阿里云優(yōu)惠券 先領(lǐng)券再下單

Check Point：企業(yè)如何應(yīng)對(duì)來自“合法域名”的釣魚郵件？

近期，一起利用云平臺(tái)官方能力實(shí)施的釣魚攻擊引發(fā)了安全行業(yè)的廣泛關(guān)注。Check Point 研究人員披露，攻擊者濫用 Google Cloud 的應(yīng)用集成功能，向企業(yè)用戶發(fā)送看似完全合法的通知郵件。這些郵件來自 @google.com 官方域名，內(nèi)容偽裝成語(yǔ)音留言提醒、文件訪問或權(quán)限授予請(qǐng)求，與企業(yè)日常辦公場(chǎng)景高度一致。

在短短兩周內(nèi)，攻擊者發(fā)送了數(shù)千封此類釣魚郵件，影響多個(gè)行業(yè)。與傳統(tǒng)釣魚攻擊不同的是，這次事件并未偽造域名、也未入侵系統(tǒng)，而是借助合法云服務(wù)能力完成攻擊分發(fā)。

合法等于安全？

從技術(shù)角度看，這次攻擊的關(guān)鍵并不在于“仿冒”，而在于濫用信任機(jī)制。這次釣魚攻擊鏈條呈現(xiàn)為多階段流程：用戶首先點(diǎn)擊托管在受信任云服務(wù)上的鏈接，隨后被引導(dǎo)至中間驗(yàn)證頁(yè)面，用以規(guī)避自動(dòng)化掃描，最終跳轉(zhuǎn)至偽造的登錄頁(yè)面，憑證在此階段被竊取。整個(gè)過程中，發(fā)件人地址、發(fā)件域名乃至初始鏈接都“看起來完全正常”。

這意味著，依賴發(fā)件人信譽(yù)或白名單的傳統(tǒng)郵件安全模型，正在逐步失效。當(dāng)攻擊混入真實(shí)業(yè)務(wù)流程，單點(diǎn)規(guī)則和靜態(tài)判斷已難以及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)。Google 在回應(yīng)中也明確表示，該事件源于對(duì)云工作流自動(dòng)化工具的濫用，而非其基礎(chǔ)設(shè)施被攻破，并已針對(duì)相關(guān)行為采取攔截和補(bǔ)救措施。這一回應(yīng)也從側(cè)面印證了一個(gè)現(xiàn)實(shí)：在云與自動(dòng)化成為常態(tài)的環(huán)境下，攻擊者無需“突破防線”，而是可以站在合規(guī)能力的邊緣行事。

長(zhǎng)期以來，企業(yè)郵件安全隱含著一個(gè)前提假設(shè)：可信域名，意味著可信郵件。但隨著企業(yè)對(duì)云服務(wù)、自動(dòng)化通知和協(xié)作平臺(tái)的依賴不斷加深，這一假設(shè)正在被現(xiàn)實(shí)挑戰(zhàn)。當(dāng)攻擊者能夠利用官方能力發(fā)送“合法郵件”，白名單不再是安全終點(diǎn)，而只是需要進(jìn)一步驗(yàn)證的起點(diǎn)。如果安全體系仍然將“來源合法”作為主要放行依據(jù)，那么一旦攻擊混入正常業(yè)務(wù)流量，風(fēng)險(xiǎn)就會(huì)被直接傳遞給終端用戶。

“預(yù)防為先”，保障安全

回到 Google Cloud 釣魚事件本身，可以發(fā)現(xiàn)一個(gè)共性特征：攻擊并非從明顯異常開始，而是嵌入到一條看似正常的業(yè)務(wù)流程中。在這種情況下，單點(diǎn)檢測(cè)難以奏效，真正有效的安全防護(hù)必須做到在大量看似正常的交互中，能夠識(shí)別其中隱藏的潛在風(fēng)險(xiǎn)。

這正是 Check Point 業(yè)內(nèi)領(lǐng)先的威脅情報(bào)系統(tǒng) ThreatCloud AI 價(jià)值所在。ThreatCloud AI 并不局限于某一次點(diǎn)擊或某一封郵件，而是通過整合全球威脅情報(bào)、用戶行為模式和 AI 分析結(jié)果，對(duì)釣魚攻擊常見的鏈?zhǔn)教卣鬟M(jìn)行關(guān)聯(lián)判斷。一旦全球任何一個(gè)端點(diǎn)識(shí)別出與該攻擊相關(guān)的惡意特征（如特定的惡意跳轉(zhuǎn)邏輯或誘餌文件指紋），ThreatCloud AI 會(huì)在秒級(jí)內(nèi)將這一情報(bào)同步給全球所有客戶。

Harmony Email：在郵件入口切斷攻擊鏈

在12月上旬，Check Point 憑借 Harmony Email & Collaboration 在Gartner 電子郵件安全魔力象限（Magic Quadrant for Email Security）中被評(píng)為領(lǐng)導(dǎo)者。這一最新發(fā)布的權(quán)威認(rèn)可，不僅印證了 Harmony 產(chǎn)品的技術(shù)實(shí)力，更標(biāo)志著其“API 級(jí)優(yōu)先”和“預(yù)防為先”的防御理念已成為行業(yè)公認(rèn)的黃金標(biāo)準(zhǔn)。

Harmony 之所以能獲此殊榮的關(guān)鍵在于：

1. API 級(jí)內(nèi)聯(lián)防御（Inline Protection）： 與傳統(tǒng)網(wǎng)關(guān)（SEG）不同，Harmony 通過 API 直接嵌入云辦公環(huán)境。它能在郵件抵達(dá)用戶收件箱的毫秒間隙進(jìn)行掃描和攔截。即便郵件來自 Google 或 Microsoft 的官方域名，只要包含惡意意圖，就會(huì)被 Harmony 拒之門外，徹底消除了用戶“手滑”誤點(diǎn)的風(fēng)險(xiǎn)；

2. AI 深度分析： Harmony 的核心 AI 引擎不只看“誰在發(fā)郵件”，更看“郵件在做什么”。針對(duì)此次 Google 案例中精密的“多重跳轉(zhuǎn)+假驗(yàn)證碼”手法，Harmony 能夠穿透?jìng)窝b，通過自然語(yǔ)言處理（NLP）分析郵件語(yǔ)調(diào)，并利用計(jì)算機(jī)視覺識(shí)別錯(cuò)誤的登錄頁(yè)面，精準(zhǔn)判定攻擊意圖。

3. 全方位覆蓋： 作為 Gartner 認(rèn)證的領(lǐng)導(dǎo)者，Harmony 的保護(hù)范圍不僅限于郵件，更延伸至 Teams、Slack、Google Drive 等協(xié)作工具，防止攻擊者利用受信用的內(nèi)部協(xié)作平臺(tái)進(jìn)行橫向移動(dòng)。

從這起 Google Cloud 釣魚事件可以看到，攻擊者正在利用企業(yè)最信任的基礎(chǔ)設(shè)施和流程。在這樣的環(huán)境下，盲目信任白名單已難以應(yīng)對(duì)日益復(fù)雜的釣魚攻擊。通過以 ThreatCloud AI 為中樞、以 Harmony Email 為代表的預(yù)防型郵件安全體系，在攻擊發(fā)生之前就將風(fēng)險(xiǎn)阻斷，正成為更穩(wěn)妥的選擇。當(dāng)“合法”不再等同于“安全”，預(yù)防為先，才是企業(yè)郵件安全真正可靠的答案。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！