防范惡意郵件攻擊的五項最佳實踐
電子郵件是企業不可或缺的溝通工具,員工、經理、HR、財務、銷售、法律顧問、客戶、供應鏈等各方之間都需要郵件來傳輸重要文件。這就招致了一個問題:企業經常意識不到,他們每天用以承載重要信息的這些文件類型(如Word文檔、Excel表格和PDF等標準格式),也是黑客們散播惡意軟件的最常用的工具。
對于網絡罪犯來說,用欺詐郵件或網絡釣魚,來誘騙人們打開一個貌似正常實則有毒的附件,就像喝水吃飯一樣自然。
由于電子郵件代表一個開放的、可信的通道,惡意軟件可以搭載任何文檔來感染整個網絡。企業經常需要采取適當的安全策略和有效的措施來防止公司的攻擊。下面是Glasswall的副總裁西蒙·泰勒的5個建議的預防措施,來幫助企業阻止各種威脅并保持敏感數據免受惡意攻擊的影響。
1. 對郵件附件做風險評估
通常來講,企業需要考慮和評估所有可能的攻擊渠道,并就安全需求來對各種業務相關功能做出取舍。對郵件附件做風險評估時這些工作格外重要。
很多人不知道文件傳輸背后的風險高得嚇人——約98%的情況不符合制造商的文檔規范。因此,企業必須確認文件的異常原因是網絡攻擊還是編寫、配置不當,才能有效減少任何潛在威脅。
為了應對風險,企業需要全面了解網絡傳輸的文件是什么、其文件類型、結構性問題,以及該文件影響的哪些功能點預示著風險。要理解潛在威脅并實施有效的措施來降低風險和防止攻擊,創建一個企業郵件安全與風險態勢的大視角是第一步也是關鍵的一步。
2. 避免僅使用過時技術來處理電子郵件安全
當你了解一項風險后,你應據此調整各項安全方案。大多數組織都建立了標準的防護網:防火墻、垃圾郵件過濾、病毒查殺甚至沙箱,但這些措施時常防不住針對性的攻擊。
現狀是,雖然殺毒軟件等各類基于簽名的安全方案充當了隔離網,但在精巧而高度針對的攻擊面前無濟于事,這就導致安全防御架構千瘡百孔。與此同時,基于郵件附件的惡意攻擊的復雜性在成倍增長,所有的釣餌都和正常郵件一般無二。
設想一下,雖然你配置了些傳統的、基于簽名的反病毒方案以及某些相對較新的沙箱,但是應用社會工程學的惡意文檔仍然能大搖大擺進入到你的用戶終端里。最可怕的是,只要有一個員工點擊了惡意附件,整個公司都將卷入麻煩里。
因此,你需要的不是“無所不能”卻一無是處的隔離網,而是針對特定安全威脅而做出改進的“護心鏡”。
3. 尋找“好文件”(而非“追蹤壞文件”)
要想在電子郵件安全防御系統上精進,就必須轉變部署防御的方式,與其徒勞地追蹤和尋找“惡意文件”,不如發展尋找和驗證“已知的好文件”的技術。
原因很簡單,黑客們會不斷更新他們的戰術,惡意文件也會頻繁變異,企業幾乎不可能見招拆招。所以,可以通過將文件與“已知的好文件”一一對比來精確地實現篩選和檢驗。
為此,企業需要檢驗文件是否是符合制造商的規格或其衍生的“已知的好文件”。這樣,企業可以創建一種清潔和良性的文件,有著規規矩矩的格式,從而可以在不中斷業務的同時安心傳輸。
簡而言之,這種做法可以讓安全水平遠離警戒線,并在安全系統最希望的文件層面上維護文檔的控制。同樣的,組織也通過深度文件維護(檢查、修復和清潔工具)來鞏固這一積極策略,在惡意文件進入系統前掃除危險。
4. 通過特定的文檔傳輸策略限制BYOD設備
BYOD之類的個人移動存儲設備益處多多,其中最重要的是讓員工可以靈活地在任何地方工作或開展個人和商業活動(涉及到使用同一設備進行文件傳輸)。
然而,盡管方便和高效,用個人設備進行業務操作經常會破壞企業對員工訪問的網站和應用程序的管控。這反過來使員工在無意中大大增加公司遭受數據竊取或攻擊的隱患。
同時,惡意軟件可以通過附件發送到員工的工作站,然后通過移動設備大幅擴散,更重要的是,許多移動設備沒有配備用以檢測感染文件安全方案。
因此,移動設備上某個已下載的被感染文件可以讓惡意軟件訪問企業的敏感信息,效果和惡意軟件通過網絡擴散如出一轍。雖然對很多人來說,很難做到不通過移動設備發送郵件附件,但是最好能是明確哪些員工有必要使用這一功能,并嚴管其他員工的此類操作。
5. 限定員工可運行的文件格式和功能種類
歸根到底,企業要減少因某個員工的操作而受到惡意攻擊的情況。因此,需要明確每個員工工作所需運行的文件格式和功能種類。
企業需要考慮到種種情況,比如員工在接收附件時面臨的潛在威脅,并據此決定該過程中哪些功能屬于工作需求。比如,哪些部門需要使用郵件附件中的宏、Java腳本或超鏈接?
企業可以禁止用不到這些功能的部門、小組或個人的相應操作來降低風險。建立一套在保護業務持續性的基礎上阻止員工的風險操作的制度,可以最大限度地減少企業面臨的風險。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
