具有欺騙性的Microsoft Office信標文件

張曉藝

現在來自世界各地的攻擊者經常會出現在網絡安全新聞的頭條上。但是，研究表明，組織中60 %的數據泄露和其他網絡攻擊實際上是由疏忽的內部人員實施的。根據波耐蒙研究所最近的一項研究，控制內部威脅平均需要72天的時間，擁有超過1000名員工的典型組織每年在內部事件后平均花費10萬美元清理。

各種因素有目的地誘使惡意內部人員：他們可能正在尋求報復遭受雇主的“虐待”，或者正在尋求回報以將機密信息出售給感興趣的競標者，或者正在尋求對自己或有同情心的第三方有經濟或政治利益的知識產權。內部人員可能根本不知道他們應該用來處理敏感信息或尋求更方便的數據訪問的安全協議，從而無意中為攻擊者提供了切入點。無論哪種方式，即使是擁有一整套部署了安全解決方案的受保護最多的組織，也仍然難以在數據離開組織之前識別并阻止內部人員。

內部威脅程序不足

安全策略顯然需要阻止惡意行為者，如果他們設法進入，則將其阻止。但內部人員是員工，從本質上來說，他們已經在外圍，并且可以信任地訪問一定數量的端點。此外，內部人員憑借對組織最有價值資產的專業知識洞察，通常比外部攻擊者更謹慎地進行操作。專注于外圍邊緣的安全措施將不適用于此類內部人員，并且由于他們的許多行動都將得到授權，因此基于行為來處理數據以顯示安全事件的解決方案不一定會抓住他們。

許多組織已將內部威脅計劃作為網絡安全策略的一部分，以防止和檢測內部威脅，避免意外數據泄漏，提高員工的意識并遵守國際和本地安全法規。這些程序是阻止員工成為內部威脅，檢測當前對組織構成風險的內部人員以及減輕內部人員所引起后續安全事件的第一步。

但是，沒有一個依靠員工行為分析或教育的內部威脅程序，無論設計得如何好，都不會永遠消除內部威脅。基于員工行為的檢測解決方案通常會產生大量誤報，浪費您的安全團隊的時間和資源。雖然員工教育可以幫助提高人們對內部人員過失或盜竊的潛在風險，但依賴于員工記住他們的培訓材料并不是全面或可靠的安全解決方案。畢竟，我們只是人類，容易犯錯誤，會有被誘惑、錯誤的記憶和分散注意力。沒有內部人員培訓計劃可預測員工可能犯的每一個潛在錯誤，也不能保證員工總是選擇最適合的方法，而不是非法獲得個人利益的方法。

利用正確的情報來捕獲內部人員：具有欺騙性的Microsoft Office信標文件

盡管如此，惡意內部人員通常需要潛入網絡，因為外部攻擊者會找到憑據和與他們未經授權訪問的系統和應用程序的連接，以竊取關鍵數據。欺騙性Microsoft Office信標文件是攻擊檢測系統解決方案的一項功能，可以對Word和Excel文檔進行信標，以便組織可以立即收集取證，了解何時有人嘗試從組織中的哪個計算機上未經授權訪問Office文檔，正在嘗試訪問Office文檔以及公開了哪些數據。在這種情況下，Office文檔的“信息化”意味著您的組織可以對其進行跟蹤，如果有人試圖在您的網絡上復制或者打開這些文件，則可以發送事件報告。

一旦在組織的網絡上訪問了信標辦公室文件，就會將Web請求發送到由我們預配置的陷阱IP地址，從而觸發有關事件的通知。在內部人員可以利用其企圖進行盜竊之前，及時進行識別和捕獲內部人員威脅特別有用。具有欺騙性的Microsoft Office信標文件可以輕松地大規模增強內部威脅的檢測，并且可以與組織的其他事件響應功能結合使用，以在檢測到惡意事件后隔離或隔離惡意內部人。

欺騙惡意內部人員揭露自己

欺騙性的Microsoft Office信標文件還使組織能夠創建偽造的Microsoft Word docx文件和Excel電子表格，這些文件可以自定義為看起來像組織端點上的任何其他Word或Excel文檔。使用專有的技術，可以自動創建帶有頁眉、頁腳和組織典型圖標的欺騙性文件，并將其分布在數千個端點的戰略位置，幾乎不會增加IT開銷。這些文件將以某種方式隱藏在端點上，以便只有正在尋找不應該在哪里的人才能找到它們。這可以防止欺騙性文件破壞正常業務，并提供高保真警告信號，因為只有惡意用戶才會嘗試查找和訪問這些文件。

Microsoft Word和Excel文檔通常包含憑據和其他機密信息，它們為內部和外部攻擊者提供了包含關鍵數據的機器，系統和應用程序橫向移動的密鑰。在許多情況下，攻擊者將使用惡意軟件自動執行此過程，該惡意軟件在網絡中抓取具有這些確切數據參數的文檔。為響應這種常見的攻擊趨勢，欺騙性Microsoft Office信標文件可以自動創建并包含攻擊者希望在此類文件的真實版本中發現的欺騙性數據，例如偽造的密碼列表。這進一步欺騙并浪費了攻擊者的時間，因為他們試圖利用此信息進行橫向移動。

欺騙性Microsoft Office信標文件將欺騙性攻擊面擴展到Microsoft Office文檔，幾乎每個組織都利用它來進行文字處理和表格數據存儲，以外科方式識別內部威脅，還迫使入侵者暴露自己。