企业邮件安全防护经验总结

I. 邮件是网络攻击的首要突破口

企业邮件安全防护经验总结。邮件作为企业(特别是传统和大型企业)的主要沟通工具关键程度日益提升,同时安全问题也日益益突出。邮件协议缺乏认证和安全鉴别机制,因此天然具备防追踪和高性价比的特性,邮件已经成为电信诈骗、勒索软件攻击的主要途径。目前大众普遍认为邮件安全就是钓鱼攻击(phishing),其实邮件安全的领域很广,本文基于工作中的知识与大家多维度分享一下。

首先介绍四种邮件仿冒技术

a. 仿冒发件人别名-难度指数*

利用邮件账号的别名字段属性,使用公用邮箱(比如Gmail)仿冒他人账号,此类仿冒邮件占比最高,同时因为实际发件人地址真实存在,可以进行交互式诈骗。

Example

From: Steve Jobs < sjobs@banana.com >(而不是sjobs@apple.com)

b. 仿冒发件人-难度指数**

利用邮件协议的认证缺陷(实际加强安全协议已经存在,但是普及率不高),使用真实的发件人地址和别名,给受害人发送邮件。优点是受害人毫无抵抗能力,全是真货、真货、真货;缺陷是攻击者不能收到受害者的邮件回复,需要结合恶意链接或附件达到攻击目的。

Example

From: Steve Jobs < sjobs@apple.com >(搭建或租用恶意邮件服务器)

c. 相似域名仿冒-难度指数 **

抢注相似域名,比如app1e(不是L,是数字1),然后就可以按照套路操作了。

缺点是注册域名、配置邮件服务等太麻烦,而且容易留下作案痕迹;而且大公司都有brand监控服务,相似域名已经抢注或在监控范围内了(域名注册商有这项服务)。

Example

From: Steve Jobs < sjobs@app1e.com >

d. 仿冒回复人-难度系数 ****

利用邮件header中的Reply to字段,结合仿冒真实发件人攻击,做到真实发件人地址从互联网恶意发送,受害者邮件回复送达Gmail邮箱。

Example

From: Steve Jobs < sjobs@apple.com >(搭建或租用恶意邮件服务器)

Reply To: hacker@gmail.com (此字段在邮件客户端隐藏,但是可以通过文本或定制软件修改)

基于攻击类型可以概括为三类

1. 勒索软件攻击

全球41%的企业遭受勒索软件的攻击,其中70%的受害者选择了支付赎金。无论是撒网攻击还是定向攻击,电子邮件是最常见的传递方式,占比为59%,其次是网站、社交媒体和受感染的存储。常见的商业诈骗主题包括发票、发货信息、逾期账户等。

勒索软件服务RAAS (Ransomware as a Service)已经非常成熟,注册一个比特币账号就可以坐等收钱了(参照流行的付费问答平台:只要剧本够好,用户群定位精确,稳赚不赔)。

2016年堪称勒索软件元年,截止第三季度已经发现380万+恶意样本。中国企业也已经成为勒索软件的受害者,同时RAAS已经成为行业恶意竞争中的又一利器(熟知的还有DDoS)-勒索软件的招式之猥琐,后果之严重可想而知!

2. 商业邮件诈骗(BEC)BEC- Business Email Compromise .

商业邮件诈骗又叫老板诈骗,与‘我是你领导’电话诈骗如出一辙(还有QQ群,微信群中的马甲领导)。

a.海外商业规则基于签名的合同、电子转账(比如企业信用卡,支票),因此邮件诈骗的套路才是最纯正的,过程不再赘述。

b.中国商业规则是基于盖章的合同和纸质发票,从游戏规则推导中国是对邮件诈骗具有免疫力的; 但是中国的邮件诈骗是极具中国特色的:领导为尊的习惯导致案例频发,领导要求财务员工转账时就违规操作了(忽略身份验证和流程签批)。

这类邮件攻击通常安全团队可以免责,不是狭义信息安全的范畴!

3. 仿冒企业邮件

以企业的名义对外发送钓鱼邮件,特别是仿冒电子商务企业(淘宝、京东、亚马逊等)、公共事业(公检法,12306等)发送钓鱼邮件时危害极大。此类攻击对企业不产生直接影响,但是间接影响企业声誉。

II. 邮件安全防护策略

本章节的防护措施都是战术层面的被动响应,其实IETF已经发布了邮件安全协议,企业可以从架构设计出发来防护邮件。

允许我套路一下-NIST framework: 识别,防护,监测,响应,恢复。

1. 识别风险

资产识别-邮件安全的核心是账号和邮件内容,可以采用一些策略降低资产的暴露面。

一个小技巧就是邮件别名(alias,相当于多个邮件地址对应一个inbox实例),Gmail邮箱默认支持别名设置,商业邮箱方案和ISP的邮箱策略也允许别名。邮箱地址作为商业联系方式属于公开信息,商业别名可以有效保护邮件账号,增加获取账号和密码的复杂度。

邮件内容的暴露面可以实施企业文档加密方案(MS RMS,Adobe RM, etc.),确保在邮件账号泄露后保密文档不会被非授权访问。

2. 防护邮件

a. 邮件网关-垃圾邮件、病毒附件

非常成熟的防护手段,商业方案普遍盖地细节不再赘述,仅列出关键参照点

杀毒引擎-不同厂商的特征库之间会有补充(部分厂商内置多个杀毒引擎),启用多少个?

防护策略级别-网关配置包括多种防护级别,管理员为了快速部署通常仅启用中或低级别防护策略,导致邮件网关的功效不能充分发挥;

串联还是旁路-随着邮件威胁的增加,部分企业开始部署多层邮件网关,如何平衡延迟和效率?

b. 账号防护

动态验证码-参照12306神一样的图片验证码,破解密码的难度火箭式增加(个人更认可google的robot识别技术)

MFA双因素-国外的Google authenticator, Duo都是很好的方案;抽屉里各家银行的U顿、口令卡、企业配发的OTP令牌,都是各扫门前雪的解决方案;非常期待国内的MFA双因素认证平台的普及(惋惜洋葱的夭折)。

c. 终端电脑-邮件是攻击通道,目标是终端电脑或账号。

钓鱼邮件、恶意软件通过邮件传递后是否能够成功感染电脑,并成功执行。

杀毒软件的覆盖率决定了终端电脑防护的短板(安装率、染毒率需要管理和技术双向发力)。

是否有类似主机IDS的软件锁定系统漏洞(勒索软件调用操作系统加密接口,限制接口调用可以有效降低勒索软件的执行)

d. 网络防护-代理或防火墙

通过特征库自动阻断钓鱼邮件中链接或脚本下载,同时可以在响应阶段手工阻断URL;

同时需要关注网络层恶意软件外链的报警,通常可以发现一些蛛丝马迹;

3. 监测攻击

a. 做好日常运维就是最好的监测

邮件进出站数量的异常是否察觉,原因是否调查;

钓鱼邮件的链接多少被点击,是否提交账号?这些账号是否已经重置密码?

b. 借用工具武装自己

邮件头分析:mail header analyzer (参考搜索引擎,advertisement free)

监控互联网上传输的公司邮件:DMARC数据平台(参考Ⅲ 邮件安全协议)

4. 响应事件

a. 具备监测能力是前置条件,国内企业还停留在用户上报阶段;

b. 被动就要挨打,建议从监控exchange Log开始,设置subject关键字过滤,匹配情报恶意IP、sender实时报警

c. 考验安全团队的设备操作权限和应急熟练程度(邮件安全攻击高频,需要半自动化和流程化)

邮件header分析、钓鱼成功率分析(结合网络层URL访问日志)

网络层阻断URL,更新杀毒软件特征库

5. 恢复业务

取决于企业邮件架构和文件备份策略

III. 邮件安全协议

因为商业利益驱使,各大厂商都在推荐邮件网关设备;邮件安全协议配置的优化却很少提及,现实世界总是本末倒置。

鉴于SMTP传统邮件的安全性不足,砖家已经研发出了五种药方:SPF,DKIM,rDNS, DMARC, Sender ID.

今天重点说一下DMARC (更多资料参考 https://dmarc.org/ )

1. What is DMARC?

DMARC “Domain-based Message Authentication, Reporting & Conformance”, 邮件认证协议,联合SPF和DKIM协议工作,同时具备反馈和逐步启用的机制。

DMARC协议要求邮件收件人服务器反馈mail header (除去PII信息)反馈给发件人公司,从而让你以上帝视角来审视domain邮件在互联网上发送情况,包括企业邮件、影子邮件(shadow mail)、仿冒邮件。

对于安全人员意味着什么?

a. DNS服务器上配置的几行txt脚本。

b. 设置一个日志服务器接收互联网上收件人服务器反馈数据(或者采购云服务)。

2. How does DMARC?

a. 企业邮件管理视角

通过DNS服务器发布企业DMARC策略,比如你告知第三方邮件服务器对于不符合SPF、DKIM配置的邮件是隔离还是丢弃;

通过DNS服务器发布第三方企业邮箱反馈邮件状态的目标地址(mailbox);

基于第三方企业邮箱的DMARC状态反馈,获取所有domain邮件的信息

DMARC反馈的邮件状态包括:你管理的邮件服务、影子邮件(比如市场部采购的市场推广邮件云服务)和以企业名义对外欺诈的邮件。

b. 收件人视角

基于第三方发件人domain DNS服务器对外发布的DMARC策略(SPF,DKIM,DMARC),判定收到的邮件是否安全,同时采取隔离、丢弃等操作;

同时不管最终判定第三方邮件的安全状态,你都需要把邮件的header信息(除去PII信息)统统发给收件人指定的邮箱;

时间: 2024-10-29 06:05:32

企业邮件安全防护经验总结的相关文章

亚信安全中标南方电网 把守企业邮件安全大门

近日,云与大数据安全的技术领导者亚信安全宣布中标中国南方电网总部的邮件安全网关采购项目.亚信安全将通过旗下邮件安全网关IMSA+深度威胁邮件网关DDEI产品,为南方电网提供从终端.服务器.网络到邮件应用的全方位安全保障能力,以及完善的技术支持保障服务,帮助客户抵御钓鱼诈骗邮件.恶意代码邮件等恶意邮件的攻击,确保网络与信息系统的安全运行和业务正常开展. 南方电网是一家由国务院国资委履行出资人职责的大型集团公司,下辖21个部门.4家分公司.8家全资子公司.6家控股子公司,员工总数30.2万人,连续1

企业邮件营销需提高其价值

中介交易 SEO诊断 淘宝客 云主机 技术大厅 随着网络营销的不断普及,大量的企业也纷纷加入到网络营销的队伍中,邮件营销便在传统营销中起到一种不可替代的手段.然而,现在大部分企业并不能真正的实施好邮件营销,因为在网络时代是一个市场细分的时代,对目标客户群要非常的明确,而不是胡乱做一些邮件群发. 当你的收件箱总是挤满了各种电子邮件,第一反应是营销邮件,打开的几率很小,相信大多数人会选择忽视.但是,作为企业,你完全可以在邮件营销上变得更加明智,以确保每封邮件都具有价值.如何提高邮件营销的价值呢,我们

保证企业邮件安全不可不知的事

从本地部署过渡到基于云端的邮件是加强安全控制的好机会. 随着本公司不断将企业应用转移到云端,最新的进展展现了一个安全机会.我们正在放弃本地部署的Microsift Exchange邮件而使用Microsoft Office 365的服务.有了这个过渡,我们就可以减少员工在邮件里交流和存储敏感的业务相关的数据的行为. 我正在推动IT机构通过实现控制加强安全,这些控制要么在我们的本地部署不能用,要么就是根本未实现过.企业的头一笔订单往往是清理账户或分配表.我们有数百个由邮件启用的分配表,而它们当中大

企业邮件管理有新招 网上网下轻松应对_IT 业界

企业邮箱在商务活动的使用与依赖程度日益加重,如商务沟通.信息交换.资料传递.客户资源统筹管理等等. 据艾瑞咨询iUserTracker最新数据显示,2008年第三季度邮箱市场总体表现稳定,访问邮箱已成为网民的日常行为.企业邮箱在满足用户高效信息传递需求的基础上,又特别集成了企业地址簿.多用户名邮箱及企业反垃圾邮件等最新功能,将企业邮件的应用与企业内.外部信息化沟通的需求紧密地结合了起来.各种品牌的企业邮箱更是呈百花齐放之势.随着不同品牌企业邮箱之间的相互竞争,及消费者的需求日益严格,促使企业邮箱

微软推出WDATP强化企业终端威胁防护

伴随网络攻击的日益猖獗,传统针对企业终端防护的杀毒软件往往无法有效拦截恶意攻击的增加,对此,微软在其新发布的Windows 10企业版租赁方案中,添加了Windows Defender Advanced Threat Protection(WDATP),试图通过终端电脑的系统防护提升企业应对高级威胁的能力. 微软推出WDATP强化企业终端威胁防护 微软推出WDATP强化企业终端威胁防护 WDATP的主要功能包括,将可疑的操作记录汇整成事件,接着会整合到操作系统内建的Windows Defende

中国企业邮件营销趋势与ROI的调查报告

点击下载完整报告 下载地址:http://app.focussend.com/focussend/cust/FocussendSurvey/TrendsROI.pdf 作为网络营销中最早的营销手段,邮件营销在国外市场发展得非常成熟.但在国内,由于受到垃圾邮件的影响,造成了广告主对邮件营销的重视不高.随着人们对邮件营销认识逐步从"垃圾邮件"到"许可式邮件"的转变, 邮件营销的应用变得更为广泛.而新媒体兴起,也给与了邮件营销更多的融合与补充. <2013中国企业邮

企业邮件管理有新招 网上网下轻松应对

随着全球化趋势的到来,市场竞争更加激烈,因此对于企业来说,信息化.电子商务成为了必需.正是由于中小企业信息化和电子商务的需求催生了企业邮箱的需求.企业邮箱在商务活动的使用与依赖程度日益加重,如商务沟通.信息交换.资料传递.客户资源统筹管理等等. 据艾瑞咨询iUserTracker最新数据显示,2008年第三季度邮箱市场总体表现稳定,访问邮箱已成为网民的日常行为.企业邮箱在满足用户高效信息传递需求的基础上,又特别集成了企业地址簿.多用户名邮箱及企业反垃圾邮件等最新功能,将企业邮件的应用与企业内.外

企业社交网络(一):传承企业的知识和经验

S NS等社交网络正日益成为人们重要的http://www.aliyun.com/zixun/aggregation/11018.html">沟通工具,它在大众用户中慢慢地树立起了影响力,即便如此,它在个人的应用层面还是处于开始的阶段,传统的互联网巨头都不会放弃SNS这一影响未来格局的重要的交互媒体,腾讯.搜狐.新浪.百度及阿里等等都涉足这一领域,它的重要性是无法忽略的. 但它的应用和影响力绝不仅仅在大众用户,在未来组织应用(也包括企业)中也会有很远大的前途.这也是技术和管理互动的必然结果

企业邮件仍是主流:高层应领头变革

摘要: 科技新闻网站CITEworld日前发表署名为罗恩米勒(Ron Miller)的文章称,虽然企业社交软件及协同工具正在崛起,但企业电子邮件却依旧大行其道.今年,全球每天产生的企业电子邮件数量就 科技新闻网站CITEworld日前发表署名为罗恩·米勒(Ron Miller)的文章称,虽然企业社交软件及协同工具正在崛起,但企业电子邮件却依旧大行其道.今年,全球每天产生的企业电子邮件数量就高达890亿封,而到2016年将达1438亿封.有业内人士认为,使用习惯很难改变,除非企业进行自上而下的变革