I. 邮件是网络攻击的首要突破口

邮件作为企业(特别是传统和大型企业)的主要沟通工具关键程度日益提升,同时安全问题也日益突出。邮件协议缺乏认证和安全鉴别机制,因此天然具备防追踪和高性价比的特性,邮件已经成为电信诈骗、勒索软件攻击的主要途径。目前大众普遍认为邮件安全就是钓鱼攻击(phishing),其实邮件安全的领域很广,本文基于工作中的知识与大家多维度分享一下。

首先介绍四种邮件仿冒技术

a. 仿冒发件人别名-难度指数*

利用邮件账号的别名字段属性,使用公用邮箱(比如Gmail)仿冒他人账号,此类仿冒邮件占比最高,同时因为实际发件人地址真实存在,可以进行交互式诈骗。

Example

From: Steve Jobs sjobs@banana.com(而不是sjobs@apple.com)

b. 仿冒发件人-难度指数**

利用邮件协议的认证缺陷(实际加强安全协议已经存在,但是普及率不高),使用真实的发件人地址和别名,给受害人发送邮件。优点是受害人毫无抵抗能力,全是真货、真货、真货;缺陷是攻击者不能收到受害者的邮件回复,需要结合恶意链接或附件达到攻击目的。

Example

From: Steve Jobs sjobs@apple.com(搭建或租用恶意邮件服务器)

c. 相似域名仿冒-难度指数**

抢注相似域名,比如app1e(不是L,是数字1),然后就可以按照套路操作了。

缺点是注册域名、配置邮件服务等太麻烦,而且容易留下作案痕迹;而且大公司都有brand监控服务,相似域名已经抢注或在监控范围内了(域名注册商有这项服务)。

Example

From: Steve Jobs sjobs@app1e.com

d. 仿冒回复人-难度系数****

利用邮件header中的Reply to字段,结合仿冒真实发件人攻击,做到真实发件人地址从互联网恶意发送,受害者邮件回复送达Gmail邮箱。

Example

From: Steve Jobs sjobs@apple.com(搭建或租用恶意邮件服务器)

Reply To: hacker@gmail.com (此字段在邮件客户端隐藏,但是可以通过文本或定制软件修改)

基于攻击类型可以概括为三类

  1. 勒索软件攻击

全球41%的企业遭受勒索软件的攻击,其中70%的受害者选择了支付赎金。无论是撒网攻击还是定向攻击,电子邮件是最常见的传递方式,占比为59%,其次是网站、社交媒体和受感染的存储。常见的商业诈骗主题包括发票、发货信息、逾期账户等。


勒索软件服务RAAS (Ransomware as a Service)已经非常成熟,注册一个比特币账号就可以坐等收钱了(参照流行的付费问答平台:只要剧本够好,用户群定位精确,稳赚不赔)。

2016年堪称勒索软件元年,截止第三季度已经发现380万+恶意样本。中国企业也已经成为勒索软件的受害者,同时RAAS已经成为行业恶意竞争中的又一利器(熟知的还有DDoS)-勒索软件的招式之猥琐,后果之严重可想而知!

  1. 商业邮件诈骗(BEC)BEC- Business Email Compromise .

商业邮件诈骗又叫老板诈骗,与‘我是你领导’电话诈骗如出一辙(还有QQ群,微信群中的马甲领导)。

a.海外商业规则基于签名的合同、电子转账(比如企业信用卡,支票),因此邮件诈骗的套路才是最纯正的,过程不再赘述。

b.中国商业规则是基于盖章的合同和纸质发票,从游戏规则推导中国是对邮件诈骗具有免疫力的;但是中国的邮件诈骗是极具中国特色的:领导为尊的习惯导致案例频发,领导要求财务员工转账时就违规操作了(忽略身份验证和流程签批)。

这类邮件攻击通常安全团队可以免责,不是狭义信息安全的范畴!

  1. 仿冒企业邮件

以企业的名义对外发送钓鱼邮件,特别是仿冒电子商务企业(淘宝、京东、亚马逊等)、公共事业(公检法,12306等)发送钓鱼邮件时危害极大。此类攻击对企业不产生直接影响,但是间接影响企业声誉。

II. 邮件安全防护策略

本章节的防护措施都是战术层面的被动响应,其实IETF已经发布了邮件安全协议,企业可以从架构设计出发来防护邮件。

允许我套路一下-NIST framework: 识别,防护,监测,响应,恢复。

  1. 识别风险

资产识别-邮件安全的核心是账号和邮件内容,可以采用一些策略降低资产的暴露面。

一个小技巧就是邮件别名(alias,相当于多个邮件地址对应一个inbox实例),Gmail邮箱默认支持别名设置,商业邮箱方案和ISP的邮箱策略也允许别名。邮箱地址作为商业联系方式属于公开信息,商业别名可以有效保护邮件账号,增加获取账号和密码的复杂度。

邮件内容的暴露面可以实施企业文档加密方案(MS RMS,Adobe RM, etc.),确保在邮件账号泄露后保密文档不会被非授权访问。

  1. 防护邮件

a. 邮件网关-垃圾邮件、病毒附件

非常成熟的防护手段,商业方案普遍盖地细节不再赘述,仅列出关键参照点

杀毒引擎-不同厂商的特征库之间会有补充(部分厂商内置多个杀毒引擎),启用多少个?

防护策略级别-网关配置包括多种防护级别,管理员为了快速部署通常仅启用中或低级别防护策略,导致邮件网关的功效不能充分发挥;

串联还是旁路-随着邮件威胁的增加,部分企业开始部署多层邮件网关,如何平衡延迟和效率?

[注:国际知名电子邮件安全厂家Softnext守内安的邮件归档、邮件网关系统,可对邮件进行加密、归档、审计管理,防病毒,层层过滤邮件威胁,降低企业被入侵风险。]

b. 账号防护

动态验证码-参照12306神一样的图片验证码,破解密码的难度火箭式增加(个人更认可google的robot识别技术)

MFA双因素-国外的Google authenticator, Duo都是很好的方案;抽屉里各家银行的U顿、口令卡、企业配发的OTP令牌,都是各扫门前雪的解决方案;非常期待国内的MFA双因素认证平台的普及(惋惜洋葱的夭折)。

c. 终端电脑-邮件是攻击通道,目标是终端电脑或账号。

钓鱼邮件、恶意软件通过邮件传递后是否能够成功感染电脑,并成功执行。

杀毒软件的覆盖率决定了终端电脑防护的短板(安装率、染毒率需要管理和技术双向发力)。

是否有类似主机IDS的软件锁定系统漏洞(勒索软件调用操作系统加密接口,限制接口调用可以有效降低勒索软件的执行)

d. 网络防护-代理或防火墙

通过特征库自动阻断钓鱼邮件中链接或脚本下载,同时可以在响应阶段手工阻断URL;

同时需要关注网络层恶意软件外链的报警,通常可以发现一些蛛丝马迹;

  1. 监测攻击

a. 做好日常运维就是最好的监测

邮件进出站数量的异常是否察觉,原因是否调查;

钓鱼邮件的链接多少被点击,是否提交账号?这些账号是否已经重置密码?

b. 借用工具武装自己

邮件头分析:mail header analyzer (参考搜索引擎,advertisement free)

监控互联网上传输的公司邮件:DMARC数据平台(参考Ⅲ 邮件安全协议)

  1. 响应事件

a. 具备监测能力是前置条件,国内企业还停留在用户上报阶段;

b. 被动就要挨打,建议从监控exchange Log开始,设置subject关键字过滤,匹配情报恶意IP、sender实时报警

c. 考验安全团队的设备操作权限和应急熟练程度(邮件安全攻击高频,需要半自动化和流程化)

邮件header分析、钓鱼成功率分析(结合网络层URL访问日志)

网络层阻断URL,更新杀毒软件特征库

  1. 恢复业务

取决于企业邮件架构和文件备份策略

III. 邮件安全协议

因为商业利益驱使,各大厂商都在推荐邮件网关设备;邮件安全协议配置的优化却很少提及,现实世界总是本末倒置。

鉴于SMTP传统邮件的安全性不足,砖家已经研发出了五种药方:SPF,DKIM,rDNS, DMARC, Sender ID.

国际知名电子邮件安全专家Softnext守内安的邮件归档、邮件网关,可对邮件进行加密、归档、审计管理,防病毒,层层过滤邮件威胁,降低企业被入侵风险。

文章来源:FreeBuf.COM

企业邮件安全防护经验总结相关推荐

  1. 企业邮件安全首选U-Mail邮件安全网关解决方案

    电子邮件作为企业重要的通信工具,企业的内部沟通,对外联络.文件传输等,都可以通过电子邮件进行传递和交流.因此,企业邮件的安全尤为重要.为了防止企业邮件被黑客或不法分子利用,U-Mail为了保障企业邮件 ...

  2. 国内办公安全建设主要考虑防范勒索病毒和企业邮件安全

    网络安全形势 勒索病毒分析 一. 全年攻击态势 2019 年 1-12 月奇安信病毒响应中心数据显示,2019 年全国共有 2237 家政企单位受到 勒索病毒攻击,累计涉及终端 10.6 万台.从被攻 ...

  3. 被骗几十万总结出来的Ddos攻击防护经验!(转载)

    被骗几十万总结出来的Ddos攻击防护经验! 技术 站内编辑 2015-09-18 17:37 评论 0 阅读 115159 来源: 爱尖刀 本人从事网络安全行业20年.有15年防ddos攻击防护经验. ...

  4. 几十万换来的Ddos攻击防护经验分享(转载)

    发布时间:2017-01-05 来源:服务器之家 本人从事网络安全行业20年.有15年防ddos攻击防护经验.被骗了很多回(都说能防300G,500G,买完就防不住了),本文当然重点给大家说明,ddo ...

  5. 被骗几十万总结出来的Ddos攻击防护经验!------转自 服务器之家server

    本人从事网络安全行业20年.有15年防ddos攻击防护经验.被骗了很多回(都说能防300G,500G,买完就防不住了),本文当然重点给大家说明,ddos攻击是什么,中小企业如何防护,用到成本等. 20 ...

  6. 被骗几十万总结出来的Ddos***防护经验!(很值得分享 有意思)

    本文来自怪狗大神:http://www.ijiandao.com/safe/cto/15952.html 本人从事网络安全行业20年.有15年防ddos攻击防护经验.被骗了很多回(都说能防300G,5 ...

  7. 被骗几十万总结出来的Ddos攻击防护经验!

    本人从事网络安全行业20年.有15年防ddos攻击防护经验.被骗了很多回(都说能防300G,500G,买完就防不住了),本文当然重点给大家说明,ddos攻击是什么,中小企业如何防护,用到成本等. 20 ...

  8. Coremail奇安信2021邮箱安全报告:正常邮件数量首超普通垃圾邮件,防护初见成效

    Coremail联合奇安信在国家网络安全宣传周期间,正式发布<2021中国企业邮箱安全性研究报告>(简称<报告>).都有哪些趋势与案例值得关注?Coremail为您带来精彩解读 ...

  9. 如何解决企业邮件对国外的通信问题

    每个企业邮件的维护人员,比如说网管或者公司里面的技术人员,都会碰到这样的头疼的事情,那就是公司的人给国外某些邮箱发信的时候,总是收到退信,从而影响公司的通信和业务往来,给公司带来损失.往往在这种情况下 ...

最新文章

  1. 2019 年ML NLP领域十大研究热点
  2. php在线备忘录,一个会话备忘录小程序的实现方法
  3. python常用内置函数总结-Python学习教程之常用的内置函数大全
  4. sqlite库——C实现,给sqlite数据库添加信息并把信息写入文件,删除日志和库中的日志信息
  5. java生成Json文件
  6. ASP.NET AJAX Preview 2
  7. TCP socket和web socket的区别
  8. 加载页面就触发ajax,AJAX post方法,有时会在页面加载时触发,有时不会
  9. uoj#351. 新年的叶子(概率期望)
  10. PID算法原理 一图看懂PID的三个参数
  11. Oracle分析函数汇总(超全)
  12. python2.7读取txt文件_python如何读取txt文件
  13. CVE-2022-21999 Windows Print Spooler(打印服务)特权提升漏洞
  14. MaxScale 2.5
  15. ASP WebShell 后门脚本与免杀
  16. 民锋国际期货:5年后我会更有钱吗?
  17. 关于近期工作的一些感想
  18. 使用 Pubchempy 一行命令从 Pubchem 数据库中批量下载化合物 3D 构象的 sdf 文件
  19. Canvas悟空推箱子
  20. zabbix5.0使用问题解决步骤 2021-3-19

热门文章

  1. ParameterDirection.ReturnValue与ParameterDirection
  2. 按图搜索商品(拍立淘) API
  3. 禅道二次开发发送邮件功能
  4. 服务器渲染与客户端渲染
  5. linux 下区域语音设置
  6. 华为首款鸿蒙系统产品,华为首款鸿蒙系统产品成行业公敌
  7. uni-app开发微信小程序的简要流程
  8. 7个找头像的工具,网站、APP都有,让你有用不完的头像
  9. 国民技术产品系列与解决方案介绍
  10. 带你熟练使用Vistual Studio开发工具