簡述黑客郵件攻擊步驟及應對方法
電子郵件防護對于企業互聯網安全防護來說是重中之重的內容,歷史上無數家企業的數據泄露都是因為電子郵件被攻擊而導致的。企業網絡管理員應當洞悉黑客在攻擊電子郵件是所采取的步驟,從而采取應對方案。
郵件攻擊步驟1:外部偵察
入侵者會進行‘whois’查找,以便找到隨域名一起注冊的網絡信息。入侵者可能會瀏覽DNS表(使用‘nslookup’、‘dig’或其他實用程序來執行域傳遞)來查找機器名。
郵件攻擊步驟 2:內部偵察
通過“ping”掃描,以查看哪些機器處于活動狀態。黑客可能對目標機器執行UDP/TCP 掃描,以查看什么服務可用。他們會運行“rcpinfo”、“showmount”或“snmpwalk”之類的實用程序,以查看哪些信息可用。黑客還會向無效用戶發送電子郵件,接收錯誤響應,以使他們能夠確定一些有效的信息。此時,入侵者尚未作出任何可以歸為入侵之列的行動。
郵件攻擊步驟 3:漏洞攻擊
入侵者可能通過發送大量數據來試圖攻擊廣為人知的緩沖區溢出漏洞,也可能開始檢查密碼易猜(或為空)的登錄帳戶。黑客可能已通過若干個漏洞攻擊階段。
郵件攻擊步驟 4:立足點
在這一階段,黑客已通過竊入一臺機器成功獲得進入對方網絡的立足點。他們可能安裝為其提供訪問權的“工具包”,用自己具有后門密碼的特洛伊木馬替換現有服務,或者創建自己的帳戶。通過記錄被更改的系統文件,系統完整性檢測(SIV)通常可以在此時檢測到入侵者。
郵件攻擊步驟 5:牟利
這是能夠真正給企業造成威脅的一步。入侵者現在能夠利用其身份竊取機密數據,濫用系統資源(比如從當前站點向其他站點發起攻擊),或者破壞網頁。
另一種情況是在開始時有些不同。入侵者不是攻擊某一特定站點,而可能只是隨機掃描Internet地址,并查找特定的漏洞。
郵件網關對付黑客
由于企業日益依賴于電子郵件系統,它們必須解決電子郵件傳播的攻擊和易受攻擊的電子郵件系統所受的攻擊這兩種攻擊的問題。解決方法有:
1.在電子郵件系統周圍鎖定電子郵件系統——電子郵件系統周邊控制開始于電子郵件網關的部署。電子郵件網關應根據特定目的與加固的操作系統和防止網關受到威脅的入侵檢測功能一起構建。
2.確保外部系統訪問的安全性——電子郵件安全網關必須負責處理來自所有外部系統的通信,并確保通過的信息流量是合法的。通過確保外部訪問的安全,可以防止入侵者利用Web郵件等應用程序訪問內部系統。
3.實時監視電子郵件流量——實時監視電子郵件流量對于防止黑客利用電子郵件訪問內部系統是至關重要的。檢測電子郵件中的攻擊和漏洞攻擊(如畸形MIME)需要持續監視所有電子郵件。
在上述安全保障的基礎上,電子郵件安全網關應簡化管理員的工作、能夠輕松集成,并被使用者輕松配置。
【編輯推薦】
