网络钓鱼仍然是一种流行的攻击媒介，攻击者有各种动机——从政治动机到金融动机。根据Verizon 2019年数据泄露调查报告，32%的被调查违规涉及网络钓鱼。大多数组织几乎每天都要处理这种威胁，这使得这些事件的自动分类成为安全程序成熟的一个重要部分。在这篇文章中，我们将讨论Auth0自动化网络钓鱼的方法，希望它能帮助其他组织应对这种近乎普遍的威胁。phishing@auth0.comAuth0将Auth0.com的电子邮件地址仿冒用作"滥用"收件箱。我们鼓励客户和公众向此地址举报他们收到的与Auth0有关的可疑电子邮件。此外，Auth0的所有员工都要接受培训，将他们收到的可疑电子邮件报告到此滥用收件箱。在Auth0的婴儿期，每一封发送到滥用收件箱的电子邮件都是手工分析的。安全工程师会检查邮件正文和邮件头，从邮件正文中复制URL并在各种智能工具中进行分析，并将可疑附件（或其哈希值）上载到各种沙盒中。如果报告的电子邮件代表真正的威胁，则执行补救过程。这很有效；但是，随着Auth0开始增长，Auth0.com上钓鱼的报告量也在增加。电子邮件分析工作变得很费时，并且分散了我们对其他影响更大的活动的注意力。换句话说，它是安全自动化的完美用例。安全自动化在Auth0，我们非常依赖安全自动化，以确保在执行重复的手动任务时不会浪费宝贵的周期。在这方面，我们与安全自动化公司Tines合作。从我们的检测堆栈发出的每个警报，无论是来自SIEM、GuardDuty还是我们构建的定制工具，都首先经过Tines，在那里对它进行丰富、优先和标记。我们还使用TINE来自动化网络钓鱼响应。自动网络钓鱼响应在大多数情况下，我们的自动网络钓鱼响应故事直接映射到我们以前的手动流程，包括以下高级步骤：获取电子邮件数据并提取指标创建跟踪记录单分析指标确定电子邮件是否代表真正的威胁良性病例关闭如果真阳性，则进行补救步骤1：获取电子邮件数据并提取IOC第一步是阅读所有发送到我们的虐待收件箱的电子邮件。我们用GSuite的gmailapi来实现。一旦我们有了电子邮件内容，我们就可以提取所有的url和附件并开始分析它们。我们还递归地打开和提取妥协指标（IOC）从EML文件附加到最初报告的电子邮件。第2步：创建跟踪记录单我们在我们的案例管理系统中跟踪并记录每一封被报告到我们的虐待收件箱的电子邮件。这不仅使我们能够跟踪报告的电子邮件数量，而且还允许我们存储指标，以备将来参考和以后的威胁搜索。第3步-分析指标自动化指标分析的一个关键好处是，我们可以利用许多不同的情报来源，而不必担心浪费分析师的宝贵时间。在我们的网络钓鱼自动化案例中，我们分析了以下网址：全部URL扫描.io乌尔豪斯菲什塔克菲什·艾Protip：当向公共沙盒提交URL时，请记住首先从URL参数中编辑敏感信息，不要提交可用于重置密码等的链接。Tines允许我们轻松地添加和删除智能源，并使用不同的沙盒组合进行实验，而不必更改自动化故事的核心流程。第4步：确定电子邮件是否代表真正的威胁一旦我们分析了所有不同的情报来源和沙箱中的一个URL或附件，我们将使用综合结果来确定该URL是否代表一个合法的威胁，是否应该向人类工程师进行补救/升级，或者它是否是一个假阳性，我们可以忽略它。在做这个决定的过程中有一些秘密的技巧，当我们的需求适应时，我们会定期改变使用的标准。第五步：良性病例结案如果我们已经确定与电子邮件相关的所有指标都是良性的，我们会在我们的案例管理系统中更新票据，并且不会采取进一步的措施。步骤6：如果真阳性，则进行补救但是，如果我们确定报告的电子邮件代表真正的威胁，我们将执行一些自动修复操作。同样，这些行动经常发生变化，但包括以下内容：清除所有员工收件箱中的电子邮件扫描端点日志以确定是否有员工访问了恶意域/URL，或下载/执行了恶意文件主动与InfoSec社区中值得信赖的同行共享指标隔离我们认为可能被感染的设备联系访问和/或与恶意内容交互的用户，并向他们提供减轻任何损害所需的下一步步骤重置可能受损的凭据同样，对于所采取的每一步，都会收集证据并将其添加到我们的案例管理系统中的相关记录单中。这样可以确保对所采取的每个操作都有完整的书面记录。摘要安全意识、电子邮件沙箱和强大的多因素身份验证都在我们对网络钓鱼响应的深度防御方法中发挥了作用。然而，员工和客户可以报告可疑电子邮件的滥用收件箱是不可或缺的资源，它提供了对正在发生和正在出现的网络钓鱼攻击的重要洞察。通过自动对我们的滥用收件箱进行分类，我们的安全工程师可以专注于更具影响力的活动，如威胁搜索和改进或检测逻辑。关于Auth0Auth0为应用程序、设备和用户提供了一个验证、授权和安全访问的平台。安全性和应用程序团队依赖Auth0的简单性、可扩展性和专业知识，使身份对每个人都有效。Auth0每月维护超过45亿次登录交易，确保身份安全，从而使创新者能够进行创新，并使全球企业能够为其全球客户提供可靠、卓越的数字体验。更多信息，请访问https://auth0.com或在Twitter上关注@auth0。Auth0文档在几分钟内实现身份验证OAuth2和OpenID连接：专业指南获取免费电子书！.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，0，0.85）；z-指数：9999999；线高：0；光标：指针；}.灯箱图像{光标：指针；余量：0自动；显示：块；}.灯箱图像{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：100%；最大高度：100%；}@媒体屏幕和（最小宽度：1200像素）{.灯箱图像{最大宽度：1200px；}}@媒体屏幕和（最小高度：1200像素）{.灯箱图像{最大高度：1200px；}}.灯箱跨度{显示：块；位置：固定；底部：13px；高度：1.5em；线路高度：1.4em；宽度：100%；文本对齐：居中；颜色：白色；文本阴影：-1px-1px 0#000，1px-1px 0#000，-1px 1px 0#000，1件1件0万件；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；字号：18px；}.lightbox.videowrapper容器{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：900px；最大高度：100%；}.lightbox.videoWrapperContainer.videoWrapper容器{高度：0；线高：0；余量：0；填充：0；职位：亲属；填充底部：56.333%；/*自定义*/背景：黑色；}.lightbox.videoWrapper iframe{位置：绝对；顶部：0；左：0；宽度：100%；高度：100%；边框：0；显示：块；}.lightbox上一页，.lightbox下一个{高度：50px；线高：36px；显示：无；顶部边缘：-25px；位置：固定；顶部：50%；填充：0 15px；光标：指针；文字装饰：无；z指数：99；颜色：白色；字号：60px；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；}.灯箱画廊#上一页，.灯箱画廊#下一个{显示：块；}.lightbox上一页{左：0；}.lightbox下一个{右：0；}.lightbox关闭{高度：50px；宽度：50px；位置：固定；光标：指针；文字装饰：无；z指数：99；右：0；顶部：0；}.灯箱#结束：之后,.灯箱#关闭：之前{位置：绝对；顶部边缘：22px；左边距：14px；内容：""；高度：3px；背景：白色；宽度：23px；-webkit转化来源：50%50%；-moz转化来源：50%50%；-o-转化原点：50%50%；转化来源：50%50%；/*狩猎*/-webkit变换：旋转（-45度）；/