企業郵件安全防護經驗總結

I. 郵件是網路攻擊的首要突破口

企業郵件安全防護經驗總結。 郵件作為企業(特別是傳統和大型企業)的主要溝通工具關鍵程度日益提升，同時安全問題也日益益突出。 郵件協定缺乏認證和安全鑒別機制，因此天然具備防追蹤和高性價比的特性，郵件已經成為電信詐騙、勒索軟體攻擊的主要途徑。 目前大眾普遍認為郵件安全就是釣魚攻擊(phishing)，其實郵件安全的領域很廣，本文基於工作中的知識與大家多維度分享一下。

首先介紹四種郵件仿冒技術

a. 仿冒寄件者別名-難度指數*

利用郵件帳號的別名欄位屬性，使用公用郵箱(比如Gmail)仿冒他人帳號，此類仿冒郵件占比最高，同時因為實際寄件者位址真實存在，可以進行互動式詐騙。

Example

From: Steve Jobs < sjobs@banana.com >(而不是sjobs@apple.com)

b. 仿冒寄件者-難度指數**

利用郵件協定的認證缺陷(實際加強安全協定已經存在，但是普及率不高)，使用真實的寄件者位址和別名，給受害人發送郵件。 優點是受害人毫無抵抗能力，全是真貨、真貨、真貨;缺陷是攻擊者不能收到受害者的郵件回復，需要結合惡意連結或附件達到攻擊目的。

Example

From: Steve Jobs < sjobs@apple.com >(搭建或租用惡意郵件伺服器)

c. 相似功能變數名稱仿冒-難度指數 **

搶注相似功能變數名稱，比如app1e(不是L，是數位1)，然後就可以按照套路操作了。

缺點是註冊功能變數名稱、配置郵件服務等太麻煩，而且容易留下作案痕跡;而且大公司都有brand監控服務，相似功能變數名稱已經搶注或在監控範圍內了(功能變數名稱註冊商有這項服務)。

Example

From: Steve Jobs < sjobs@app1e.com >

d. 仿冒回復人-難度係數 ****

利用郵件header中的Reply to欄位，結合仿冒真實寄件者攻擊，做到真實寄件者位址從互聯網惡意發送，受害者郵件回復送達Gmail郵箱。

Example

From: Steve Jobs < sjobs@apple.com >(搭建或租用惡意郵件伺服器)

Reply To: hacker@gmail.com (此欄位在郵件用戶端隱藏，但是可以通過文本或定制軟體修改)

基於攻擊類型可以概括為三類

1. 勒索軟體攻擊

全球41%的企業遭受勒索軟體的攻擊，其中70%的受害者選擇了支付贖金。 無論是撒網攻擊還是定向攻擊，電子郵件是最常見的傳遞方式，占比為59%，其次是網站、社交媒體和受感染的存儲。 常見的商業詐騙主題包括發票、發貨資訊、逾期帳戶等。

勒索軟體服務RAAS (Ransomware as a Service)已經非常成熟，註冊一個比特幣帳號就可以坐等收錢了(參照流行的付費問答平臺：只要劇本夠好，使用者群定位精確，穩賺不賠)。

2016年堪稱勒索軟體元年，截止第三季度已經發現380萬+惡意樣本。 中國企業也已經成為勒索軟體的受害者，同時RAAS已經成為行業惡意競爭中的又一利器(熟知的還有DDoS)-勒索軟體的招式之猥瑣，後果之嚴重可想而知!

2. 商業郵件詐騙(BEC)BEC- Business Email Compromise .

商業郵件詐騙又叫老闆詐騙，與‘我是你領導’電話詐騙如出一轍(還有QQ群，微信群中的馬甲領導)。

a.海外商務邏輯基於簽名的合同、電子轉帳(比如企業信用卡，支票)，因此郵件詐騙的套路才是最純正的，過程不再贅述。

b.中國商務邏輯是基於蓋章的合同和紙質發票，從遊戲規則推導中國是對郵件詐騙具有免疫力的; 但是中國的郵件詐騙是極具中國特色的：領導為尊的習慣導致案例頻發，領導要求財務員工轉帳時就違規操作了(忽略身份驗證和流程簽批)。

這類郵件攻擊通常安全團隊可以免責，不是狹義資訊安全的範疇!

3. 仿冒企業郵件

以企業的名義對外發送釣魚郵件，特別是仿冒電子商務企業(淘寶、京東、亞馬遜等)、公共事業(公檢法，12306等)發送釣魚郵件時危害極大。 此類攻擊對企業不產生直接影響，但是間接影響企業聲譽。

II. 郵件安全防護策略

本章節的防護措施都是戰術層面的被動回應，其實IETF已經發佈了郵件安全協定，企業可以從架構設計出發來防護郵件。

允許我套路一下-NIST framework： 識別，防護，監測，回應，恢復。

1. 識別風險

資產識別-郵件安全的核心是帳號和郵件內容，可以採用一些策略降低資產的暴露面。

一個小技巧就是郵件別名(alias，相當於多個郵寄地址對應一個inbox實例)，Gmail郵箱預設支援別名設置，商業郵箱方案和ISP的郵箱策略也允許別名。 郵箱位址作為商業連絡方式屬於公開資訊，商業別名可以有效保護郵件帳號，增加獲取帳號和密碼的複雜度。

郵件內容的暴露面可以實施企業文檔加密方案(MS RMS，Adobe RM, etc.),確保在郵件帳號洩露後保密文檔不會被非授權訪問。

2. 防護郵件

a. 郵件閘道-垃圾郵件、病毒附件

非常成熟的防護手段，商業方案普遍蓋地細節不再贅述，僅列出關鍵參照點

殺毒引擎-不同廠商的特徵庫之間會有補充(部分廠商內置多個殺毒引擎)，啟用多少個?

防護策略級別-閘道配置包括多種防護級別，管理員為了快速部署通常僅啟用中或低級別防護策略，導致郵件閘道的功效不能充分發揮;

串聯還是旁路-隨著郵件威脅的增加，部分企業開始部署多層郵件閘道，如何平衡延遲和效率?

b. 帳號防護

動態驗證碼-參照12306神一樣的圖片驗證碼，破解密碼的難度火箭式增加(個人更認可google的robot識別技術)

MFA雙因素-國外的Google authenticator, Duo都是很好的方案;抽屜裡各家銀行的U頓、口令卡、企業配發的OTP權杖，都是各掃門前雪的解決方案;非常期待國內的MFA雙因素認證平臺的普及(惋惜洋蔥的夭折)。

c. 終端電腦-郵件是攻擊通道，目標是終端電腦或帳號。

釣魚郵件、惡意軟體通過郵件傳遞後是否能夠成功感染電腦，並成功執行。

殺毒軟體的覆蓋率決定了終端電腦防護的短板(安裝率、染毒率需要管理和技術雙向發力)。

是否有類似主機IDS的軟體鎖定系統漏洞(勒索軟體叫用作業系統加密介面，限制介面調用可以有效降低勒索軟體的執行)

d. 網路防護-代理或防火牆

通過特徵庫自動阻斷釣魚郵件中連結或腳本下載，同時可以在回應階段手工阻斷URL;

同時需要關注網路層惡意軟體外鏈的報警，通常可以發現一些蛛絲馬跡;

3. 監測攻擊

a. 做好日常運維就是最好的監測

郵件進出站數量的異常是否察覺，原因是否調查;

釣魚郵件的連結多少被點擊，是否提交帳號?這些帳號是否已經重置密碼?

b. 借用工具武裝自己

郵件頭分析：mail header analyzer (參考搜尋引擎，advertisement free)

監控互聯網上傳輸的公司郵件：DMARC資料平臺(參考Ⅲ 郵件安全協定)

4. 回應事件

a. 具備監測能力是前置條件，國內企業還停留在使用者上報階段;

b. 被動就要挨打，建議從監控exchange Log開始，設置subject關鍵字過濾，匹配情報惡意IP、sender即時報警

c. 考驗安全團隊的設備操作許可權和應急熟練程度(郵件安全攻擊高頻，需要半自動化和流程化)

郵件header分析、釣魚成功率分析(結合網路層URL訪問日誌)

網路層阻斷URL，更新殺毒軟體特徵庫

5. 恢復業務

取決於企業郵件架構和檔案備份策略

III. 郵件安全協定

因為商業利益驅使，各大廠商都在推薦郵件閘道設備;郵件安全協定配置的優化卻很少提及，現實世界總是本末倒置。

鑒於SMTP傳統郵件的安全性不足，磚家已經研發出了五種藥方：SPF，DKIM，rDNS, DMARC, Sender ID.

今天重點說一下DMARC (更多資料參考 HTTPs://dmarc.org/ )

1. What is DMARC?

DMARC 「Domain-based Message Authentication, Reporting & Conformance」, 郵件認證協定，聯合SPF和DKIM協定工作，同時具備回饋和逐步啟用的機制。

DMARC協定要求郵件收件者伺服器回饋mail header (除去PII資訊)回饋給寄件者公司，從而讓你以上帝視角來審視domain郵件在互聯網上發送情況，包括企業郵件、影子郵件(shadow mail)、仿冒郵件。

對於安全人員意味著什麼?

a. DNS伺服器上配置的幾行txt腳本。

b. 設置一個日誌伺服器接收互聯網上收件者伺服器回饋資料(或者採購雲服務)。

2. How does DMARC?

a. 企業郵件管理視角

通過DNS伺服器發佈企業DMARC策略，比如你告知協力廠商郵件伺服器對於不符合SPF、DKIM配置的郵件是隔離還是丟棄;

通過DNS伺服器發佈協力廠商企業郵箱回饋郵件狀態的目標位址(mailbox);

基於協力廠商企業郵箱的DMARC狀態回饋，獲取所有domain郵件的資訊

DMARC回饋的郵件狀態包括：你管理的郵件服務、影子郵件(比如市場部採購的市場推廣郵件雲服務)和以企業名義對外欺詐的郵件。

b. 收件者視角

基於協力廠商寄件者domain DNS伺服器對外發佈的DMARC策略(SPF，DKIM，DMARC)，判定收到的郵件是否安全，同時採取隔離、丟棄等操作;

同時不管最終判定協力廠商郵件的安全狀態，你都需要把郵件的header資訊(除去PII資訊)統統發給收件者指定的郵箱;