硝烟后的茶歇 | 中睿天下谈攻防演练之邮件攻击溯源实战分享

近日，由中国信息协会信息安全专业委员会、深圳市CIO协会、PCSA安全能力者联盟主办的《硝烟后的茶歇·广东站》主题故事会在深圳成功召开。活动已连续举办四年四期，共性智慧逐步形成《年度红蓝攻防系列全景图》、《三化六防“挂图作战”》等共性研究重要成果。

此次会议邀请到了政府、金融、能源、央企等单位用户，以及PCSA实战专家进行了实战化案例故事分享，中睿天下自2016年以来连续参与演练，作为实战攻防经验丰富的网络安全企业受邀出席此次分享会，中睿天下技术经理徐丹丹以《攻防演练之邮件攻击溯源实战分享》的主题演讲，介绍了目前主流的钓鱼邮件攻防技术手段和思路以及实战攻防演练中如何针对钓鱼邮件攻击进行溯源、追踪和反制。

分享回顾

近年来，实战攻防演练已成为网络安全领域的一项重要活动，这一发展趋势的背后涵盖了多个关键因素，包括技术进步、网络威胁不断升级以及网络安全意识的提高。实战攻防演练有助于提高企业整体的安全防护水平，不仅可以检测潜在的漏洞，还有助于改进网络安全策略和协同反应机制。

现阶段，钓鱼邮件攻击方式在实战攻防演练中的应用逐渐增多。主要原因包括其低成本、高效率、被检测难度大、工具自动化程度高以及攻击者逐渐倾向于采用侧面攻击的策略。这些因素共同推动了钓鱼邮件攻击的兴起，使其成为网络安全威胁的前沿。持续增长的鱼叉式邮件攻击、新型攻击、ATO账号攻击、邮箱攻击利用等高级威胁手段给邮件网关为代表的传统邮件安全防护体系带来严峻的挑战。

中睿天下分享了两则具有代表性的钓鱼邮件溯源案例，包括利用软件0day漏洞和反调试、反沙箱、反虚拟机技术恶意样本实施钓鱼的攻击手段。同时，详细讲解了在实战攻防演练中针对钓鱼邮件进行监测溯源的技术手段及过程。

众所周知，钓鱼邮件攻击常利用各种社会工程学技巧，如诱导、恐吓和欺诈等手法，引导受害者采取操作。此外，攻击者还可能借助漏洞和技术手段，例如仿冒网站、特定恶意样本、0 day/N day漏洞等方式以增强攻击效果。因此在构建企业信息安全体系时，加强员工的安全意识也是防范钓鱼邮件攻击的重要战略之一。通过定期进行企业内部的钓鱼邮件攻击演练，有助于企业减少外部攻击或渗透攻击所带来的风险和损失。同时，员工可以更好地了解钓鱼攻击的手法和形式，增强对这类威胁的辨识和防范，从而提高企业内部人员的安全意识和反制能力。

中睿天下“睿眼·邮件攻击溯源系统”支持针对ATO攻击（账号接管）、暴力破解、新型漏洞攻击、APT邮件等高级邮件威胁手段进行事中精准监测、事后深度溯源的安全产品。同时，具备对抗反调试、反沙箱、反虚拟机技术的能力。通过沙箱动态行为分析技术，清晰的展示出恶意邮件中APT、0day、木马、病毒等恶意软件详细行为，为设备自动化还原攻击过程补充证据链条。“睿士·邮件钓鱼演练平台”是以超仿真邮件攻击为核心理念，从攻击者视角出发，模拟整个邮件攻击过程，支撑定期实施邮件钓鱼演练，提升企业内部员工安全意识，防范价值数据泄露、商业欺诈勒索，增强企业最后一道防线。

用户可通过平台发送多种主题和类型的钓鱼邮件，测试企业邮件网关对钓鱼邮件的识别能力，检测邮件安全防御能力薄弱点，针对薄弱点优化网关策略，增强网络防御体系建设。

ZORELWORLD

关于中睿天下

中睿天下成立于2014年，是以“实战对抗”为特点的能力价值型网络安全厂商，先后入选国家 “专精特新” 小巨人企业，福布斯中国“中国企业科技50强”、国家信息安全漏洞库（CNNVD）一级技术支撑单位等荣誉。

区别于传统防护理念，创新性提出网络“攻击溯源”理念。基于此技术理念研发的睿眼、睿云等系列产品及解决方案，深度契合网络安全运营中的强需求，有效解决网络安全运营中的实战对抗问题，得到客户的广泛应用及认可。截至目前，中睿天下已服务数百家行业客户，覆盖政府、能源、金融、国防、电信、交通、教育、医疗、互联网等重点行业。