Phishing bleibt Jahr für Jahr der wichtigste Erstzugriffsvektor für Cyberangriffe, einschließlich der verheerendsten Ransomware. Trotz der massiven Investitionen von Unternehmen in sichere E-Mail-Gateways konkurrieren Angreifer um ihren Einfallsreichtum. Sie nutzen kompromittierte legitime Adressen, Link-Verschleierungstechniken (URL-Rewriting) oder QR-Codes, um Spam-Filter zu vereiteln.
Sobald die E-Mail im Posteingang des Mitarbeiters landet, ist das Unternehmen einem einzigen Klick ausgeliefert. Um dieser Bedrohung entgegenzuwirken, müssen Security Operations Center (SOCs) in der Lage sein, die Infrastruktur, auf der diese gefälschten Anmeldeseiten gehostet werden, zu identifizieren und zu blockieren, bevor sie kompromittiert werden. Finden Sie heraus, wie die Integration vonGoogle Web-Risikorevolutioniert diesen Kampf.
Die Vergänglichkeit des modernen Phishing
Warum scheitern herkömmliche Blocker oft gegen Phishing? Aufgrund der extremen Volatilität der Kampagnen.
Ein moderner Angreifer erstellt keine einzige betrügerische Website (z. B.:faux-site-banque.com), um es monatelang online zu lassen. Die Infrastruktur ist auf Einwegnutzung ausgelegt. Der Hacker kauft 50 automatisch generierte Domainnamen oder nutzt kostenlose Hosting-Dienste. Es startet seine E-Mail-Kampagne, sammelt innerhalb weniger Stunden Passwörter und Sitzungstoken (Token-Diebstahl) und zerstört dann den Server oder verlässt ihn, bevor herkömmliche Sicherheitsdatenbanken überhaupt Zeit haben, die URL aufzulisten.
Was ist Google Web Risk (sicheres Surfen)?
Um Bedrohungen zu bekämpfen, deren Lebensdauer in Stunden gemessen wird, müssen wir uns auf riesige Datenbanken verlassen, die nahezu in Echtzeit aktualisiert werden.
Google Web-Risiko(das die Google Safe Browsing-Technologie in Chrome, Safari und Firefox unterstützt) scannt ständig Milliarden von URLs und IP-Adressen im Internet. Seine Algorithmen für maschinelles Lernen erkennen betrügerische Websites (Social Engineering), versteckte Malware und unerwünschte Software. Wenn eine URL als gefährlich identifiziert wird, wird sie sofort indiziert.
Proaktive Integration in das Akuity SOC
Wenn ein SOC-Analyst einen verdächtigen Klick erkennt oder eine von einem Benutzer in Microsoft Defender gemeldete E-Mail untersucht, stößt er auf eine URL oder IP-Adresse. Wenn es sich manuell beim Google Transparency Report-Portal anmelden muss, um jeden Link zu überprüfen, verliert es seine betriebliche Asymmetrie.
Im OrchestratorAkuity SOCDie Web-Risk-Überprüfung ist nativ in das IOCs-Untersuchungsmodul (Indicators of Compromise) integriert.
Quellen kreuzen (automatisiertes OSINT)
Wenn eine IP-Adresse oder ein Domänenname an die Konsole übermittelt wird, prüft die Anwendung nicht nur AlienVault OTX. Gleichzeitig wird die Google Web Risk API abgefragt.
Wenn die Infrastruktur als Host für Phishing erkannt wird, wird die Radial-Score-Anzeige der Schnittstelle sofort auf „kritisch“ rot. Die von der Gemini-KI generierte Analysenotiz zeigt eine eindeutige Meldung an:
„Aktive Phishing-Erkennung oder Google Safe Browsing/Web Risk Reporting auf dieser Infrastruktur.“
Sofortige Sperrung (SOAR Remediation)
Der Analyst hat nun die absolute Gewissheit, dass es sich um eine Phishing-Kampagne handelt. Das Ziel besteht nicht mehr nur darin, die E-Mail zu löschen, sondern alle Mitarbeiter zu schützen, die sie bereits erhalten haben oder auf den Link aus einer anderen Quelle (z. B. Teams Instant Messaging) klicken könnten.
Im Akuity-Ticket-Panel klickt der Analyst auf die Aktion„IOC blockieren“(blockIocOnTenant). Nach der MFA-Validierung (AAL2-Ebene) sendet SOAR die Anweisung über die API an Microsoft Defender für Endpunkt. Der Zugriff auf diesen Domänennamen oder diese IP-Adresse wird sofort und weltweit auf Browser- und Unternehmensnetzwerkebene (über Defender Network Protection) verboten.
Fazit: Intelligenz zum Handeln
Phishing ist ein Rennen. Eine so leistungsstarke Threat Intelligence-Datenbank wie Google Web Risk ist nur dann von Interesse, wenn sie direkt mit Ihrer Remediation Engine (SOAR) verbunden ist. Indem Sie die Auswertung von Links automatisieren und deren Blockierung mit einem Klick ermöglichen, schützen Sie Ihre Mitarbeiter physisch vor Social Engineering, selbst wenn die Perimeterverteidigung versagt hat.
Schützen Sie Ihre Mitarbeiter vor bösartigen Links.> Finden Sie heraus, wie das Tool funktioniertBewerten Sie die IP-Reputation mithilfe von AlienVault und Web RiskAkuity SOC beschleunigt Ihre Reaktion auf Phishing-Vorfälle.