目的。
由于钓鱼攻击利用了人性的弱点,导致钓鱼攻击的防范异常困难,几乎只能靠提升安全意识的培训、以及对钓鱼投递的恶意程序进行检测来防御,面对防不胜防的钓鱼攻击,这些手段可谓收效甚微。
零信任理念的应用则给钓鱼攻击防护带来新的解题思路。
通过零信任构建围绕业务访问的三道安全防线
1、收缩业务暴露面、对业务访问进行持续验证,可以有效地降低因钓鱼攻击产生的业务入侵风险,先给攻击者一波拒绝三连。
2、扩展威胁诱捕能力,实现精准“鉴黑”。依托零信任的身份化能力,结合欺骗防御的新型技术思路,在用户终端和访问通道上喷洒多维度诱饵,对攻击者实施“反向钓鱼”,实现精准“鉴黑”,再给攻击者一波挠头三连。
3、主动威胁预警。依托身份化的关联分析和Right Data的精准感知能力,即可以点带面、以面及网地对明确的钓鱼攻击进行追溯,一网打尽潜在威胁,实现主动预警,最后给攻击者一波伤害三连。