在正常的業(yè)務(wù)辦公中，我們都會(huì)使用到電子郵件，攻擊者也清楚的知道這一點(diǎn)，并且將電子郵件視為接觸用戶傳播惡意軟件和勒索軟件的絕佳方式。網(wǎng)絡(luò)攻擊現(xiàn)在變得越來越有創(chuàng)意，企業(yè)需要不斷調(diào)整電子郵件防御措施以跟上這種持續(xù)的威脅?？梢蕴剿饕恍┗痉椒▉矸烙@種情況并確保用戶不會(huì)成為這種不斷發(fā)展的威脅的犧牲品。盡管目前存在多種戰(zhàn)略，但組織實(shí)施怎樣的戰(zhàn)略最終將取決于組織愿意接受怎樣程度的風(fēng)險(xiǎn)水平。

[[407890]]

一種更輕(更弱)的電子郵件防御方法

假設(shè)一封電子郵件到達(dá)用戶的收件箱并包含一個(gè)惡意鏈接，用戶不經(jīng)意地點(diǎn)擊了該鏈接。隨后，該用戶的終端被感染了。大多數(shù)組織會(huì)通過以下三種方式防御/應(yīng)對(duì)這種問題。

• 該組織已確保在終端上安裝了反惡意軟件，希望能阻止感染。
• 組織已經(jīng)對(duì)用戶進(jìn)行了有關(guān)電子郵件漏洞和防御策略的培訓(xùn)和教育，希望用戶能謹(jǐn)慎行事，意識(shí)到該鏈接是惡意的，因此不會(huì)點(diǎn)擊該鏈接。
• 該組織已投資于反垃圾郵件掃描技術(shù)，作為進(jìn)一步的防御層。

雖然這些過程都有自身的好處，但不可避免的是，這三種方法都是相對(duì)薄弱的電子郵件防御形式。第一種防御方案依賴于在端點(diǎn)上安裝反惡意軟件，它假定用戶正在使用受保護(hù)的端點(diǎn)，并且反惡意軟件會(huì)檢測到該威脅。然而，這些威脅總是在不斷變化，而且有一些規(guī)避反惡意軟件的暗箱操作方法，如使用基于瀏覽器的電子郵件和未經(jīng)注冊(cè)的鏈接。使用反惡意軟件作為其唯一的電子郵件防御形式的組織，通過惡意鏈接被用戶點(diǎn)擊而繼續(xù)受到侵害是很常見的。

這給我們帶來了第二點(diǎn)——培訓(xùn)和教育用戶持懷疑態(tài)度，提高認(rèn)識(shí)，不要點(diǎn)擊鏈接。盡管教育是至關(guān)重要的，而且應(yīng)該采取這一步驟，但歸根結(jié)底，人們是好奇的，而且有可能一些用戶會(huì)點(diǎn)擊這些鏈接，無論是出于好奇還是粗心的錯(cuò)誤。不幸的是，只需要一個(gè)用戶點(diǎn)擊一個(gè)惡意鏈接，就可以錯(cuò)誤地?fù)p害一個(gè)組織。這種情況一次又一次地被看到。所以很明顯，用戶的好奇心和攻擊者的狡猾總是會(huì)導(dǎo)致用戶點(diǎn)擊一些他們不應(yīng)該點(diǎn)擊的地方。

第三，無處不在的反垃圾郵件技術(shù)，掃描電子郵件中的鏈接。許多人認(rèn)為這是一個(gè)萬無一失的方法。然而，這些鏈接繼續(xù)通過防御。這通常是由于黑客習(xí)慣于使用微軟365或同等產(chǎn)品，所以他們知道如何輕松地規(guī)避這種類型的防御。

那么，在這三種策略被許多人依賴的情況下，還有什么辦法可以進(jìn)一步鞏固電子郵件防御?

更有力的電子郵件防御方法

人們經(jīng)常說到防御策略的分層。因此，即便有些策略失敗了，但總有一些還是可以依靠的。同樣地，分層使用幾種策略來防御連續(xù)的電子郵件網(wǎng)絡(luò)攻擊是有益的。可以包括以下的電子郵件防御層。

• 建立一個(gè)持續(xù)檢查鏈接的系統(tǒng);這可以通過采用點(diǎn)擊鏈接的技術(shù)來發(fā)現(xiàn)任何潛在的漏洞。如果發(fā)現(xiàn)鏈接包含漏洞，該技術(shù)將把鏈接重定向到一個(gè)內(nèi)部網(wǎng)站，并將其突出顯示為惡意的。

• 確保端點(diǎn)與所有其他系統(tǒng)隔離，這樣，如果惡意鏈接被點(diǎn)擊，有效載荷將不會(huì)感染端點(diǎn)。這可以通過對(duì)端點(diǎn)進(jìn)行空中封鎖來實(shí)現(xiàn)。此外，如果端點(diǎn)不具備安全性，它就不應(yīng)該有查看電子郵件的權(quán)限。因此，這是一種預(yù)先允許訪問電子郵件的態(tài)勢評(píng)估。通過限制可以訪問電子郵件/鏈接的機(jī)器，組織確保只有被隔離和加固的機(jī)器可以。

• 鼓勵(lì)用戶只使用受保護(hù)的系統(tǒng)，并將激勵(lì)措施落實(shí)到位，以鼓勵(lì)這些受限制的界面。這是一個(gè)嚴(yán)重依賴的紀(jì)律。通過將設(shè)備用于它們的用途，不僅會(huì)使組織更加安全，而且有助于發(fā)展安全的實(shí)踐。如果設(shè)備對(duì)任何可以點(diǎn)擊的鏈接都有彈性，那么連續(xù)的電子郵件網(wǎng)絡(luò)攻擊的脆弱性就開始變得不那么重要了。

• 確保所有在鏈接中無法驗(yàn)證的域名以及所有不常見或不經(jīng)常使用的域名都被默認(rèn)屏蔽。這種方法不僅會(huì)限制整個(gè)攻擊面的面積，而且會(huì)確保任何來自隨機(jī)域名的鏈接在默認(rèn)情況下不會(huì)起作用。所有可執(zhí)行的腳本和應(yīng)用程序都必須被阻止，并對(duì)瀏覽器給予特別關(guān)注。這一點(diǎn)在許多組織中通常沒有得到很好的管理。

• 采用強(qiáng)大的DNS掃描，這樣，當(dāng)一個(gè)鏈接出現(xiàn)，重定向到一個(gè)已知的惡意軟件的DNS區(qū)域或尚未審查的新東西，它將被阻止。

• 創(chuàng)建應(yīng)用程序白名單，只允許經(jīng)過審查的應(yīng)用程序和腳本運(yùn)行。如果在設(shè)備或?yàn)g覽器的內(nèi)存中創(chuàng)建或運(yùn)行任何跡象的腳本或可執(zhí)行代碼，這種行為應(yīng)被阻止。

• 為可信和敏感的通信采用端對(duì)端加密也是關(guān)鍵;這意味著想要安全地相互通信的用戶必須進(jìn)行認(rèn)證，并在安全信封中創(chuàng)建一封電子郵件，對(duì)其進(jìn)行簽名和主動(dòng)認(rèn)證。這比僅僅在公共網(wǎng)絡(luò)上發(fā)送公開的電子郵件更安全。安全平臺(tái)可以使用身份驗(yàn)證系統(tǒng)對(duì)用戶進(jìn)行認(rèn)證，以了解電子郵件的來源。通過確保所有的電子郵件都經(jīng)過加密和簽名，它們是無法被篡改的。這些類型的安全電子郵件平臺(tái)比標(biāo)準(zhǔn)企業(yè)電子郵件更值得信賴。

迎接這一無盡的挑戰(zhàn)

持續(xù)保護(hù)電子郵件環(huán)境具有挑戰(zhàn)性，傳統(tǒng)系統(tǒng)需要改進(jìn)，因?yàn)楹苊黠@大多數(shù)勒索軟件都是通過電子郵件滲透的，而且它是有效的。由于電子郵件可以到達(dá)所有用戶并且長期存在，因此使用安全電子郵件是一個(gè)不錯(cuò)的選擇。盡管培訓(xùn)和教育可以發(fā)揮作用，但它本身很少有效，因此對(duì)于所有企業(yè)來講，實(shí)施額外的層級(jí)和技術(shù)控制來抵御每天面臨的這種持續(xù)威脅至關(guān)重要。