攻击者总能“吓我们一大跳”:其攻击的目标和手段总能出乎我们的意料之外。攻击者总能将自己伪装成其它东西,例如他们可以从一个可信任的源发送一份邮件,其中的链接却指向被恶意软件感染的网站,或是包含有被恶意软件感染的文件附件。还有将复杂的社交工程与一些难以捉摸的方法相结合的攻击,可以在企业网络中长期稳坐“钓鱼台”并窃取数据。还有一些全新的零日攻击,完全不同于以前的任何攻击,且传统的防御不能识别。其技术和伎俩仍在不断改变。
其中,之前的方法如“雪鞋(snowshoe)垃圾邮件”,其如此命名的原因在于它像是一只很大的雪鞋,印迹模糊且难以看清。攻击者在大范围内扩散大量的消息,而传统的防御很难检测。这种垃圾邮件可以快速地变换文本、链接、发送垃圾邮件的IP地址等,但绝不重复同样的组合。其攻击的可能性似乎可以无休止。
这些攻击之所以成功是因为其善于伪装并混合了不同的技术,而且还在不断地变化。所以,防御者需要以一种攻击者没有预想到的方式,使用支持组合式防御的安全架构,并且不断地改进以跟上动态攻击的发展。传统的深度防御和多层保护主要用于网络,但这些方法能够也应当适用于电子邮件网关。
电子邮件是很受欢迎的企业通信方式,所以它也是攻击者选择的攻击源和手段。所以,保障电子邮件网关的安全日益成为任何网络安全战略的重要组成部分。但是,传统的安全邮件网关是在一个时点上操作,即它是基于一套情报的一次性扫描,其有效性是有限的。而如今的基于电子邮件的攻击并不是一个时点上发生,而是使用多种方法来逃避检测。为实施保护,企业有可能求助于一些无法协同工作的产品。很明显,这种方法并不有助于有效的安全控制。
在企业评估安全邮件网关技术或是利用已有的产品时,为了实现更有效的防御垃圾邮件、混合攻击和针对性攻击,务必考虑如下问题:
1.如何应对垃圾邮件和恶意软件的多样性问题?
诚然,并不存在完美的防护,但通过部署和集成多层反垃圾邮件引擎和多层反病毒引擎,企业却可以将保护范围扩展到几乎全部的范围。一种紧密地集成多种引擎并可以使其自动且无缝地协同工作的安全架构,不但可以提升保护水平,而且还可以减少误报率,因为这些引擎可以相互检查和平衡。此外,信誉过滤器可以查看发送者的IP地址信誉,这有助于防护类似于“雪鞋(snowshoe)”垃圾邮件(它劫持的是IP地址范围)的攻击。
2.如何应对混合性威胁(包含有指向被恶意软件感染的网站的链接)?
答案就在于寻求包括Web分类和Web信誉的解决方案。借助Web分类,安全管理员可以设置策略,只允许访问某些类型的网站。Web信誉根据多种数据给URL一个信誉分数,其中的一个参考数据就是域名没有被感染恶意软件的时间长度,所以管理员可以设置是否允许访问一个链接的策略。
3.供应商能够提供哪些功能,可帮助企业领先于新出现的威胁
企业应当可以利用网络社区的数据。关注网络社区用户的电子邮件和网络安全信息以及其它跟踪威胁的信息,可以使企业获得情报和用来防御新威胁的宝贵时间。企业应选择的厂商应当:电子邮件安全架构中包含过滤器并能可以利用所收集的安全情报实时地防御新威胁的厂商。
安全人士面临着大量的不可预知的威胁。其中的有些威胁是新的,而其它的威胁往往混合了多种技术来逃避传统防御的检测。所以,专业的安全人士需要利用和集成多层防御技术,并利用新方法来实现更有效的保护。
作者:赵长林
来源:51CTO