기업 메일 보안 보호의 경험 요약

I. 메일은 사이버 공격의 기본 위반

기업 메일 보안 보호 경험 요약입니다. 메일 기업 (특히 전통 고 대형 기업)에 대 한 주요 커뮤니케이션 도구로 서 더 많은 중요 한 되고있다 그리고 보안 문제 더 유명 되고있다. 메일 프로토콜 인증 및 보안 인증 메커니즘을 결여 된다, 따라서 추적 및 높은 비용 성능 특성, 자연 메일 통신 사기, 갈 취 소프트웨어 되고있다 공격 하는 주요 방법. 현재, 공개는 일반적으로 메일 보안은 피싱 공격 (피싱), 사실, 메일 보안 분야는 매우 광범위 한,이 문서 작업 및 다차원 공유의 지식에 따라 믿습니다.

첫째, 4 종류의 메시지 피싱 기술 소개

A. 피싱 보낸 사람 별칭 어려움 인덱스 *

공용 사서함 (예: Gmail)를 사용 하 여 다른 사람의 계정을 위조 이메일 계정의 이름 섹션 특성을 사용 하 여 피싱 메시지의이 종류는 최고, 그리고 실제 보낸 사람 주소는 진짜, 대화형 사기에 대 한 사용할 수 있습니다.

예를 들어

: 스티브 잡스 < sjobs@banana.com > (하지 sjobs@apple.com)

B. 피싱 보낸 어려움 인덱스 * *

메일 프로토콜의 인증 결함을 사용 하 여 (실제 향상 된 보안 프로토콜 이미 존재 하지만 보급률이 높지 않다), 실제 보낸 사람 주소를 사용 하 여 별칭, 피해자에 게 메시지를 보낼. 이점은 피해자가 저항, 모든 진짜 상품, 진짜 상품, 진짜 상품 이며 결함은 공격자가 피해자의 이메일 응답 및 악의적인 링크 또는 공격 목적으로 첨부 하도록 요구 받을 수 없습니다.

예를 들어

: 스티브 잡스 < sjobs@apple.com > (빌드 또는 고용 악의적인 메일 서버)

C. 유사한 도메인 피싱-어려움 색인 * *

APP1E (안 L은 번호 1), 같은 유사한 도메인 이름을 다음 당신은 일상적인 작업을 따를 수 있습니다.

단점은 도메인 이름을 등록, 메일 서비스, 등 너무 번잡 하 고, 범죄의 흔적을 남길를 쉽게 구성 하 고 대기업 브랜드 모니터링 서비스, 유사한 도메인 이름을 등록 또는 모니터링의 범위 내에서 (도메인 이름 등록 업체는이 서비스).

예를 들어

: 스티브 잡스 < sjobs@app1e.com >

D. 피싱 응답 사람 난이도 계수 * * *

회신 피싱 실제 보낸 함께 메시지의 헤더에 필드를 사용 하 여 실제 보낸 사람의 주소는 악의적으로, 인터넷에서 전송 되며 피해자의 메일이 Gmail 사서함으로 반환 됩니다.

예를 들어

: 스티브 잡스 < sjobs@apple.com > (빌드 또는 고용 악의적인 메일 서버)

응답 to:hacker@gmail.com (이 필드는 메일 클라이언트에서 숨겨지지만 텍스트 또는 사용자 정의 소프트웨어에 의해 수정할 수 있습니다)

공격 유형 세 가지 카테고리로 요약 될 수 있다

1. 갈 취 소프트웨어 공격

세계의 기업의 41% 소프트웨어에 의해 강탈, 몸값을 지불 하는 피해자의 70%와 쳐 하고있다. 그것은 그물 공격 또는 감독된 공격, 이메일 59%, 웹 사이트, 소셜 미디어, 그리고 감염 된 저장 다음, 전달 하는 가장 일반적인 방법은입니다. 일반적인 상업 사기 주제 청구서, 배송 정보, 연체 계정, 등등을 포함 합니다.

협박 소프트웨어 서비스 Raas 서비스 (랜 섬)은 매우 성숙, 레지스터 bitcoin 계정 돈을 수집을 기다릴 수 있다 (인기 있는 지불 퀴즈 플랫폼을 참조 하십시오: 스크립트는 충분히 정확한, 꾸준한 위치 사용자 그룹 적립 하는 좋은 보상 하지).

2016, 협박 소프트웨어의 첫 해 3 분기 3.8 백만 + 악성 샘플을 발견 했다. Raas 되고있다 (또한 알려진 DDoS) 업계에서 지독한 경쟁 하는 동안 중국 기업 또한 강탈 소프트웨어의 피해자 되고있다-협박 소프트웨어 이동의 초라한, 심각한의 결과 상상!

2. 상업 메일 사기 (BEC) bec 비즈니스 이메일 타협.

상업 메일 사기 보스 사기 라고도 하 고 '내가 당신의 지도자' 전화 사기는 동일 (및 QQ 그룹, 조끼 지도자에 마이크로 편지 그룹).

A. 해외 비즈니스 규칙은 서명 된 계약에 따라, 전자 전송 (예: 기업 신용 카드, 수 표), 메일 사기는 가장 순수 하 고, 그래서 처리 이상 반복.

B. 중국 비즈니스 스탬프 계약 및 종이 청구서를 기반으로 하는 규칙, 메일 사기;에 면역은 중국 게임의 규칙에서 파생 하지만 중국의 메일 사기는 매우 중국어: 리더십의 습관 지도자 (인증 및 프로세스 매끄럽게 무시 하 고) 규칙 위반 송금 금융 직원을 요구 하는 빈번한 경우에 이르게.

이 종류의 메일 공격 보통 보안 팀 면제 될 수 있습니다, 하지 좁은 정보 보안 카테고리!

3. 위조 기업 메일

아웃 바운드 피싱 메일, 피싱 사업 (Taobao, Jingdong, 아마존, 등등), 공공 시설 특히 기업 이름 (12306, 법원 등) 매우 유해한 피싱 메일은 보낼 수. 이러한 공격, 기업에 직접적인 영향을 주지 않습니다 하지만 기업 평판을 직접적인 영향을.

II. 메시지 보안 보호 전략

이 장에서의 보호는 수동 응답의 전술 수준, 사실, IETF 메일 보안 프로토콜을 발표 했다, 기업 메일을 보호 하기 위해 건축 디자인에서 수 있습니다.

할 일과. 수-nist 프레임 워크: 식별, 보호, 모니터링, 대응, 복구.

1. 위험 식별

자산 식별-코어의 메시지 보안은 메시지의 내용과 계정, 자산 노출을 줄이기 위해 몇 가지 전략을 사용할 수 있습니다.

작은 팁은 이메일 별칭 (별칭, 여러 개의 이메일 주소의 받은 편지함 인스턴스를 해당), 그리고 Gmail 사서함 기본값 별칭 설정, 그리고 비즈니스 사서함 계획 및 ISP의 사서함 정책 또한 별칭을 허용. 비즈니스 연락처 전자 메일 주소는 공개 정보, 비즈니스 별칭 효과적으로 메일 계정, 계정 및 암호의 복잡성을 증가 액세스를 보호할 수 있습니다.

메시지의 콘텐츠 노출 엔터프라이즈 문서 암호화는 기밀 문서 승인 되지 않은 무단된 액세스에 대 한 이메일 계정이 손상 후 되도록 제도 (MS Rms, 어도비 RM, 등)로 구현할 수 있습니다.

2. 보호 메일

A. 메일 게이트웨이-스팸, 바이러스 첨부 파일

보호의 매우 정교한 수단, 비즈니스 프로그램 일반적으로 세부 사항을 더 이상 반복만 키 참조 포인트 커버

바이러스 백신 엔진 다른 공급 업체 라이브러리의 특성의 보충 됩니다 (일부 제조 업체는 여러 바이러스 백신 엔진 내장), 사용 하려면 얼마나 많은?

보호 정책 수준에 게이트웨이 구성 다양 한 보호 수준를 포함 하 고 관리자가 일반적으로 활성화 빠른 배포를 위해 중간 또는 낮은 수준의 보호 정책 메일 게이트웨이 완전히 기능;의 효과 결과로

일부 조직에서는 다중 계층 메시징 게이트웨이 배포 하는 협동 또는 우회-메일 위협 증가, 대기 시간 및 효율을 균형 하는 방법?

B. 계정 보호

동적 확인 코드-12306 하나님 같은 그림 확인 코드를 참조 로켓 형 암호 해독의 어려움 증가 (개인적으로 Google의 로봇 식별 기술을 더 인정)

MFA 이중 요소-구글 인증자 해외, 듀오는 좋은 계획 이며 서랍, U-카드, 암호 카드, 회사의 할당 된 OTP 토큰, 은행 눈 문 청소는 솔루션; 아주 많이 기대 대중화 (후회 양파의 죽음)에 대 한 국내 MFA 이중 요소 인증 플랫폼.

C. 터미널 컴퓨터-메일 공격 채널, 목표는 터미널 컴퓨터 또는 계정.

피싱 메일, 메일의 배달을 통해 악성 소프트웨어 컴퓨터의 성공적인 감염 가능 하며 성공적으로 실행 합니다.

바이러스 백신 소프트웨어 범위 결정 (설치 율, 감염 요구 관리와 기술 양방향 힘의 속도) 짧은 판의 터미널 컴퓨터 보호를 합니다.

거기 호스트 Id와 비슷한 소프트웨어 잠금 시스템 취약점 (강탈 소프트웨어 운영 체제 암호화 인터페이스 호출, 제한 인터페이스 호출 강탈 소프트웨어의 실행을 효과적으로 줄일 수 있습니다)

D. 네트워크 보호 에이전트 또는 방화벽

링크 또는 스크립트 다운로드 기능 라이브러리에서 자동으로 차단 하 고 URL 손으로 응답 단계에서 차단 될 수 있습니다.

같은 시간 필요가 알람 체인 이외의 악성 소프트웨어의 네트워크 계층에 관심을 지불, 일반적으로 찾을 수 있습니다 몇 가지 단서;

3. 공격 모니터링

1. 일상적인 작업을 하 고는 최고의 모니터링

메일 검색 하 역 밖의 수 여부 조사;의 원인

얼마나 많은 피싱 메시지 링크를 클릭, 또는 계정을 제출은? 이러한 계정 암호를 재설정 해야?

B. 차입을 위한 도구로 무장

헤더 분석: 메일 헤더 분석기 (참조 검색 엔진, 무료 광고)

인터넷에서 회사 메일 모니터링: Dmarc 데이터 플랫폼 (ⅲ 메일 보안 프로토콜 참조)

4. 이벤트에 응답

A.는 모니터링 기능은 전제 조건, 국내 기업도 사용자 에스컬레이션 단계; 유지

B. 모니터링 Exchange 로그 시작, 설정된 제목 키워드 필터링, 정보 악의적인 IP, 보낸 사람 실시간 알람 일치에서 권장 수동 구타 될 것 이다

C. 테스트 보안 팀 장비 운영 기관 및 우발 능력 (메일 보안 공격, 필요 반자동 및 프로세스의 높은 주파수)

메일 헤더 분석, 낚시 성공 비율 분석 (네트워크 계층 URL 액세스 로그와 결합)

네트워크 계층 블록 URL, 업데이트 바이러스 백신 소프트웨어 기능 라이브러리

5. 작업을 다시 시작

기업 메일 스키마와 파일 백업 전략에 따라 달라 집니다.

III. 메일 보안 프로토콜

비즈니스 관심 드라이브, 권장된 메일 게이트웨이 장비에서 제조 하기 때문에 메일 보안 프로토콜 구성 최적화 거의 언급, 현실 세계는 항상 전도 말을 하기 전에.

전통적인 SMTP 메일의 보안의 부족을 감안할 때, 벽돌 주택 개발 처방전의 5: Spf, dkim, rdns, Dmarc, 보낸 사람 Id.

오늘, DMARC (자세한 내용은 참조 https://dmarc.org/)에 초점

1. DMARC 무엇입니까?

Dmarc "도메인 기반 메시지 인증, 보고 및 규칙", 메일 인증 프로토콜, 공동 SPF와 DKIM 작업, 피드백 및 단계별 활성화 메커니즘을 프로토콜.

DMARC 프로토콜 메일 받는 사람 서버 피드백 메일 헤더 (PII 정보 제거) 다시 보낸 회사로, 당신은 도메인의 전송에 볼 수 있도록 메시지 인터넷에 기업, 그림자를 포함 하 여 하나님이 주신 방법 및 피싱 메시지에 필요 합니다.

보안 요원에 대 한 무엇을 의미 합니까?

A. 여러 DNS 서버에 구성 된 TXT 스크립트의 라인.

B. 피드백을 받을 로그 서버 설정 인터넷에 받는 사람 서버에서 데이터 (또는 구매 클라우드 서비스).

2. 어떻게 Dmarc 합니까?

A. 기업 메일 관리 관점

DNS 서버를 통해 엔터프라이즈 DMARC 정책 게시, 예를 들어 알려 타사 메일 서버 격리에 SPF와 dkim 구성에 맞지 않는 메일에 대 한 삭제

DNS 서버;에 의해 제 3 자 기업의 이메일 상태의 대상 주소 (사서함) 게시

제 3-파티 기업 사서함에서 DMARC 상태 피드백에 따라 모든 도메인 메시지에 대 한 정보를 얻을

DMARC 피드백 메시지 상태 포함: 메일 서비스, 그림자 메일 (예: 마케팅 마케팅 메일 클라우드 서비스의 부서 조달) 관리 및 메일 외부 기업 사기의 이름으로.

B. 받는 사람 관점

제 3 자 보낸 사람 도메인의 메일 수신 안전 여부를 확인 하려면 DMARC 전략 (SPF, DKIM, DMARC), DNS 서버 외부 릴리스에 따라 달라 집니다, 동시에 걸릴 격리, 제거 및 기타 작업;

제 메일의 보안 상태를 결정 하는 최종 결정에 동시에 당신은 받는 사람의 지정 된 사서함; 메시지 머리글 정보 (PII 정보 제거)를 보낼 필요가