信息化觀察網(wǎng)

在正常的業(yè)務(wù)辦公中，我們都會使用到電子郵件，攻擊者也清楚的知道這一點，并且將電子郵件視為接觸用戶傳播惡意軟件和勒索軟件的絕佳方式。網(wǎng)絡(luò)攻擊現(xiàn)在變得越來越有創(chuàng)意，企業(yè)需要不斷調(diào)整電子郵件防御措施以跟上這種持續(xù)的威脅。可以探索一些基本方法來防御這種情況并確保用戶不會成為這種不斷發(fā)展的威脅的犧牲品。盡管目前存在多種戰(zhàn)略，但組織實施怎樣的戰(zhàn)略最終將取決于組織愿意接受怎樣程度的風險水平。

一種更輕(更弱)的電子郵件防御方法

假設(shè)一封電子郵件到達用戶的收件箱并包含一個惡意鏈接，用戶不經(jīng)意地點擊了該鏈接。隨后，該用戶的終端被感染了。大多數(shù)組織會通過以下三種方式防御/應(yīng)對這種問題。

●該組織已確保在終端上安裝了反惡意軟件，希望能阻止感染。

●組織已經(jīng)對用戶進行了有關(guān)電子郵件漏洞和防御策略的培訓和教育，希望用戶能謹慎行事，意識到該鏈接是惡意的，因此不會點擊該鏈接。

●該組織已投資于反垃圾郵件掃描技術(shù)，作為進一步的防御層。

雖然這些過程都有自身的好處，但不可避免的是，這三種方法都是相對薄弱的電子郵件防御形式。第一種防御方案依賴于在端點上安裝反惡意軟件，它假定用戶正在使用受保護的端點，并且反惡意軟件會檢測到該威脅。然而，這些威脅總是在不斷變化，而且有一些規(guī)避反惡意軟件的暗箱操作方法，如使用基于瀏覽器的電子郵件和未經(jīng)注冊的鏈接。使用反惡意軟件作為其唯一的電子郵件防御形式的組織，通過惡意鏈接被用戶點擊而繼續(xù)受到侵害是很常見的。

這給我們帶來了第二點——培訓和教育用戶持懷疑態(tài)度，提高認識，不要點擊鏈接。盡管教育是至關(guān)重要的，而且應(yīng)該采取這一步驟，但歸根結(jié)底，人們是好奇的，而且有可能一些用戶會點擊這些鏈接，無論是出于好奇還是粗心的錯誤。不幸的是，只需要一個用戶點擊一個惡意鏈接，就可以錯誤地損害一個組織。這種情況一次又一次地被看到。所以很明顯，用戶的好奇心和攻擊者的狡猾總是會導致用戶點擊一些他們不應(yīng)該點擊的地方。

第三，無處不在的反垃圾郵件技術(shù)，掃描電子郵件中的鏈接。許多人認為這是一個萬無一失的方法。然而，這些鏈接繼續(xù)通過防御。這通常是由于黑客習慣于使用微軟365或同等產(chǎn)品，所以他們知道如何輕松地規(guī)避這種類型的防御。

那么，在這三種策略被許多人依賴的情況下，還有什么辦法可以進一步鞏固電子郵件防御?

更有力的電子郵件防御方法

人們經(jīng)常說到防御策略的分層。因此，即便有些策略失敗了，但總有一些還是可以依靠的。同樣地，分層使用幾種策略來防御連續(xù)的電子郵件網(wǎng)絡(luò)攻擊是有益的。可以包括以下的電子郵件防御層。

●建立一個持續(xù)檢查鏈接的系統(tǒng);這可以通過采用點擊鏈接的技術(shù)來發(fā)現(xiàn)任何潛在的漏洞。如果發(fā)現(xiàn)鏈接包含漏洞，該技術(shù)將把鏈接重定向到一個內(nèi)部網(wǎng)站，并將其突出顯示為惡意的。

●確保端點與所有其他系統(tǒng)隔離，這樣，如果惡意鏈接被點擊，有效載荷將不會感染端點。這可以通過對端點進行空中封鎖來實現(xiàn)。此外，如果端點不具備安全性，它就不應(yīng)該有查看電子郵件的權(quán)限。因此，這是一種預先允許訪問電子郵件的態(tài)勢評估。通過限制可以訪問電子郵件/鏈接的機器，組織確保只有被隔離和加固的機器可以。

●鼓勵用戶只使用受保護的系統(tǒng)，并將激勵措施落實到位，以鼓勵這些受限制的界面。這是一個嚴重依賴的紀律。通過將設(shè)備用于它們的用途，不僅會使組織更加安全，而且有助于發(fā)展安全的實踐。如果設(shè)備對任何可以點擊的鏈接都有彈性，那么連續(xù)的電子郵件網(wǎng)絡(luò)攻擊的脆弱性就開始變得不那么重要了。

●確保所有在鏈接中無法驗證的域名以及所有不常見或不經(jīng)常使用的域名都被默認屏蔽。這種方法不僅會限制整個攻擊面的面積，而且會確保任何來自隨機域名的鏈接在默認情況下不會起作用。所有可執(zhí)行的腳本和應(yīng)用程序都必須被阻止，并對瀏覽器給予特別關(guān)注。這一點在許多組織中通常沒有得到很好的管理。

●采用強大的DNS掃描，這樣，當一個鏈接出現(xiàn)，重定向到一個已知的惡意軟件的DNS區(qū)域或尚未審查的新東西，它將被阻止。

●創(chuàng)建應(yīng)用程序白名單，只允許經(jīng)過審查的應(yīng)用程序和腳本運行。如果在設(shè)備或瀏覽器的內(nèi)存中創(chuàng)建或運行任何跡象的腳本或可執(zhí)行代碼，這種行為應(yīng)被阻止。

●為可信和敏感的通信采用端對端加密也是關(guān)鍵;這意味著想要安全地相互通信的用戶必須進行認證，并在安全信封中創(chuàng)建一封電子郵件，對其進行簽名和主動認證。這比僅僅在公共網(wǎng)絡(luò)上發(fā)送公開的電子郵件更安全。安全平臺可以使用身份驗證系統(tǒng)對用戶進行認證，以了解電子郵件的來源。通過確保所有的電子郵件都經(jīng)過加密和簽名，它們是無法被篡改的。這些類型的安全電子郵件平臺比標準企業(yè)電子郵件更值得信賴。

迎接這一無盡的挑戰(zhàn)

持續(xù)保護電子郵件環(huán)境具有挑戰(zhàn)性，傳統(tǒng)系統(tǒng)需要改進，因為很明顯大多數(shù)勒索軟件都是通過電子郵件滲透的，而且它是有效的。由于電子郵件可以到達所有用戶并且長期存在，因此使用安全電子郵件是一個不錯的選擇。盡管培訓和教育可以發(fā)揮作用，但它本身很少有效，因此對于所有企業(yè)來講，實施額外的層級和技術(shù)控制來抵御每天面臨的這種持續(xù)威脅至關(guān)重要。