Sophos電子郵件產(chǎn)品管理高級總監(jiān)David Mitchell分享了他的主要技巧,以優(yōu)化工作場所的電子郵件安全性。
盡管工作場所的聊天和即時通訊應(yīng)用越來越多,但對許多人來說電子郵件仍繼續(xù)在內(nèi)部和外部業(yè)務(wù)通信中占主導(dǎo)地位。
不幸的是,電子郵件還是網(wǎng)絡(luò)攻擊的最常見切入點,攻擊者會將惡意軟件和漏洞傳播到網(wǎng)絡(luò),并泄漏登錄憑據(jù)和敏感數(shù)據(jù)。
電子郵件安全攻擊態(tài)勢
SophosLabs的最新數(shù)據(jù)顯示,到2020年9月,他們的垃圾郵件捕獲程序捕獲的惡意垃圾郵件中有97%是網(wǎng)絡(luò)釣魚電子郵件,目的是尋找憑據(jù)或其他信息。
剩下的3%是混雜的帶有惡意網(wǎng)站鏈接或帶有釣魚附件的信息,攻擊者希望安裝后門、遠程訪問木馬(RAT)、信息竊取或利用,或者下載其他惡意文件。不管最終的目標是什么,網(wǎng)絡(luò)釣魚對于攻擊者來說仍然是一種非常有效的攻擊策略。我想這背后的部分原因是其幕后的運營商不斷提高自己的技能并提高其活動的復(fù)雜性。
一個很好的例子是企業(yè)電子郵件攻擊(BEC)的興起,最新的攻擊工具不再局限于偽裝成首席執(zhí)行官、要求立即秘密轉(zhuǎn)移大筆資金的糟糕拼寫或格式的郵件,最新的迭代更加復(fù)雜和聰明。
攻擊者在發(fā)動攻擊之前正在做基礎(chǔ)工,他們了解業(yè)務(wù)和目標主管,采用他們的語言風(fēng)格和語氣,有時甚至是真實的電子郵件帳戶。
此類電子郵件中缺少惡意鏈接或附件,這使它們很難被傳統(tǒng)的安全工具檢測到。
SophosLabs收到的詐騙電子郵件
攻擊者還學(xué)會了更好地模仿Web域,并充分利用目前三分之一的商務(wù)郵件是在移動設(shè)備上使用的這一事實。
很難在智能手機上檢查消息的來源和完整性,并且人們更容易移動或分散注意力,因此移動設(shè)備的目標更容易成為目標。
工作場所保護電子郵件安全有五個步驟
考慮到這些注意事項,以下是研究人員確保你的組織的電子郵件安全的五個基本步驟。
步驟1:安裝一個智能的、多功能的安全解決方案,該解決方案將在你發(fā)現(xiàn)攻擊之前對它們進行篩選、檢測和阻止。
為了保護你的網(wǎng)絡(luò)、數(shù)據(jù)和員工免受迅速發(fā)展的基于電子郵件的攻擊,你安裝的必須是有效的安全軟件。值得考慮的是一種基于云的選擇,它可以實現(xiàn)實時更新、可伸縮性以及與其他安全工具的集成,以實現(xiàn)共享智能。
為了使你的安全解決方案發(fā)揮最佳性能,你還需要為入站和發(fā)送電子郵件設(shè)置適當(dāng)?shù)目丶@?,你是否只在收到郵件后掃描郵件,或者在用戶打開郵件后監(jiān)控他們點擊了什么?
如何隔離不想要的電子郵件或身份驗證失敗的電子郵件,以及誰有權(quán)配置或否決決策?這就是第二步要做的。
步驟2:為電子郵件驗證實施可靠的防護措施
你的組織必須能夠驗證電子郵件來自其聲稱來自的人和來源,網(wǎng)絡(luò)釣魚電子郵件通常具有欺騙性或偽裝的電子郵件地址,而電子郵件身份驗證則可以為他們提供重要的保護。
你安裝的電子郵件安全解決方案應(yīng)該能夠根據(jù)電子郵件似乎來自的域設(shè)置的身份驗證規(guī)則檢查每個傳入的電子郵件,最好的方法是實現(xiàn)一個或多個公認的電子郵件認證標準。
主要的行業(yè)標準是:
1.發(fā)件人策略框架(SPF),這是一個域名服務(wù)器(DNS)記錄,用于根據(jù)允許為特定域發(fā)送電子郵件的預(yù)定義IP地址檢查入站郵件中的電子郵件地址。如果入站的電子郵件地址與其中任何一個不匹配,那么這個地址很可能是假的。
2.DomainKeys Identified Mail(DKIM),可以查看入站電子郵件以檢查是否已更改,如果電子郵件是合法的,則DKIM將找到一個數(shù)字簽名,該數(shù)字簽名鏈接到附加在電子郵件標題上的特定域名,并且在源域也將有一個相應(yīng)的加密密鑰。
3.域消息身份驗證報告和一致性(DMARC),指示接收服務(wù)器如果未通過DKIM或SPF檢查,則不接受電子郵件。這些檢查可以單獨執(zhí)行,但DMARC會將它們組合在一起。它還可以確保通過SPF和DKIM認證的域與電子郵件標頭地址中的域匹配。DMARC當(dāng)前提供了用于驗證電子郵件發(fā)件人的最佳,使用最廣泛的方法。
步驟3:員工注意事項
提醒那些知道可疑郵件的警告信號的員工是一種很好的防御手段,你的企業(yè)可以實施正式的在線培訓(xùn)、共享最新攻擊示例、運行測試并向他們顯示一些標準檢查:電子郵件地址是否可疑、是否存在意外的語言錯誤?如果它似乎是來自內(nèi)部同事,他們通常會以這種方式交流嗎?你期待收到的郵件是來自某個你認識的人嗎?
如前所述,當(dāng)員工在移動設(shè)備上打開短信時,一些潛在的危險信號很難被發(fā)現(xiàn)。解決此問題的一種方法是引入標語,以在電子郵件是外部來源時自動突出顯示,即使它假裝來自內(nèi)部地址也是如此。
步驟4::教育員工,讓他們知道當(dāng)他們發(fā)現(xiàn)一些危險信號時應(yīng)該做什么?
你需要使你的員工輕松報告他們不確定的事情,這意味著必須向他們提供一個簡單的流程,例如用于報告可疑消息的企業(yè)內(nèi)部郵箱。
其目的是最大限度地增加報告的攻擊數(shù)量,阻止進一步的傷害永遠不會太遲,所以你還應(yīng)該鼓勵那些已經(jīng)成為攻擊受害者的員工及時報告出現(xiàn)的異?,F(xiàn)象。
步驟5:不要忘記發(fā)送電子郵件
收件人將根據(jù)上述身份驗證方法自行評估從你的組織發(fā)送的電子郵件。你需要確保針對自己的域名設(shè)置了強大的控件,這對于確保組織溝通的完整性和品牌聲譽并防止對手誤用至關(guān)重要,你可能還希望考慮到發(fā)送電子郵件時還需要監(jiān)視和控制什么。
你是否掃描異?;顒踊虍惓P袨槟J剑ɡ缭谏钜苟ㄆ诎l(fā)送到未經(jīng)驗證的IP的電子郵件),這些行為可能表明內(nèi)部電子郵件帳戶受到了攻擊,或者是正在進行的網(wǎng)絡(luò)攻擊?你是否掃描并阻止付款信息(例如信用卡詳細信息或其他客戶PPI)退出網(wǎng)絡(luò)等?這些都是關(guān)于員工意識和信任以及電子郵件安全的敏感領(lǐng)域,最好的起點是對員工進行教育和支持。
隨著攻擊者利用新技術(shù)、新環(huán)境或只是訓(xùn)練其社交工程策略,電子郵件攻擊技術(shù)一直在不斷迭代。定期檢查你的電子郵件安全性,確保它與你的組織和攻擊者技術(shù)的變化保持同步。
如果你正在尋找工作場所的電子郵件安全解決方案,則可以考慮以下方面:
1.Sophos Intelix,這是一個實時攻擊查找服務(wù),你可以在自己的系統(tǒng)軟件和腳本中使用它來為可疑網(wǎng)站,URL和文件添加高速攻擊檢測。一個簡單的基于HTTPS的Web API(可使用JSON進行響應(yīng))意味著你可以從幾乎任何你喜歡的編程或腳本語言中使用Sophos Intelix。注冊是免費的,每個月你都可以獲得大量的免費提交,之后如果你想進行大量查詢,你可以按需付費。
2.Sophos Phish Threat(網(wǎng)絡(luò)釣魚威脅模擬器),Sophos Phish Threat能夠?qū)⒄麄€培訓(xùn)程序自動化,并通過一目了然的分析報告辨別出安全意識薄弱的員工。作為唯一由IT安全界領(lǐng)導(dǎo)廠商所推出的安全意識培訓(xùn)方案,Sophos PhishThreat可與郵件、端點及網(wǎng)絡(luò)安全措施一起利用單一的主控臺管理,有助于改善風(fēng)險管理和事故應(yīng)變。Phish Threat也提供分析及報告指標,可在組織或員工個人層面上就整體業(yè)務(wù)風(fēng)險及安全狀況作出追蹤和評估。該培訓(xùn)方案同時會把員工對網(wǎng)絡(luò)釣魚攻擊的敏感度與全球規(guī)范相對比,以便企業(yè)量身訂造培訓(xùn)內(nèi)容,而這些基礎(chǔ)數(shù)據(jù)還可用來加強Sophos Central的安全政策設(shè)定,提供多重安全策略以對抗網(wǎng)絡(luò)釣魚及社交工程攻擊。
3.Sophos電子郵件。這是研究人員開發(fā)基于云的電子郵件安全解決方案,可阻止網(wǎng)絡(luò)釣魚騙子,垃圾郵件,零日惡意軟件和有害應(yīng)用程序。Sophos Email沙箱內(nèi)置的人工智能技術(shù)與Intercept X相同,是一個深入學(xué)習(xí)神經(jīng)網(wǎng)絡(luò),能夠偵測已知和未知惡意軟件,以及不想要應(yīng)用程序,阻止其執(zhí)行。