I. 邮件是网络攻击的首要突破口
企业邮件安全防护经验总结。邮件作为企业(特别是传统和大型企业)的主要沟通工具关键程度日益提升,同时安全问题也日益益突出。邮件协议缺乏认证和安全鉴别机制,因此天然具备防追踪和高性价比的特性,邮件已经成为电信诈骗、勒索软件攻击的主要途径。目前大众普遍认为邮件安全就是钓鱼攻击(phishing),其实邮件安全的领域很广,本文基于工作中的知识与大家多维度分享一下。
首先介绍四种邮件仿冒技术
a. 仿冒发件人别名-难度指数*
利用邮件账号的别名字段属性,使用公用邮箱(比如Gmail)仿冒他人账号,此类仿冒邮件占比最高,同时因为实际发件人地址真实存在,可以进行交互式诈骗。
Example
From: Steve Jobs < sjobs@banana.com >(而不是sjobs@apple.com)
b. 仿冒发件人-难度指数**
利用邮件协议的认证缺陷(实际加强安全协议已经存在,但是普及率不高),使用真实的发件人地址和别名,给受害人发送邮件。优点是受害人毫无抵抗能力,全是真货、真货、真货;缺陷是攻击者不能收到受害者的邮件回复,需要结合恶意链接或附件达到攻击目的。
Example
From: Steve Jobs < sjobs@apple.com >(搭建或租用恶意邮件服务器)
c. 相似域名仿冒-难度指数 **
抢注相似域名,比如app1e(不是L,是数字1),然后就可以按照套路操作了。
缺点是注册域名、配置邮件服务等太麻烦,而且容易留下作案痕迹;而且大公司都有brand监控服务,相似域名已经抢注或在监控范围内了(域名注册商有这项服务)。
Example
From: Steve Jobs < sjobs@app1e.com >
d. 仿冒回复人-难度系数 ****
利用邮件header中的Reply to字段,结合仿冒真实发件人攻击,做到真实发件人地址从互联网恶意发送,受害者邮件回复送达Gmail邮箱。
Example
From: Steve Jobs < sjobs@apple.com >(搭建或租用恶意邮件服务器)
Reply To: hacker@gmail.com (此字段在邮件客户端隐藏,但是可以通过文本或定制软件修改)
基于攻击类型可以概括为三类
1. 勒索软件攻击
全球41%的企业遭受勒索软件的攻击,其中70%的受害者选择了支付赎金。无论是撒网攻击还是定向攻击,电子邮件是最常见的传递方式,占比为59%,其次是网站、社交媒体和受感染的存储。常见的商业诈骗主题包括发票、发货信息、逾期账户等。
勒索软件服务RAAS (Ransomware as a Service)已经非常成熟,注册一个比特币账号就可以坐等收钱了(参照流行的付费问答平台:只要剧本够好,用户群定位精确,稳赚不赔)。
2016年堪称勒索软件元年,截止第三季度已经发现380万+恶意样本。中国企业也已经成为勒索软件的受害者,同时RAAS已经成为行业恶意竞争中的又一利器(熟知的还有DDoS)-勒索软件的招式之猥琐,后果之严重可想而知!
2. 商业邮件诈骗(BEC)BEC- Business Email Compromise .
商业邮件诈骗又叫老板诈骗,与‘我是你领导’电话诈骗如出一辙(还有QQ群,微信群中的马甲领导)。
a.海外商业规则基于签名的合同、电子转账(比如企业信用卡,支票),因此邮件诈骗的套路才是最纯正的,过程不再赘述。
b.中国商业规则是基于盖章的合同和纸质发票,从游戏规则推导中国是对邮件诈骗具有免疫力的; 但是中国的邮件诈骗是极具中国特色的:领导为尊的习惯导致案例频发,领导要求财务员工转账时就违规操作了(忽略身份验证和流程签批)。
这类邮件攻击通常安全团队可以免责,不是狭义信息安全的范畴!
3. 仿冒企业邮件
以企业的名义对外发送钓鱼邮件,特别是仿冒电子商务企业(淘宝、京东、亚马逊等)、公共事业(公检法,12306等)发送钓鱼邮件时危害极大。此类攻击对企业不产生直接影响,但是间接影响企业声誉。
II. 邮件安全防护策略
本章节的防护措施都是战术层面的被动响应,其实IETF已经发布了邮件安全协议,企业可以从架构设计出发来防护邮件。
允许我套路一下-NIST framework: 识别,防护,监测,响应,恢复。
1. 识别风险
资产识别-邮件安全的核心是账号和邮件内容,可以采用一些策略降低资产的暴露面。
一个小技巧就是邮件别名(alias,相当于多个邮件地址对应一个inbox实例),Gmail邮箱默认支持别名设置,商业邮箱方案和ISP的邮箱策略也允许别名。邮箱地址作为商业联系方式属于公开信息,商业别名可以有效保护邮件账号,增加获取账号和密码的复杂度。
邮件内容的暴露面可以实施企业文档加密方案(MS RMS,Adobe RM, etc.),确保在邮件账号泄露后保密文档不会被非授权访问。
2. 防护邮件
a. 邮件网关-垃圾邮件、病毒附件
非常成熟的防护手段,商业方案普遍盖地细节不再赘述,仅列出关键参照点
杀毒引擎-不同厂商的特征库之间会有补充(部分厂商内置多个杀毒引擎),启用多少个?
防护策略级别-网关配置包括多种防护级别,管理员为了快速部署通常仅启用中或低级别防护策略,导致邮件网关的功效不能充分发挥;
串联还是旁路-随着邮件威胁的增加,部分企业开始部署多层邮件网关,如何平衡延迟和效率?
b. 账号防护
动态验证码-参照12306神一样的图片验证码,破解密码的难度火箭式增加(个人更认可google的robot识别技术)
MFA双因素-国外的Google authenticator, Duo都是很好的方案;抽屉里各家银行的U顿、口令卡、企业配发的OTP令牌,都是各扫门前雪的解决方案;非常期待国内的MFA双因素认证平台的普及(惋惜洋葱的夭折)。
c. 终端电脑-邮件是攻击通道,目标是终端电脑或账号。
钓鱼邮件、恶意软件通过邮件传递后是否能够成功感染电脑,并成功执行。
杀毒软件的覆盖率决定了终端电脑防护的短板(安装率、染毒率需要管理和技术双向发力)。
是否有类似主机IDS的软件锁定系统漏洞(勒索软件调用操作系统加密接口,限制接口调用可以有效降低勒索软件的执行)
d. 网络防护-代理或防火墙
通过特征库自动阻断钓鱼邮件中链接或脚本下载,同时可以在响应阶段手工阻断URL;
同时需要关注网络层恶意软件外链的报警,通常可以发现一些蛛丝马迹;
3. 监测攻击
a. 做好日常运维就是最好的监测
邮件进出站数量的异常是否察觉,原因是否调查;
钓鱼邮件的链接多少被点击,是否提交账号?这些账号是否已经重置密码?
b. 借用工具武装自己
邮件头分析:mail header analyzer (参考搜索引擎,advertisement free)
监控互联网上传输的公司邮件:DMARC数据平台(参考Ⅲ 邮件安全协议)
4. 响应事件
a. 具备监测能力是前置条件,国内企业还停留在用户上报阶段;
b. 被动就要挨打,建议从监控exchange Log开始,设置subject关键字过滤,匹配情报恶意IP、sender实时报警
c. 考验安全团队的设备操作权限和应急熟练程度(邮件安全攻击高频,需要半自动化和流程化)
邮件header分析、钓鱼成功率分析(结合网络层URL访问日志)
网络层阻断URL,更新杀毒软件特征库
5. 恢复业务
取决于企业邮件架构和文件备份策略
III. 邮件安全协议
因为商业利益驱使,各大厂商都在推荐邮件网关设备;邮件安全协议配置的优化却很少提及,现实世界总是本末倒置。
鉴于SMTP传统邮件的安全性不足,砖家已经研发出了五种药方:SPF,DKIM,rDNS, DMARC, Sender ID.
今天重点说一下DMARC (更多资料参考 https://dmarc.org/ )
1. What is DMARC?
DMARC “Domain-based Message Authentication, Reporting & Conformance”, 邮件认证协议,联合SPF和DKIM协议工作,同时具备反馈和逐步启用的机制。
DMARC协议要求邮件收件人服务器反馈mail header (除去PII信息)反馈给发件人公司,从而让你以上帝视角来审视domain邮件在互联网上发送情况,包括企业邮件、影子邮件(shadow mail)、仿冒邮件。
对于安全人员意味着什么?
a. DNS服务器上配置的几行txt脚本。
b. 设置一个日志服务器接收互联网上收件人服务器反馈数据(或者采购云服务)。
2. How does DMARC?
a. 企业邮件管理视角
通过DNS服务器发布企业DMARC策略,比如你告知第三方邮件服务器对于不符合SPF、DKIM配置的邮件是隔离还是丢弃;
通过DNS服务器发布第三方企业邮箱反馈邮件状态的目标地址(mailbox);
基于第三方企业邮箱的DMARC状态反馈,获取所有domain邮件的信息
DMARC反馈的邮件状态包括:你管理的邮件服务、影子邮件(比如市场部采购的市场推广邮件云服务)和以企业名义对外欺诈的邮件。
b. 收件人视角
基于第三方发件人domain DNS服务器对外发布的DMARC策略(SPF,DKIM,DMARC),判定收到的邮件是否安全,同时采取隔离、丢弃等操作;
同时不管最终判定第三方邮件的安全状态,你都需要把邮件的header信息(除去PII信息)统统发给收件人指定的邮箱;