信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

電子郵件是企業(yè)溝通和信息傳遞最重要的手段，調(diào)查數(shù)據(jù)顯示，有80%以上辦公文檔、95%以上的企業(yè)業(yè)務(wù)數(shù)據(jù)都在通過(guò)電子郵件傳遞和共享。但是由于企業(yè)郵件服務(wù)器端口對(duì)外開(kāi)放、合法賬號(hào)發(fā)送郵件缺乏限制、企業(yè)郵件安全管理能力不足、郵件內(nèi)容敏感性高等特點(diǎn)，導(dǎo)致企業(yè)電子郵件應(yīng)用系統(tǒng)已成為APT攻擊和社會(huì)工程學(xué)攻擊的主要目標(biāo)和入口，對(duì)其進(jìn)行針對(duì)性的保護(hù)迫在眉睫。

郵件安全的主要威脅

郵件釣魚(yú)是一種最常見(jiàn)的郵件攻擊形式，大多數(shù)網(wǎng)絡(luò)安全事件都始于網(wǎng)絡(luò)釣魚(yú)電子郵件。一些看似合規(guī)的普通電子郵件卻可能會(huì)導(dǎo)致公司范圍內(nèi)的業(yè)務(wù)中斷、關(guān)鍵數(shù)據(jù)泄漏以及數(shù)百萬(wàn)的財(cái)務(wù)損失。

而對(duì)于企業(yè)的整體郵件安全威脅而言，郵件釣魚(yú)只是其中的一種，還包括垃圾郵件、木馬病毒、數(shù)據(jù)竊取、郵箱劫持、拒絕服務(wù)攻擊等多種形式。做好郵件安全防護(hù)的關(guān)鍵是要深入了解網(wǎng)絡(luò)攻擊者的行為模式，并持續(xù)監(jiān)控和分析其活動(dòng)以預(yù)測(cè)未來(lái)的攻擊。

電子郵件安全風(fēng)險(xiǎn)

安全牛《電子郵件應(yīng)用系統(tǒng)安全研究報(bào)告》研究發(fā)現(xiàn)：目前企業(yè)電子郵件應(yīng)用系統(tǒng)面臨的攻擊已經(jīng)從原始的單兵作戰(zhàn)模式發(fā)展到了多兵種聯(lián)合作戰(zhàn)的模式，攻擊者擁有更強(qiáng)的滲透能力和更大的破壞能力。攻擊者在核心利益的驅(qū)動(dòng)下，攻擊觸角正在四散蔓延，數(shù)據(jù)泄漏、系統(tǒng)提權(quán)、身份盜用和拒絕服務(wù)等攻擊手段可以被不斷整合，形成復(fù)合型、體系化、流程化的攻擊方法。

郵件安全的防護(hù)策略

面對(duì)郵件安全威脅，企業(yè)需要采取“人+技術(shù)+流程”多管齊下的安全措施，才能有效保障企業(yè)電子郵件應(yīng)用的安全。企業(yè)在開(kāi)展電子郵件系統(tǒng)安全建設(shè)時(shí)，需要從以下維度全面思考：

•規(guī)范安全管理措施和運(yùn)行要求，加強(qiáng)安全意識(shí)培訓(xùn)，培養(yǎng)安全思維；

•普及并強(qiáng)化數(shù)據(jù)保密性建設(shè)，從破譯難度和性?xún)r(jià)比兩方面打擊犯罪分子積極性；

•通過(guò)對(duì)電子郵件數(shù)據(jù)泄漏的綜合防控，加大內(nèi)容檢測(cè)力度，豐富內(nèi)容檢測(cè)方法，降低數(shù)據(jù)安全風(fēng)險(xiǎn)；

•強(qiáng)化系統(tǒng)身份認(rèn)證的安全措施，控制非授權(quán)訪(fǎng)問(wèn)并防御社會(huì)工程學(xué)攻擊；逐步形成自適應(yīng)的閉環(huán)安全架構(gòu)；

•由被動(dòng)防護(hù)的思想逐漸轉(zhuǎn)向智能防控的思想，打通安全信息流，增加威脅預(yù)測(cè)能力，有效減輕未知風(fēng)險(xiǎn)。

•由被動(dòng)防護(hù)體系逐漸轉(zhuǎn)向主動(dòng)協(xié)同防御體系，提升威脅逆向分析能力，建立攻擊圖譜，為智能防控和有效打擊犯罪分子提供重要支撐。

從郵件安全技術(shù)的實(shí)際應(yīng)用來(lái)看，主要包括員工安全意識(shí)教育、數(shù)據(jù)加密、綜合技術(shù)防控、身份管理、情報(bào)技術(shù)和郵件攻擊溯源六個(gè)方面的安全控制機(jī)制。用戶(hù)需要從體系建設(shè)的角度分析自身能力薄弱點(diǎn)，選擇合適的產(chǎn)品構(gòu)建郵件安全防護(hù)能力。

郵件安全防護(hù)的新模式

很多企業(yè)已經(jīng)部署了電子郵件安全產(chǎn)品，但即便技術(shù)防護(hù)有所增強(qiáng)，一個(gè)巨大的弱點(diǎn)依然存在：人的本身，必須將電子郵件安全作為人的問(wèn)題而不完全是技術(shù)問(wèn)題來(lái)對(duì)待。企業(yè)可以用更積極的方法探索更有效的郵件安全防護(hù)新模式：

1、對(duì)電子郵件采取零信任安全方法

企業(yè)需要驗(yàn)證電子郵件中發(fā)生的所有通信。通過(guò)評(píng)估發(fā)件人及賬戶(hù)以外消息的有效性來(lái)消除隱含的信任風(fēng)險(xiǎn)，以降低被盜員工賬號(hào)或被入侵的合作伙伴引發(fā)的郵件風(fēng)險(xiǎn)?？梢赃x擇一個(gè)安全可靠的信任鑒別系統(tǒng)，可以檢測(cè)入侵并控制來(lái)自入侵組織的通信，將零信任方法擴(kuò)展到電子郵件安全。

2、更積極的員工意識(shí)培養(yǎng)

當(dāng)前很多企業(yè)里的電子郵件安全培訓(xùn)項(xiàng)目往往內(nèi)容寬泛且流于形式，通常都是由人力資源部門(mén)安排的非常教條的通用在線(xiàn)課程。但實(shí)際上，安全培訓(xùn)項(xiàng)目應(yīng)該是根據(jù)每個(gè)員工的角色來(lái)定制的，其內(nèi)容必須符合該員工負(fù)責(zé)的業(yè)務(wù)領(lǐng)域，比如財(cái)務(wù)、業(yè)務(wù)團(tuán)隊(duì)、人事部門(mén)等。

同時(shí)，更好的培養(yǎng)方式應(yīng)超越常規(guī)的課堂式教學(xué)(無(wú)論是教室上課還是網(wǎng)絡(luò)上課)，企業(yè)可以安排白帽子專(zhuān)家黑進(jìn)網(wǎng)絡(luò)，模擬一場(chǎng)攻擊，還可以利用大家都熟悉的高管賬號(hào)來(lái)模擬賬號(hào)被黑后攻擊的場(chǎng)景，評(píng)估員工會(huì)如何響應(yīng)被黑賬號(hào)發(fā)來(lái)的請(qǐng)求。這種切身體驗(yàn)式的方法可幫助企業(yè)及其員工更加了解自身抵御電子郵件攻擊的能力。

3、基于云的電子郵件防護(hù)

大約92%的企業(yè)員工所報(bào)告網(wǎng)絡(luò)釣魚(yú)郵件并不是真正惡意的，而是良性的垃圾郵件或群發(fā)郵件，這通常會(huì)干擾IT團(tuán)隊(duì)發(fā)現(xiàn)和阻止實(shí)際威脅。而有效的解決方案之一是先發(fā)制人的、基于云的電子郵件安全解決方案，這樣可以更充分地利用威脅情報(bào)技術(shù)和第三方郵件安全服務(wù)的專(zhuān)家資源。