I. 郵件是網路攻擊的首要突破口
企業郵件安全防護經驗總結。 郵件作為企業(特別是傳統和大型企業)的主要溝通工具關鍵程度日益提升,同時安全問題也日益益突出。 郵件協定缺乏認證和安全鑒別機制,因此天然具備防追蹤和高性價比的特性,郵件已經成為電信詐騙、勒索軟體攻擊的主要途徑。 目前大眾普遍認為郵件安全就是釣魚攻擊(phishing),其實郵件安全的領域很廣,本文基於工作中的知識與大家多維度分享一下。
首先介紹四種郵件仿冒技術
a. 仿冒寄件者別名-難度指數*
利用郵件帳號的別名欄位屬性,使用公用郵箱(比如Gmail)仿冒他人帳號,此類仿冒郵件占比最高,同時因為實際寄件者位址真實存在,可以進行互動式詐騙。
Example
From: Steve Jobs < sjobs@banana.com >(而不是sjobs@apple.com)
b. 仿冒寄件者-難度指數**
利用郵件協定的認證缺陷(實際加強安全協定已經存在,但是普及率不高),使用真實的寄件者位址和別名,給受害人發送郵件。 優點是受害人毫無抵抗能力,全是真貨、真貨、真貨;缺陷是攻擊者不能收到受害者的郵件回復,需要結合惡意連結或附件達到攻擊目的。
Example
From: Steve Jobs < sjobs@apple.com >(搭建或租用惡意郵件伺服器)
c. 相似功能變數名稱仿冒-難度指數 **
搶注相似功能變數名稱,比如app1e(不是L,是數位1),然後就可以按照套路操作了。
缺點是註冊功能變數名稱、配置郵件服務等太麻煩,而且容易留下作案痕跡;而且大公司都有brand監控服務,相似功能變數名稱已經搶注或在監控範圍內了(功能變數名稱註冊商有這項服務)。
Example
From: Steve Jobs < sjobs@app1e.com >
d. 仿冒回復人-難度係數 ****
利用郵件header中的Reply to欄位,結合仿冒真實寄件者攻擊,做到真實寄件者位址從互聯網惡意發送,受害者郵件回復送達Gmail郵箱。
Example
From: Steve Jobs < sjobs@apple.com >(搭建或租用惡意郵件伺服器)
Reply To: hacker@gmail.com (此欄位在郵件用戶端隱藏,但是可以通過文本或定制軟體修改)
基於攻擊類型可以概括為三類
1. 勒索軟體攻擊
全球41%的企業遭受勒索軟體的攻擊,其中70%的受害者選擇了支付贖金。 無論是撒網攻擊還是定向攻擊,電子郵件是最常見的傳遞方式,占比為59%,其次是網站、社交媒體和受感染的存儲。 常見的商業詐騙主題包括發票、發貨資訊、逾期帳戶等。
勒索軟體服務RAAS (Ransomware as a Service)已經非常成熟,註冊一個比特幣帳號就可以坐等收錢了(參照流行的付費問答平臺:只要劇本夠好,使用者群定位精確,穩賺不賠)。
2016年堪稱勒索軟體元年,截止第三季度已經發現380萬+惡意樣本。 中國企業也已經成為勒索軟體的受害者,同時RAAS已經成為行業惡意競爭中的又一利器(熟知的還有DDoS)-勒索軟體的招式之猥瑣,後果之嚴重可想而知!
2. 商業郵件詐騙(BEC)BEC- Business Email Compromise .
商業郵件詐騙又叫老闆詐騙,與‘我是你領導’電話詐騙如出一轍(還有QQ群,微信群中的馬甲領導)。
a.海外商務邏輯基於簽名的合同、電子轉帳(比如企業信用卡,支票),因此郵件詐騙的套路才是最純正的,過程不再贅述。
b.中國商務邏輯是基於蓋章的合同和紙質發票,從遊戲規則推導中國是對郵件詐騙具有免疫力的; 但是中國的郵件詐騙是極具中國特色的:領導為尊的習慣導致案例頻發,領導要求財務員工轉帳時就違規操作了(忽略身份驗證和流程簽批)。
這類郵件攻擊通常安全團隊可以免責,不是狹義資訊安全的範疇!
3. 仿冒企業郵件
以企業的名義對外發送釣魚郵件,特別是仿冒電子商務企業(淘寶、京東、亞馬遜等)、公共事業(公檢法,12306等)發送釣魚郵件時危害極大。 此類攻擊對企業不產生直接影響,但是間接影響企業聲譽。
II. 郵件安全防護策略
本章節的防護措施都是戰術層面的被動回應,其實IETF已經發佈了郵件安全協定,企業可以從架構設計出發來防護郵件。
允許我套路一下-NIST framework: 識別,防護,監測,回應,恢復。
1. 識別風險
資產識別-郵件安全的核心是帳號和郵件內容,可以採用一些策略降低資產的暴露面。
一個小技巧就是郵件別名(alias,相當於多個郵寄地址對應一個inbox實例),Gmail郵箱預設支援別名設置,商業郵箱方案和ISP的郵箱策略也允許別名。 郵箱位址作為商業連絡方式屬於公開資訊,商業別名可以有效保護郵件帳號,增加獲取帳號和密碼的複雜度。
郵件內容的暴露面可以實施企業文檔加密方案(MS RMS,Adobe RM, etc.),確保在郵件帳號洩露後保密文檔不會被非授權訪問。
2. 防護郵件
a. 郵件閘道-垃圾郵件、病毒附件
非常成熟的防護手段,商業方案普遍蓋地細節不再贅述,僅列出關鍵參照點
殺毒引擎-不同廠商的特徵庫之間會有補充(部分廠商內置多個殺毒引擎),啟用多少個?
防護策略級別-閘道配置包括多種防護級別,管理員為了快速部署通常僅啟用中或低級別防護策略,導致郵件閘道的功效不能充分發揮;
串聯還是旁路-隨著郵件威脅的增加,部分企業開始部署多層郵件閘道,如何平衡延遲和效率?
b. 帳號防護
動態驗證碼-參照12306神一樣的圖片驗證碼,破解密碼的難度火箭式增加(個人更認可google的robot識別技術)
MFA雙因素-國外的Google authenticator, Duo都是很好的方案;抽屜裡各家銀行的U頓、口令卡、企業配發的OTP權杖,都是各掃門前雪的解決方案;非常期待國內的MFA雙因素認證平臺的普及(惋惜洋蔥的夭折)。
c. 終端電腦-郵件是攻擊通道,目標是終端電腦或帳號。
釣魚郵件、惡意軟體通過郵件傳遞後是否能夠成功感染電腦,並成功執行。
殺毒軟體的覆蓋率決定了終端電腦防護的短板(安裝率、染毒率需要管理和技術雙向發力)。
是否有類似主機IDS的軟體鎖定系統漏洞(勒索軟體叫用作業系統加密介面,限制介面調用可以有效降低勒索軟體的執行)
d. 網路防護-代理或防火牆
通過特徵庫自動阻斷釣魚郵件中連結或腳本下載,同時可以在回應階段手工阻斷URL;
同時需要關注網路層惡意軟體外鏈的報警,通常可以發現一些蛛絲馬跡;
3. 監測攻擊
a. 做好日常運維就是最好的監測
郵件進出站數量的異常是否察覺,原因是否調查;
釣魚郵件的連結多少被點擊,是否提交帳號?這些帳號是否已經重置密碼?
b. 借用工具武裝自己
郵件頭分析:mail header analyzer (參考搜尋引擎,advertisement free)
監控互聯網上傳輸的公司郵件:DMARC資料平臺(參考Ⅲ 郵件安全協定)
4. 回應事件
a. 具備監測能力是前置條件,國內企業還停留在使用者上報階段;
b. 被動就要挨打,建議從監控exchange Log開始,設置subject關鍵字過濾,匹配情報惡意IP、sender即時報警
c. 考驗安全團隊的設備操作許可權和應急熟練程度(郵件安全攻擊高頻,需要半自動化和流程化)
郵件header分析、釣魚成功率分析(結合網路層URL訪問日誌)
網路層阻斷URL,更新殺毒軟體特徵庫
5. 恢復業務
取決於企業郵件架構和檔案備份策略
III. 郵件安全協定
因為商業利益驅使,各大廠商都在推薦郵件閘道設備;郵件安全協定配置的優化卻很少提及,現實世界總是本末倒置。
鑒於SMTP傳統郵件的安全性不足,磚家已經研發出了五種藥方:SPF,DKIM,rDNS, DMARC, Sender ID.
今天重點說一下DMARC (更多資料參考 HTTPs://dmarc.org/ )
1. What is DMARC?
DMARC 「Domain-based Message Authentication, Reporting & Conformance」, 郵件認證協定,聯合SPF和DKIM協定工作,同時具備回饋和逐步啟用的機制。
DMARC協定要求郵件收件者伺服器回饋mail header (除去PII資訊)回饋給寄件者公司,從而讓你以上帝視角來審視domain郵件在互聯網上發送情況,包括企業郵件、影子郵件(shadow mail)、仿冒郵件。
對於安全人員意味著什麼?
a. DNS伺服器上配置的幾行txt腳本。
b. 設置一個日誌伺服器接收互聯網上收件者伺服器回饋資料(或者採購雲服務)。
2. How does DMARC?
a. 企業郵件管理視角
通過DNS伺服器發佈企業DMARC策略,比如你告知協力廠商郵件伺服器對於不符合SPF、DKIM配置的郵件是隔離還是丟棄;
通過DNS伺服器發佈協力廠商企業郵箱回饋郵件狀態的目標位址(mailbox);
基於協力廠商企業郵箱的DMARC狀態回饋,獲取所有domain郵件的資訊
DMARC回饋的郵件狀態包括:你管理的郵件服務、影子郵件(比如市場部採購的市場推廣郵件雲服務)和以企業名義對外欺詐的郵件。
b. 收件者視角
基於協力廠商寄件者domain DNS伺服器對外發佈的DMARC策略(SPF,DKIM,DMARC),判定收到的郵件是否安全,同時採取隔離、丟棄等操作;
同時不管最終判定協力廠商郵件的安全狀態,你都需要把郵件的header資訊(除去PII資訊)統統發給收件者指定的郵箱;