邮件系统作为内外部工作数据交流和记录的平台,且被各个企业广泛应用。其也是攻击者非常青睐的资产系统之一,因为攻击使用免杀邮件内容来绕过邮件网关安全设备后,进行广撒网式的钓鱼攻击,邮件系统自然也成为最容易获得突破口的资产途径。垃圾邮件、APT攻击、社工钓鱼等邮件威胁问题也愈发的凸显。与此同时,针对层出不穷、变化不断的高级邮件威胁,但又缺乏有效手段防御,是当前企业邮件安全所面临的安全态势。
本文将从邮件安全攻击的角度,分析邮件系统在业务流转的过程中,有哪些地方会涉及到安全风险,应该采取什么样的措施来提升邮件安全的防护。以便帮助大家更简单的理解邮件安全防护建设。
邮件安全面临的挑战风险
有多数企业单位中,已经部署了足够的邮件安全网关产品,但是邮件相关的安全事件却依旧存在。其实邮件网关作为邮件安全体系中“塔基”的角色,已经充分的完成了自己的使命,例如垃圾邮件、常见的病毒文件等过滤和拦截。而“塔尖”部分的高级邮件威胁,往往是甲方业务忽视的地方。例如常见的APT攻击、社工钓鱼手法,往往都是模拟最真实、最正常、最隐蔽的手法来进行攻击,像基于规则、模糊特征化检测的邮件网关,最容易被ByPass绕过。
未知攻焉知防,不同邮件的暴露面对应哪些威胁风险?
邮件安全防护建设的目的是防止数据泄露、网络钓鱼、恶意软件传播以或者其他与邮件相关的安全威胁手段。更应该以攻击者的视角来盘点哪些资产点,会存在哪些威胁攻击来进行分析
综合以上梳理的攻击面分析,对邮件安全面临的风险挑战如下:
邮件账户是否安全?
邮件账户密码是否存在弱口令、是否泄露,且外网的登录入口是否进行了双因子认。
邮件来源是否安全?
邮件发件人是否SPF伪造公司用户,发件人IP、邮件地址是否在黑名单当中;相关发送行为是否异常,疑似账户被控制利用。
邮件内容是否安全?
邮件正文、附件的内容是否存在恶意链接、二维码、可执行脚本等威胁载荷,针对APT攻击的内容,是否有沙箱环境进行模拟识别?是否联动TIP威胁情报进行风险判定。
邮件通信是否安全?
邮件在进行传递过程中是否进行了加密操作,防止攻击者利用中间人攻击的手法对邮件内容进行截取篡改、或窃取敏感数据; 此攻击场景在实际业务中并非常见,更多意味着客户端、服务端、中间代理传输节点出现了劫持攻击。
邮件服务是否安全?
邮件服务的Web端是否存在漏洞,被攻击者通过Nday漏洞一键控制机器;邮件系统的相关数据一般会进行加密存储,即使获得了邮箱系统的控制权,但也很难获得有效的明文数据。仅仅只是对邮件系统的可用性进行破坏。
在梳理完要关注的风险点后,我们可以结合实际业务的风险产生频率、概率等因素,折射优先级高的3个核心问题:邮件账户安全、邮件来源安全、邮件内容安全; 在邮件关键的路径中识别和阻断邮件攻击,最大化的实现邮件安全。
基于分析到的邮件风险点,如何进行邮件安全建设?
1. 邮件网关(邮件过滤及拦截)
通过设置邮件网关过滤外部和内部邮件流量。网关可以拦截垃圾邮件、钓鱼邮件、恶意软件和其他威胁。防止恶意邮件进入企业网络。其中垃圾邮件过滤应基于内容分析、黑名单、灰名单等多种技术。
2. 访问控制及身份认证(邮件来源管控)
启用DMARC、DKIM和SPF:通过部署域名基于消息认证、报告和一致性 (DMARC)、域名密钥识别邮件 (DKIM)、发送者策略框架 (SPF)等技术,验证发送邮件的来源,防止邮件伪造和钓鱼攻击。
强制使用强密码:要求员工使用强密码,并定期更改密码。可以使用多因素认证 (MFA) 增强邮箱访问的安全性。
3. 风险监控与实时分析(安全纵深监测分析)
实时监控:部署邮件安全分析平台,联动TIP威胁情报、文件沙箱,流量用户行为进行场景化威胁分析,有效识别邮件风险;判别的可信度高威胁,可直接同步至邮件网关、EDR终端和上网行为管理平台,对用户访问和邮件输出进行联动封禁,提升自动化水平。
4. 邮件通信加密(安全加持)
使用邮件加密协议或工具确保邮件内容在传输过程中被保护。
5. 终端安全防护(安全加持)
终端落盘检测:在每个终端设备上安装反病毒和反恶意软件软件,进行url、二维码在线识别检测,附件则在落盘时进行静态威胁检测,启动时触发相关威胁指令时,进行拦截阻断。
6. 用户安全意识培训(安全加持)
定期安全培训:开展关于邮件安全的培训,教育员工如何识别钓鱼邮件、社会工程攻击以及处理可疑邮件的最佳实践。
模拟钓鱼攻击:定期进行钓鱼模拟测试,以评估员工的反应能力并提高他们的安全意识。
如何基于各个安全产品的能力,进行邮件安全防护体系组合、运营?
在构建安全稳固的邮件安全防护体系过程中,产品单兵作战的方式往往存在很多弊端,例如,邮件网关因为轻量化检测,可以串联到邮件系统中进行实时监测过滤,单对于附件文件部分的重型资源消耗检测,显然不具备串联优势。(市场上可能存在集合沙箱的邮件网关,但是要做到对附件解密、解压、动态行为检测等操作,会给邮件业务的时效性带了一定影响) 需要联动不同方向的安全能力,结合攻击者可能触发的攻击场景进行关联化威胁定位。更准确、更自动化的识别邮件风险;
邮件安全平台作为方案基础,更多离不开专业的安全营运加持;邮件安全运营能力的培养和提升,是邮件安全防护建设的有效保障。
如果存在各个不同的物理园区,该如何进行落地?
答:实际部署可以基于邮件归档系统的使用,对接实现邮件安全分析平台的建立,不对邮件安全网关造成载荷压力;旁路化的安全分析,可以有效联动威胁情报、文件沙箱;串联各个威胁场景,对邮件的安全系数做出最正确的判断。
(邮件归档:邮件归档系统,确保邮件的长期保存,满足审计和合规的要求。)
邮件安全的建设本质还在在于“矛”和“盾”的思考和较量,在安全的实战中,攻击者如何基于邮件安全寻求新的防护突破点,而防守方基于攻击者的手法思考如何不足体系的短板。在双方不断地对抗竞争中,发现邮件安全的短板,及邮件安全防护的有效性,实现对邮件威胁做到事前防控,将防护前移,防患于未然。促使邮件安全防护建设的水平保持最前沿。