你的郵件安全嗎? 電子郵件威脅與防禦剖析

　　網際網路生活的普及，信息化無處不在的高速發展及其便捷、高效、多樣的信息傳輸手段，電子辦公的普遍，成為了國際網絡黑客、竊密手段、網絡犯罪橫行的平臺，為國家和企事業單位信息保密安全工作帶來巨大困難和挑戰。

　　跟傳統的信息傳輸模式相比，電子郵件具有很強的時效性、便捷性，然後隨著電子郵件在社會的廣泛應用，隨之而來的安全保密問題日漸突出，機密洩漏、信息篡改、假冒地址、垃圾郵件等令人煩惱不堪，相應的安全保密防護需求越來越迫切。國家在保密工作上先後頒布了各種保密法律，並發展保密技術，應用高端技術手段保護國家和企事業機密的安全，特別是加強郵件安全保密技術的應用，已成為當前安全保密工作的重要工作內容之一。

　　據Gartner(高德納諮詢公司)報告分析，電子郵件威脅與行為分析 、身份欺騙相結合、釣魚網站、惡意軟體和漏洞。為了逃避普通電子郵件安全技術的檢測，特別是那些只依賴於標準殺毒軟體和聲譽的技術的電子郵件安全技術，電子郵件威脅已經變得越來越複雜。

　　為了更好地理解電子郵件攻擊，我們需要剖析威脅，了解它們的複雜性，並與攻擊者的技術和方法相匹配，採取有效的防禦。

　　電子郵件是客戶端端點的機會主義和有針對性的攻擊最常用的通道。據Gartner2016年電子郵件調查表明：

　　■郵件是有針對性的對客戶的終端和用戶無針對性攻擊的首選渠道。

　　■BEC(Business Email Cheat,商業郵件欺詐)成為了攻擊者的搖錢樹。對於許多檢測技術來說，這是難以捉摸的，但他們檢測異常電子郵件流量和身份欺騙技術的能力正在提高。

　　■針對入站郵件的威脅，電子郵件安全網關是主要保護控制點。它們結合了普通和高級攻擊檢測和預防技術。

　　■DMARC(Domain-based Message Authentication, Reporting and Conformance，基於信息、報告統一的域認證協議)，DKIM(Domain Keys Identified Mail，域名密鑰識別郵件標準)和SPF(Sender Policy Framework發送方政策框架)的應用正在改善，但必須進一步增加。實現上還存在一定的挑戰，但解決方案提供商可以提供幫助。

　　圖1描述了對不同技術類別的電子郵件威脅的剖析。

▲圖1 電子郵件威脅技術和手段　圖片來源：Gartner(2016年11月)

　　五個攻擊階段是：

　　■目標識別：在這個階段，攻擊者的目標決定了受攻擊者。即使通道限於電子郵件，攻擊者可以搜索大量內部用戶，以及特定的內部目標，甚至通過在外部電子郵件中的偽造域來組織外部目標用戶。

　　■基礎設施/準備：在目標識別之後，攻擊者需要設置發起攻擊所需的基礎結構。對於大規模分發，攻擊者可能租用殭屍網絡，並將其與開發工具包或惡意附件相結合。

　　■身份欺騙：最簡單的攻擊不使用身份欺騙來隱藏惡意消息的實際發送者。為了獲得更高的成功率，攻擊者可能會嘗試一些簡單的技巧，以使接收方相信消息來自內部用戶。在最簡單的形式中，攻擊者使用內部用戶的名稱或應答地址，該地址與可見發件人的地址不同。更複雜的攻擊者使用近鄰域、濫用妥協的郵箱或郵件伺服器等來做為發送方。

　　■信息：因為在大多數情況下，攻擊者要求接收者採取行動，因此幾乎所有電子郵件攻擊都會構建相對可信的消息體。拼寫錯誤洩露垃圾郵件的時代已經過去，大多數攻擊都使用令人信服的正確的文本和語法。簡單的自定義，如包括收件人的名字開頭，越來越自動化，越來越普遍。電子郵件消息的真實惡性往往隱藏在附件或URL中。比如用宏連接到Internet下載惡意軟體。

　　■目標：目標不是攻擊階段，而是要理解攻擊者並設計對策，如果所有其他階段都未被阻止，安全專業人員必須對攻擊者的目標進行建模。攻擊者最常見的目標是在機器上安裝惡意軟體。惡意軟體可以用於許多不可告人的目的，包括發送垃圾郵件，竊取銀行信息和勒索。攻擊者的另一個共同目標是竊取企業憑證，通常是進行欺詐或進一步滲透組織。更難以捉摸的攻擊不使用URL(統一資源定位符)或附件。收件人電匯或洩漏敏感信息，隨後可用於欺詐。最後，勒索可能被攻擊者利用後妥協的郵箱或郵件伺服器。受害者必須付費，否則敏感信息將被洩露給公眾。

　　圖1的上半部分包括攻擊者工具箱中的標準技術。這些技術大多需要很少的開發時間和專門知識。這些方法通常用於完全自動化的詐騙。攻擊者的目標是從受攻擊的最終用戶或端點獲得相對較低的勒索。

　　圖1的下半部分包含了更複雜的技術。為了獲得更高的成功回報，攻擊者使用的技術和方法更具針對性，但必須以較小的規模執行。這些方法通常需要更多的準備和開發時間。

　　攻擊者不僅使用上下兩部分技術的攻擊之間進行選擇，通常會用混合和匹配技術來實現其目標。額外的複雜性需要額外的成本、時間和精力，只有在達到目標時才能完成。在採取更多對策的情況下，複雜度增加了。隨著多可用AV在許多安全電子郵件網關(SEGS)的使用，例如，我們看到惡意軟體複雜度提高到一個水平，促使組織使用更有效的對策，如沙箱和文件類型白名單的。

　　安全專業人員可能會受益於解剖電子郵件威脅，因為它提供了一個結構化的方法來設計分層防禦。圖2描述了與圖1中的攻擊技術和方法相匹配的防禦選項。

▲圖2. 防禦電子郵件威脅的技術和方法　圖片來源：Gartner(2016年11月)

　　即使許多攻擊都需要其他通道(通常是Web)來完全折衷客戶端端點，但電子郵件在大多數情況下是第一個提供的如下：

　　■初始URL形式的連結或釣魚網站攻擊工具包

　　■附件中含惡意程序腳本或跨站攻擊的載荷

　　■行為攻擊的起點，如遇BEC或網絡釣魚攻擊

　　一般來說，根據攻擊的針對性不同，我們大致可以將針對郵箱的攻擊事件分為如下表中的幾個層次：垃圾郵件、個人攻擊、商業欺詐和 APT(Advanced Persistent Threa,高級持續性威脅)攻擊。

　　綜上，郵件主要受病毒、木馬、網絡釣魚/鯨、垃圾郵件、郵件炸彈、監聽、密碼破解、腳本漏洞、郵箱拖庫和撞庫等多種威脅的侵害，所涉及到的安全技術主要有基礎設施(存儲、安全郵網關等)，安全技術(安全中間件、郵件身份認證技術、埠及協議技術、沙盒，防病毒、DLP(Data leakage prevention,數據防洩漏))等)、管理技術(審計分級管理，智能監控等技術)等多種技術。

　　目前，國外的安全郵件產品主要有BAE系統、梭魚網絡、微軟等公司的包括SEG(包括高級威脅防禦)、安全網關(SWG)、Web應用防火牆(WAF)、防火牆和SSL、VPN以及高級威脅防護(ATP)等。

　　國內安全郵件廠商主要有：格爾、奧聯、Coremail(論客)、拓波等。