你的郵件安全嗎? 電子郵件威脅與防禦剖析

本文轉載自“ ”，原文作者：
　　網際網路生活的普及，資訊化無處不在的高速發展及其便捷、高效、多樣的資訊傳輸手段，電子辦公的普遍，成為了國際網路駭客、竊密手段、網路犯罪橫行的平臺，為國家和企事業單位資訊保密安全工作帶來巨大困難和挑戰。

　　跟傳統的資訊傳輸模式相比，電子郵件具有很強的時效性、便捷性，然後隨著電子郵件在社會的廣泛應用，隨之而來的安全保密問題日漸突出，機密洩漏、資訊篡改、假冒地址、垃圾郵件等令人煩惱不堪，相應的安全保密防護需求越來越迫切。國家在保密工作上先後頒佈了各種保密法律，並發展保密技術，應用高階技術手段保護國家和企事業機密的安全，特別是加強郵件安全保密技術的應用，已成為當前安全保密工作的重要工作內容之一。

　　據Gartner(高德納諮詢公司)報告分析，電子郵件威脅與行為分析 、身份欺騙相結合、釣魚網站、惡意軟體和漏洞。為了逃避普通電子郵件安全技術的檢測，特別是那些只依賴於標準防毒軟體和聲譽的技術的電子郵件安全技術，電子郵件威脅已經變得越來越複雜。

　　為了更好地理解電子郵件攻擊，我們需要剖析威脅，瞭解它們的複雜性，並與攻擊者的技術和方法相匹配，採取有效的防禦。

　　電子郵件是客戶端端點的機會主義和有針對性的攻擊最常用的通道。據Gartner2016年電子郵件調查表明：

　　■郵件是有針對性的對客戶的終端和使用者無針對性攻擊的首選渠道。

　　■BEC(Business Email Cheat,商業郵件欺詐)成為了攻擊者的搖錢樹。對於許多檢測技術來說，這是難以捉摸的，但他們檢測異常電子郵件流量和身份欺騙技術的能力正在提高。

　　■針對入站郵件的威脅，電子郵件安全閘道器是主要保護控制點。它們結合了普通和高階攻擊檢測和預防技術。

　　■DMARC(Domain-based Message Authentication, Reporting and Conformance，基於資訊、報告統一的域認證協議)，DKIM(Domain Keys Identified Mail，域名金鑰識別郵件標準)和SPF(Sender Policy Framework傳送方政策框架)的應用正在改善，但必須進一步增加。實現上還存在一定的挑戰，但解決方案提供商可以提供幫助。

　　圖1描述了對不同技術類別的電子郵件威脅的剖析。

▲圖1 電子郵件威脅技術和手段　圖片來源：Gartner(2016年11月)

　　五個攻擊階段是：

　　■目標識別：在這個階段，攻擊者的目標決定了受攻擊者。即使通道限於電子郵件，攻擊者可以搜尋大量內部使用者，以及特定的內部目標，甚至透過在外部電子郵件中的偽造域來組織外部目標使用者。

　　■基礎設施/準備：在目標識別之後，攻擊者需要設定發起攻擊所需的基礎結構。對於大規模分發，攻擊者可能租用殭屍網路，並將其與開發工具包或惡意附件相結合。

　　■身份欺騙：最簡單的攻擊不使用身份欺騙來隱藏惡意訊息的實際傳送者。為了獲得更高的成功率，攻擊者可能會嘗試一些簡單的技巧，以使接收方相信訊息來自內部使用者。在最簡單的形式中，攻擊者使用內部使用者的名稱或應答地址，該地址與可見發件人的地址不同。更復雜的攻擊者使用近鄰域、濫用妥協的郵箱或郵件伺服器等來做為傳送方。

　　■資訊：因為在大多數情況下，攻擊者要求接收者採取行動，因此幾乎所有電子郵件攻擊都會構建相對可信的訊息體。拼寫錯誤洩露垃圾郵件的時代已經過去，大多數攻擊都使用令人信服的正確的文字和語法。簡單的自定義，如包括收件人的名字開頭，越來越自動化，越來越普遍。電子郵件訊息的真實惡性往往隱藏在附件或URL中。比如用宏連線到Internet下載惡意軟體。

　　■目標：目標不是攻擊階段，而是要理解攻擊者並設計對策，如果所有其他階段都未被阻止，安全專業人員必須對攻擊者的目標進行建模。攻擊者最常見的目標是在機器上安裝惡意軟體。惡意軟體可以用於許多不可告人的目的，包括髮送垃圾郵件，竊取銀行資訊和勒索。攻擊者的另一個共同目標是竊取企業憑證，通常是進行欺詐或進一步滲透組織。更難以捉摸的攻擊不使用URL(統一資源定位符)或附件。收件人電匯或洩漏敏感資訊，隨後可用於欺詐。最後，勒索可能被攻擊者利用後妥協的郵箱或郵件伺服器。受害者必須付費，否則敏感資訊將被洩露給公眾。

　　圖1的上半部分包括攻擊者工具箱中的標準技術。這些技術大多需要很少的開發時間和專門知識。這些方法通常用於完全自動化的詐騙。攻擊者的目標是從受攻擊的終端使用者或端點獲得相對較低的勒索。

　　圖1的下半部分包含了更復雜的技術。為了獲得更高的成功回報，攻擊者使用的技術和方法更具針對性，但必須以較小的規模執行。這些方法通常需要更多的準備和開發時間。

　　攻擊者不僅使用上下兩部分技術的攻擊之間進行選擇，通常會用混合和匹配技術來實現其目標。額外的複雜性需要額外的成本、時間和精力，只有在達到目標時才能完成。在採取更多對策的情況下，複雜度增加了。隨著多可用AV在許多安全電子郵件閘道器(SEGS)的使用，例如，我們看到惡意軟體複雜度提高到一個水平，促使組織使用更有效的對策，如沙箱和檔案型別白名單的。

　　安全專業人員可能會受益於解剖電子郵件威脅，因為它提供了一個結構化的方法來設計分層防禦。圖2描述了與圖1中的攻擊技術和方法相匹配的防禦選項。

▲圖2. 防禦電子郵件威脅的技術和方法　圖片來源：Gartner(2016年11月)

　　即使許多攻擊都需要其他通道(通常是Web)來完全折衷客戶端端點，但電子郵件在大多數情況下是第一個提供的如下：

　　■初始URL形式的連結或釣魚網站攻擊工具包

　　■附件中含惡意程式指令碼或跨站攻擊的載荷

　　■行為攻擊的起點，如遇BEC或網路釣魚攻擊

　　一般來說，根據攻擊的針對性不同，我們大致可以將針對郵箱的攻擊事件分為如下表中的幾個層次：垃圾郵件、個人攻擊、商業欺詐和 APT(Advanced Persistent Threa,高階持續性威脅)攻擊。

　　綜上，郵件主要受病毒、木馬、網路釣魚/鯨、垃圾郵件、郵件炸彈、監聽、密碼破解、指令碼漏洞、郵箱拖庫和撞庫等多種威脅的侵害，所涉及到的安全技術主要有基礎設施(儲存、安全郵閘道器等)，安全技術(安全中介軟體、郵件身份認證技術、埠及協議技術、沙盒，防病毒、DLP(Data leakage prevention,資料防洩漏))等)、管理技術(審計分級管理，智慧監控等技術)等多種技術。

　　目前，國外的安全郵件產品主要有BAE系統、梭魚網路、微軟等公司的包括SEG(包括高階威脅防禦)、安全閘道器(SWG)、Web應用防火牆(WAF)、防火牆和SSL、VPN以及高階威脅防護(ATP)等。

　　國內安全郵件廠商主要有：格爾、奧聯、Coremail(論客)、拓波等。