菜单

企业邮件安全防护经验总结

2017年2月25日 - 信息安全

图片1.jpg

I. 邮件是网络攻击的首要突破口

邮件作为企业(特别是传统和大型企业)的主要沟通工具关键程度日益提升,同时安全问题也日益益突出。邮件协议缺乏认证和安全鉴别机制,因此天然具备防追踪和高性价比的特性,邮件已经成为电信诈骗、勒索软件攻击的主要途径。目前大众普遍认为邮件安全就是钓鱼攻击(phishing),其实邮件安全的领域很广,本文基于工作中的知识与大家多维度分享一下。

首先介绍四种邮件仿冒技术

图片2.jpg

a. 仿冒发件人别名-难度指数*

利用邮件账号的别名字段属性,使用公用邮箱(比如Gmail)仿冒他人账号,此类仿冒邮件占比最高,同时因为实际发件人地址真实存在,可以进行交互式诈骗。

Example

From: Steve Jobs <sjobs@banana.com>(而不是sjobs@apple.com)

b. 仿冒发件人-难度指数**

利用邮件协议的认证缺陷(实际加强安全协议已经存在,但是普及率不高),使用真实的发件人地址和别名,给受害人发送邮件。优点是受害人毫无抵抗能力,全是真货、真货、真货;缺陷是攻击者不能收到受害者的邮件回复,需要结合恶意链接或附件达到攻击目的。

Example

From: Steve Jobs <sjobs@apple.com>(搭建或租用恶意邮件服务器)

c. 相似域名仿冒-难度指数**

抢注相似域名,比如app1e(不是L,是数字1),然后就可以按照套路操作了。

缺点是注册域名、配置邮件服务等太麻烦,而且容易留下作案痕迹;而且大公司都有brand监控服务,相似域名已经抢注或在监控范围内了(域名注册商有这项服务)。

Example

From: Steve Jobs <sjobs@app1e.com>

d. 仿冒回复人-难度系数****

利用邮件header中的Reply to字段,结合仿冒真实发件人攻击,做到真实发件人地址从互联网恶意发送,受害者邮件回复送达Gmail邮箱。

Example

From: Steve Jobs <sjobs@apple.com>(搭建或租用恶意邮件服务器)

Reply To: hacker@gmail.com (此字段在邮件客户端隐藏,但是可以通过文本或定制软件修改)

基于攻击类型可以概括为三类

1. 勒索软件攻击

全球41%的企业遭受勒索软件的攻击,其中70%的受害者选择了支付赎金。无论是撒网攻击还是定向攻击,电子邮件是最常见的传递方式,占比为59%,其次是网站、社交媒体和受感染的存储。常见的商业诈骗主题包括发票、发货信息、逾期账户等。

图片3.jpg

图片4.jpg

勒索软件服务RAAS (Ransomware as a Service)已经非常成熟,注册一个比特币账号就可以坐等收钱了(参照流行的付费问答平台:只要剧本够好,用户群定位精确,稳赚不赔)。

2016年堪称勒索软件元年,截止第三季度已经发现380万+恶意样本。中国企业也已经成为勒索软件的受害者,同时RAAS已经成为行业恶意竞争中的又一利器(熟知的还有DDoS)-勒索软件的招式之猥琐,后果之严重可想而知!

图片5.png

2. 商业邮件诈骗(BEC)BEC- Business Email Compromise .

商业邮件诈骗又叫老板诈骗,与‘我是你领导’电话诈骗如出一辙(还有QQ群,微信群中的马甲领导)。

a.海外商业规则基于签名的合同、电子转账(比如企业信用卡,支票),因此邮件诈骗的套路才是最纯正的,过程不再赘述。

b.中国商业规则是基于盖章的合同和纸质发票,从游戏规则推导中国是对邮件诈骗具有免疫力的;但是中国的邮件诈骗是极具中国特色的:领导为尊的习惯导致案例频发,领导要求财务员工转账时就违规操作了(忽略身份验证和流程签批)。

这类邮件攻击通常安全团队可以免责,不是狭义信息安全的范畴!

3. 仿冒企业邮件

以企业的名义对外发送钓鱼邮件,特别是仿冒电子商务企业(淘宝、京东、亚马逊等)、公共事业(公检法,12306等)发送钓鱼邮件时危害极大。此类攻击对企业不产生直接影响,但是间接影响企业声誉。

II. 邮件安全防护策略

本章节的防护措施都是战术层面的被动响应,其实IETF已经发布了邮件安全协议,企业可以从架构设计出发来防护邮件。

允许我套路一下-NIST framework:  识别,防护,监测,响应,恢复。

图片6.jpg

1. 识别风险

资产识别-邮件安全的核心是账号和邮件内容,可以采用一些策略降低资产的暴露面。

一个小技巧就是邮件别名(alias,相当于多个邮件地址对应一个inbox实例),Gmail邮箱默认支持别名设置,商业邮箱方案和ISP的邮箱策略也允许别名。邮箱地址作为商业联系方式属于公开信息,商业别名可以有效保护邮件账号,增加获取账号和密码的复杂度。

邮件内容的暴露面可以实施企业文档加密方案(MS RMS,Adobe RM, etc.),确保在邮件账号泄露后保密文档不会被非授权访问。

2. 防护邮件

a. 邮件网关-垃圾邮件、病毒附件

非常成熟的防护手段,商业方案普遍盖地细节不再赘述,仅列出关键参照点

b. 账号防护

c. 终端电脑-邮件是攻击通道,目标是终端电脑或账号。

d. 网络防护-代理或防火墙

3. 监测攻击

a. 做好日常运维就是最好的监测

b. 借用工具武装自己

4. 响应事件

a. 具备监测能力是前置条件,国内企业还停留在用户上报阶段;

b. 被动就要挨打,建议从监控exchange Log开始,设置subject关键字过滤,匹配情报恶意IP、sender实时报警

c. 考验安全团队的设备操作权限和应急熟练程度(邮件安全攻击高频,需要半自动化和流程化)

5. 恢复业务

取决于企业邮件架构和文件备份策略

III. 邮件安全协议

因为商业利益驱使,各大厂商都在推荐邮件网关设备;邮件安全协议配置的优化却很少提及,现实世界总是本末倒置。

鉴于SMTP传统邮件的安全性不足,砖家已经研发出了五种药方:SPF,DKIM,rDNS, DMARC, Sender ID.

图片7.jpg

今天重点说一下DMARC (更多资料参考 https://dmarc.org/ )

1. What is DMARC?

DMARC “Domain-based Message Authentication, Reporting & Conformance”, 邮件认证协议,联合SPF和DKIM协议工作,同时具备反馈和逐步启用的机制。

DMARC协议要求邮件收件人服务器反馈mail header (除去PII信息)反馈给发件人公司,从而让你以上帝视角来审视domain邮件在互联网上发送情况,包括企业邮件、影子邮件(shadow mail)、仿冒邮件。

图片8.jpg

对于安全人员意味着什么?

a. DNS服务器上配置的几行txt脚本。

b. 设置一个日志服务器接收互联网上收件人服务器反馈数据(或者采购云服务)。

2. How does DMARC?

a. 企业邮件管理视角

b. 收件人视角

图片9.jpg

3. Why is DAMARC?

a. 可视性

b. 可操作性

4. How DMARC

IV. 参考资料

1. http://Cnbeta.com

2. https://www.zimbra.com

发表评论

电子邮件地址不会被公开。 必填项已用*标注