订阅以接收新文章的通知:

Email Link Isolation —— 防御最新网络钓鱼攻击的安全网

2023-01-11

5 分钟阅读时间
这篇博文也有 EnglishDeutsch日本語EspañolFrançais版本。

电子邮件是企业每天使用的最普遍、也是被利用最多的工具之一。引诱用户点击电子邮件中的恶意链接是绝大多数恶意行为者的一种长期策略,无论是最老练的犯罪组织,还是初出茅庐的攻击者。

Email Link Isolation: your safety net for the latest phishing attacks

尽管这是用于获取帐户权限或实施欺诈的常见手段,但用户仍然被骗到点击恶意链接,而这往往会导致利用。原因很简单:即使是受过充分培训的用户(和安全解决方案)也不一定能够区分无害链接和恶意链接。

最重要的是,保护员工邮箱通常会牵涉多个供应商、复杂的部署和巨大的资源消耗。

Email Link Isolation 使 Cloudflare Area 1成为防止网络钓鱼攻击领域最全面的电子邮件解决方案。它会重写可能被利用的链接,提醒用户他们即将访问的网站存在不确定性并保持警惕,并通过用户友好的 Cloudflare Browser Isolation 服务防范恶意软件和漏洞。同时,这个功能一键即可完成部署,符合 Cloudflare 的一贯风格。

防止欺诈链接

(迄今)数十位客户参加了测试, 保护了超过 100 万个链接,我们现已清晰地看到这个解决方案可以实现的巨大价值和潜力。为了将这些好处扩展到更多的客户,并继续扩大我们可以应用这项技术的多种方式, 我们将从今天起使 Email Link Isolation 普遍可用 (GA)

Email Link Isolation 包含于 Cloudflare Area 1 Enterprise 计划中,无额外费用,三个步骤即可启用:

1. 登录到 Area 1 门户。

2. 进入“设置”(齿轮图标)

3. 在“电子邮件配置”下,进入“电子邮件策略” > “链接操作”

4. 滚动到 Email Link Isolation 并启用它

分层防御

随着威胁参与者不断寻找绕过每个安全措施的方法并开发更复杂的攻击,应用多层防御变得越来越重要。展示这些不断发展的技术的一个最佳例子是延迟网络钓鱼攻击。在这种攻击中,当电子邮件到达你的电子邮件安全栈并最终进入用户的收件箱时,嵌入的 URL 是无害的,但会在投递后武器化。

为了对抗不断演变的电子邮件威胁,如恶意链接,Area 1 不断更新其机器学习(ML)模型,以考虑所有潜在的攻击手段,并利用投递后扫描和撤回作为额外的防御层。现在,Enterprise 计划客户还可以使用 Email Link Isolation 作为最后的防御措施——一张安全网。

Timeline of events, where a legitimate webpage is initially set up and linked to. A few days later, once the email has been identified as benign and delivered to the end users, the webpage is then weaponized.

成功增加安全保护层的关键是使用一个强大的 Zero Trust 套件,而非将来自多个供应商的不相关产品拼凑起来。用户需要在生产力不受干扰的情况下保持安全——否则他们将开始看到重要的电子邮件被隔离,或者在访问网站时遇到糟糕的体验,很快就会成为绕过公司安全措施的人。

为避免影响生产力而打造

Email Link Isolation 提供了一个额外的安全层,几乎不会破坏用户体验。它足够智能,可以判断哪些链接是安全的,哪些是恶意的,哪些仍然是可疑的。然后,这些可疑的链接会被更改(更准确而言是“重写”),Email Link Isolation 会不断评估它们,直到得到一个高度可信的结论。当用户单击这些重写的链接时,电子邮件链接隔离会检查结论(良性或恶意)并采取相应的行动——良性链接在本地浏览器中打开,就像它们没有被更改一样,而恶意链接则完全被阻止打开。

最重要的是,当 Email Link Isolation 无法根据所有可用情报得出可信的结论时,会打开一个插页,要求用户格外警惕。插页提示该网站是可疑的,用户应避免输入任何个人信息和密码,除非他们知道并完全信任该网站。在过去几个月的测试中,我们发现超过三分之二的用户在看到插页后不再继续访问网站——这是一件好事!

对于那些在看到插页后仍想访问网站的用户,Email Link Isolation 将使用 Cloudflare Browser Isolation,在 Cloudflare 距离用户最近的数据中心运行的隔离浏览器中自动打开链接。得益于我们的网络矢量渲染(NVR)技术和 Cloudflare 广阔、低延迟的网络,这能提供与使用本地浏览器几乎无异的体验。通过在隔离浏览器中打开可疑链接,用户可以免受潜在的浏览器攻击(包括恶意软件、零日和其他类型的恶意代码执行)。

简而言之,当 Email Link Isolation 对网站的安全性不确定时显示插页,这提供了另一层防范钓鱼攻击的意识和保护。然后,当用户决定继续访问此类网站时,Cloudflare Browser Isolation 用于防止恶意代码执行。

测试期间看到的情况

不出所料,用户实际点击重写链接的百分比非常小(仅为个位数)。这是因为大多数这样的链接并不是用户所预期的消息,并非来自他们信任的同事或合作伙伴。所以,即使用户点击了这样的链接,他们通常也会看到插页,并决定不再继续前进。我们看到,只有不到一半的点击导致用户真正访问了网站(在 Browser Isolation 中,以防止可能在幕后执行的恶意代码)。

您可能想知道为什么我们在这些重写的链接上没有看到更多的点击量。答案很简单,对于可能绕过了其他防御层的攻击手段而言,Email Link Isolation 确实是最后一层保护。实际上,所有经过精心设计,旨在尝试欺骗用户点击恶意链接的网络钓鱼攻击,几乎已经被 Area 1 悉数阻止,此类邮件无法到达用户的收件箱。

metrics we are adding for Email Link Isolation show total user clicks and percentage that didn’t proceed past the interstitial, opened the link with Cloudflare Browser Isolation, or directly
additional info on Email Link Isolation usage shows the recipient of the email message, the links clicked, and actions

这个平衡非常积极。在生产中使用 Email Link Isolation 测试版的客户中(其中包括一些财富 500 强公司),我们没有收到用户体验方面的负面反馈。 这意味着我们正在实现最具挑战性的目标之一 —— 提供额外的安全性而不影响到用户,也不给 SOC 和 IT 团队增加调优/管理负担。

我们发现了一件值得注意的事情,那就是客户发现我们对短链接的点击时检查是多么有价值。一个被缩短的 URL (例如 bit.ly) 可以在任何时候被修改以指向一个不同的网站,这让我们的一些客户感到焦虑。Email Link Isolation 在点击时检查链接,评估它要打开的实际网站,然后继续在本地打开、阻止或显示插页。我们正在开发通过 Email Link Isolation 的完整链接缩短器覆盖。

完全基于 Cloudflare 打造

Cloudflare 的情报驱动着有关重写哪些链接的决策。我们掌握比其他供应商更早的信号。

Email Link Isolation 基于 Cloudflare 在很多领域的独特能力打造。

首先,Cloudflare 处理庞大的互联网流量,能够信心十足地识别出新/低可信度的潜在危险域,比其他任何人更早——利用 Cloudflare 情报以获得这种早期信号是用户体验的关键,从而不会给用户日常访问的合法网站制造任何速度障碍。其次,我们使用 Cloudflare Workers 来处理这些数据,并在不给用户带来令人沮丧的延迟的情况下提供插页。最后,只有 Cloudflare Browser Isolation 能够防御恶意代码,提供对最终用户不可见的低延迟体验,感觉与本地浏览器别无二致。

如果您还不是 Cloudflare Area 1 客户,请在此开始免费试用和钓鱼风险评估。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
CIO WeekZero Trust安全性Cloud Email SecurityEmailRemote Browser IsolationSASE

在 X 上关注

João Sousa Botto|@jsbotto
Cloudflare|@cloudflare

相关帖子

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...