电子邮件仍然是获取未授权访问公司系统和实施网络诈骗的最常用方法。更具体地说,有针对性的商业电子邮件泄露(BEC)攻击显然是一个突出的主要问题。与一个最近的调查这表明2017年第四季度有89%的组织报告了BEC攻击,这显然不是一种孤立的欺诈方法。以美元计算,这个联邦调查局估计自2013年以来,BEC攻击造成了超过120亿美元的损失。这使得BEC攻击最高的损失任何类型的网络犯罪。
美国证券交易委员会(SEC)清楚地认识到这一令人担忧的趋势,最近向其管辖范围内的所有公司发出通知,要求它们必须采取有效的电子邮件安全措施,否则可能面临罚款。的证券交易委员会报告是对九家上市公司的调查结果这些公司都是通讯欺诈的受害者。在这些案件中,受害者被伪装成公司高管或供应商的犯罪分子所愚弄。SEC估计,他们调查的公司在BEC欺诈中损失了大约1亿美元。
从整体来看,SEC的最新报告促成了一种新模式。在过去几年里,世界各地的政府机构已经开始直接处理电子邮件安全问题。监管机构首先建议安全控制,然后开始要求它们,从而导致执行。他们通常关注防范电子邮件欺骗和模仿的技术,这是BEC攻击中常用的战术。
当更新他们的电子邮件保安指引,美国国家标准与技术研究院(NIST)发表了《值得信赖的电子邮件”在2016年。NIST在声明中指出,所有美国联邦系统都应该对发送和接收的电子邮件进行充分的认证和验证。通过使用诸如防晒系数,DKIM,DMARC,政府机构可以确保电子邮件没有被欺骗。
然后在2017年,美国联邦贸易委员会(FTC)发布了类似的指导意见。他们的报告他总结道:“企业可以通过全面实施低成本、易得的电子邮件认证解决方案,帮助减少网络钓鱼邮件的数量,保护自己的声誉。”10bet中文网这就关闭了政府和商业实体之间的循环,双方都同意电子邮件认证是防止可能导致欺诈的假冒行为的关键防御手段。
美国国土安全部(DHS)在其类型的第一个要求中公布约束性操作指令(BOD) 18-01该法案规定了NIST的许多电子邮件安全准则。BOD 18-01为所有联邦机构设定了一个雄心勃勃的目标,即在一年内完全遵守DMARC“拒绝”政策。即使只有大约75%的机构在最后期限前都达标了在美国,他们的巨大努力可能会刺激类似的授权。
然而,美国并不是第一个强制实施全面电子邮件身份验证的政府。尽管英国的《2016-2021年国家网络安全战略》只提供了高水平的指导,但2016年,英国税务海关总署(HMRC)抢先一步,开始要求其所有电子邮件都进行完全认证。该指令明确指出,从它们的域名发送的电子邮件必须通过DMARC验证,本质上关闭了欺骗的大门。与美国国税局(IRS)类似,英国税务海关总署(HMRC)经常被伪装成针对英国公民的网络钓鱼攻击。作为衡量他们成功的标准,HMRC报道与该要求生效前相比减少了3亿次攻击。
荷兰标准化论坛也将DMARC移至他们的“遵守或解释的榜单。这一规定要求荷兰所有政府机构要么完全认证他们发送和接收的电子邮件,要么解释他们不能认证的原因。从“推荐”到“强制”列表的转变表明有效的防御已经足够成熟。
德国BSI(大致相当于NIST)虽然尚未成为监管要求,但公布了“电子邮件安全:互联网服务提供商的建议行动回到2014年。BSI列举了防止欺骗电子邮件攻击的必要技术。类似的指导澳大利亚网络安全中心(ACSC)在其“恶意电子邮件缓解策略”中发布。
随着基础的奠定,不久我们就会看到更多的指导方针成为需求。随着英国税务海关总署(HMRC)、国土安全部(DHS)和证券交易委员会(SEC)迈出这一大步,谁将成为下一个授权加强电子邮件安全的机构呢?
更多有关Proofpoint产品的资料:
订阅校正博客