攻擊者總能“嚇我們一大跳”：其攻擊的目標和手段總能出乎我們的意料之外。攻擊者總能將自己偽裝成其它東西，例如他們可以從一個可信任的源發送一份郵件，其中的鏈接卻指向被惡意軟件感染的網站，或是包含有被惡意軟件感染的文件附件。還有將復雜的社交工程與一些難以捉摸的方法相結合的攻擊，可以在企業網絡中長期穩坐“釣魚臺”并竊取數據。還有一些全新的零日攻擊，完全不同于以前的任何攻擊，且傳統的防御不能識別。其技術和伎倆仍在不斷改變。

[[131324]]

其中，之前的方法如“雪鞋(snowshoe)垃圾郵件”，其如此命名的原因在于它像是一只很大的雪鞋，印跡模糊且難以看清。攻擊者在大范圍內擴散大量的消息，而傳統的防御很難檢測。這種垃圾郵件可以快速地變換文本、鏈接、發送垃圾郵件的IP地址等，但絕不重復同樣的組合。其攻擊的可能性似乎可以無休止。

這些攻擊之所以成功是因為其善于偽裝并混合了不同的技術，而且還在不斷地變化。所以，防御者需要以一種攻擊者沒有預想到的方式，使用支持組合式防御的安全架構，并且不斷地改進以跟上動態攻擊的發展。傳統的深度防御和多層保護主要用于網絡，但這些方法能夠也應當適用于電子郵件網關。

電子郵件是很受歡迎的企業通信方式，所以它也是攻擊者選擇的攻擊源和手段。所以，保障電子郵件網關的安全日益成為任何網絡安全戰略的重要組成部分。但是，傳統的安全郵件網關是在一個時點上操作，即它是基于一套情報的一次性掃描，其有效性是有限的。而如今的基于電子郵件的攻擊并不是一個時點上發生，而是使用多種方法來逃避檢測。為實施保護，企業有可能求助于一些無法協同工作的產品。很明顯，這種方法并不有助于有效的安全控制。

在企業評估安全郵件網關技術或是利用已有的產品時，為了實現更有效的防御垃圾郵件、混合攻擊和針對性攻擊，務必考慮如下問題：

1.如何應對垃圾郵件和惡意軟件的多樣性問題?

誠然，并不存在完美的防護，但通過部署和集成多層反垃圾郵件引擎和多層反病毒引擎，企業卻可以將保護范圍擴展到幾乎全部的范圍。一種緊密地集成多種引擎并可以使其自動且無縫地協同工作的安全架構，不但可以提升保護水平，而且還可以減少誤報率，因為這些引擎可以相互檢查和平衡。此外，信譽過濾器可以查看發送者的IP地址信譽，這有助于防護類似于“雪鞋(snowshoe)”垃圾郵件(它劫持的是IP地址范圍)的攻擊。

2.如何應對混合性威脅(包含有指向被惡意軟件感染的網站的鏈接)?

答案就在于尋求包括Web分類和Web信譽的解決方案。借助Web分類，安全管理員可以設置策略，只允許訪問某些類型的網站。Web信譽根據多種數據給URL一個信譽分數，其中的一個參考數據就是域名沒有被感染惡意軟件的時間長度，所以管理員可以設置是否允許訪問一個鏈接的策略。

3.供應商能夠提供哪些功能，可幫助企業領先于新出現的威脅

企業應當可以利用網絡社區的數據。關注網絡社區用戶的電子郵件和網絡安全信息以及其它跟蹤威脅的信息，可以使企業獲得情報和用來防御新威脅的寶貴時間。企業應選擇的廠商應當：電子郵件安全架構中包含過濾器并能可以利用所收集的安全情報實時地防御新威脅的廠商。

安全人士面臨著大量的不可預知的威脅。其中的有些威脅是新的，而其它的威脅往往混合了多種技術來逃避傳統防御的檢測。所以，專業的安全人士需要利用和集成多層防御技術，并利用新方法來實現更有效的保護。