Email Link Isolation——防御最新网络钓鱼攻击的安全网

电子邮件是企业每天使用的最普遍、也是被利用最多的工具之一。引诱用户点击电子邮件中的恶意链接是绝大多数恶意行为者的一种长期策略，无论是最老练的犯罪组织，还是初出茅庐的攻击者。

尽管这是用于获取帐户权限或实施欺诈的常见手段，但用户仍然被骗到点击恶意链接，进而被恶意利用。原因很简单：即使是受过充分培训的用户（和安全解决方案）也不一定能够区分无害链接和恶意链接。

最重要的是，保护员工邮箱通常会牵涉多个供应商、复杂的部署和巨大的资源消耗。

Email Link Isolation使Cloudflare Area 1成为防止网络钓鱼攻击领域最全面的电子邮件解决方案。它会重写可能被利用的链接，提醒用户他们即将访问的网站存在不确定性并保持警惕，并通过用户友好的Cloudflare Browser Isolation服务防范恶意软件和漏洞。同时，这个功能一键即可完成部署，符合Cloudflare的一贯风格。

防止欺诈链接

（迄今）数十位客户参加了测试，保护了超过100万个链接，我们现已清晰地看到这个解决方案可以实现的巨大价值和潜力。为了让这些安全优势惠及更多的客户，并持续扩展这项安全防御技术的多种应用方式，我们已推出Email Link Isolation的通用版本（GA）。

Email Link Isolation包含于Cloudflare Area 1 Enterprise计划中，无需额外费用，三个步骤即可启用：

1.登录到Area 1门户

2.进入“设置”（齿轮图标）

3.在“电子邮件配置”下，进入“电子邮件策略”>“链接操作”

4.滚动到Email Link Isolation并启用它

分层防御

随着威胁参与者不断寻找绕过每个安全措施的方法并开发更复杂的攻击，应用多层防御部署变得越来越重要。揭示这些不断发展演变的攻击手段最佳的案例便是延迟网络钓鱼攻击。在这种攻击中，当电子邮件到达你的电子邮件安全栈并最终进入用户的收件箱时，嵌入的URL是无害的，但会在投递后武器化。

为了对抗不断演变的电子邮件威胁，如恶意链接，Area 1不断更新其机器学习（ML）模型，以考虑所有潜在的攻击手段，并利用投递后扫描和撤回作为额外的防御层。现在，Enterprise计划客户还可以使用Email Link Isolation作为最后的防御措施——一张安全网。

成功增加安全保护层的关键是使用一个强大的Zero Trust套件，而非将来自多个供应商的不相关产品拼凑起来。用户需要在生产力不受干扰的情况下保证安全——否则他们将开始看到重要的电子邮件被隔离，或者在访问网站时遇到糟糕的体验，用不了多久这些用户便会无奈开始寻找绕过公司安全防御的方式访问网络。

不影响员工效率的安全防御方案

Email Link Isolation提供了一个额外的安全层，几乎不会破坏用户体验。它足够智能，可以判断哪些链接是安全的，哪些是恶意的，哪些仍然是可疑的。然后，这些可疑的链接会被更改（更准确而言是“重写”），Email Link Isolation会不断评估它们，直到得到一个高度可信的结论。当用户单击这些重写的链接时，电子邮件链接隔离会检查结论（良性或恶意）并采取相应的行动——良性链接在本地浏览器中打开，就像它们没有被更改一样，而恶意链接则完全被阻止打开。

最重要的是，当Email Link Isolation无法根据所有可用情报得出可信的结论时，会打开一个插页，要求用户格外警惕。插页提示该网站是可疑的，用户应避免输入任何个人信息和密码，除非他们知道并完全信任该网站。在过去几个月的测试中，我们发现超过三分之二的用户在看到插页后不再继续访问网站——这是一件好事!

对于那些在看到插页后仍想访问网站的用户，Email Link Isolation将使用Cloudflare Browser Isolation，在Cloudflare距离用户最近的数据中心运行的隔离浏览器中自动打开链接。得益于我们的网络矢量渲染（NVR）技术和Cloudflare广阔、低延迟的网络，这能提供与使用本地浏览器几乎无异的体验。通过在隔离浏览器中打开可疑链接，用户可以免受潜在的浏览器攻击（包括恶意软件、零日和其他类型的恶意代码执行）。

简而言之，当Email Link Isolation对网站的安全性不确定时显示插页，这提供了另一层防范钓鱼攻击的意识和保护。然后，当用户决定继续访问此类网站时，Cloudflare Browser Isolation用于防止恶意代码执行。

测试期间看到的情况

不出所料，用户实际点击重写链接的百分比非常小（仅为个位数）。这是因为大多数这样的链接并不是用户所预期的消息，并非来自他们信任的同事或合作伙伴。所以，即使用户点击了这样的链接，他们通常也会看到插页，并决定不再继续前进。我们看到，只有不到一半的点击导致用户真正访问了网站（在Browser Isolation中，以防止可能在幕后执行的恶意代码）。

您可能想知道为什么我们在这些重写的链接上没有看到更多的点击量。答案很简单，对于可能绕过了其他防御层的攻击手段而言，Email Link Isolation确实是最后一层保护。实际上，所有经过精心设计，旨在尝试欺骗用户点击恶意链接的网络钓鱼攻击，几乎已经被Area 1悉数阻止，此类邮件无法到达用户的收件箱。

测试结果在安全防御和用户体验上达到了令人满意的平衡。在生产中使用Email Link Isolation测试版的客户中（其中包括一些财富500强公司），我们没有收到用户体验方面的负面反馈。这意味着我们正在实现最具挑战性的目标之一——提供额外的安全性而不影响到用户，也不给SOC和IT团队增加调优/管理负担。

我们发现了一件值得注意的事情，那就是客户发现我们对短链接的点击行为监测是多么有价值。一个被缩短的URL（例如bit.ly）可以在任何时候被修改以指向一个不同的网站，这让我们的一些客户感到焦虑。Email Link Isolation在点击行为触发时检查链接，评估它要打开的实际网站，然后继续在本地打开、阻止或显示插页。我们正在开发通过Email Link Isolation的完整链接缩短器覆盖。

完全基于Cloudflare全球网络打造

Cloudflare的情报驱动着有关重写哪些链接的决策。我们掌握比其他供应商更早的信号。

Email Link Isolation基于Cloudflare在很多领域的独特能力打造。

首先，Cloudflare处理庞大的互联网流量，能够信心十足地识别出新/低可信度的潜在危险域，比其他任何人更早——利用Cloudflare情报以获得这种早期信号是用户体验的关键，从而不会给用户日常访问的合法网站制造任何速度障碍。其次，我们使用Cloudflare Workers来处理这些数据，并在不给用户带来令人沮丧的延迟的情况下提供插页。最后，只有Cloudflare Browser Isolation能够防御恶意代码，提供对最终用户不可见的低延迟体验，感觉与本地浏览器别无二致。

相关推荐: 携程旗下丽呈集团与英思达酒店合作 共建“峦玺电竞酒店”品牌携程旗下丽呈集团与英思达酒店合作 共建“峦玺电竞酒店”品牌

4月15日消息，携程旗下高端酒店集团丽呈集团近日与英思达酒店管理公司签署战略合作协议，“峦玺电竞酒店”品牌将正式加入丽呈集团联盟，双方将通过数字化、精细化运营体系，共同发展这一全新的电竞酒店品牌。 丽呈集团COO孙刚、平台发展中心总裁杨捷夫、平台商务渠道总经理…