攻擊者總能“嚇我們一大跳”：其攻擊的目標(biāo)和手段總能出乎我們的意料之外。攻擊者總能將自己偽裝成其它東西，例如他們可以從一個可信任的源發(fā)送一份郵件，其中的鏈接卻指向被惡意軟件感染的網(wǎng)站，或是包含有被惡意軟件感染的文件附件。還有將復(fù)雜的社交工程與一些難以捉摸的方法相結(jié)合的攻擊，可以在企業(yè)網(wǎng)絡(luò)中長期穩(wěn)坐“釣魚臺”并竊取數(shù)據(jù)。還有一些全新的零日攻擊，完全不同于以前的任何攻擊，且傳統(tǒng)的防御不能識別。其技術(shù)和伎倆仍在不斷改變。

[[131324]]

其中，之前的方法如“雪鞋(snowshoe)垃圾郵件”，其如此命名的原因在于它像是一只很大的雪鞋，印跡模糊且難以看清。攻擊者在大范圍內(nèi)擴(kuò)散大量的消息，而傳統(tǒng)的防御很難檢測。這種垃圾郵件可以快速地變換文本、鏈接、發(fā)送垃圾郵件的IP地址等，但絕不重復(fù)同樣的組合。其攻擊的可能性似乎可以無休止。

這些攻擊之所以成功是因為其善于偽裝并混合了不同的技術(shù)，而且還在不斷地變化。所以，防御者需要以一種攻擊者沒有預(yù)想到的方式，使用支持組合式防御的安全架構(gòu)，并且不斷地改進(jìn)以跟上動態(tài)攻擊的發(fā)展。傳統(tǒng)的深度防御和多層保護(hù)主要用于網(wǎng)絡(luò)，但這些方法能夠也應(yīng)當(dāng)適用于電子郵件網(wǎng)關(guān)。

電子郵件是很受歡迎的企業(yè)通信方式，所以它也是攻擊者選擇的攻擊源和手段。所以，保障電子郵件網(wǎng)關(guān)的安全日益成為任何網(wǎng)絡(luò)安全戰(zhàn)略的重要組成部分。但是，傳統(tǒng)的安全郵件網(wǎng)關(guān)是在一個時點上操作，即它是基于一套情報的一次性掃描，其有效性是有限的。而如今的基于電子郵件的攻擊并不是一個時點上發(fā)生，而是使用多種方法來逃避檢測。為實施保護(hù)，企業(yè)有可能求助于一些無法協(xié)同工作的產(chǎn)品。很明顯，這種方法并不有助于有效的安全控制。

在企業(yè)評估安全郵件網(wǎng)關(guān)技術(shù)或是利用已有的產(chǎn)品時，為了實現(xiàn)更有效的防御垃圾郵件、混合攻擊和針對性攻擊，務(wù)必考慮如下問題：

1.如何應(yīng)對垃圾郵件和惡意軟件的多樣性問題?

誠然，并不存在完美的防護(hù)，但通過部署和集成多層反垃圾郵件引擎和多層反病毒引擎，企業(yè)卻可以將保護(hù)范圍擴(kuò)展到幾乎全部的范圍。一種緊密地集成多種引擎并可以使其自動且無縫地協(xié)同工作的安全架構(gòu)，不但可以提升保護(hù)水平，而且還可以減少誤報率，因為這些引擎可以相互檢查和平衡。此外，信譽(yù)過濾器可以查看發(fā)送者的IP地址信譽(yù)，這有助于防護(hù)類似于“雪鞋(snowshoe)”垃圾郵件(它劫持的是IP地址范圍)的攻擊。

2.如何應(yīng)對混合性威脅(包含有指向被惡意軟件感染的網(wǎng)站的鏈接)?

答案就在于尋求包括Web分類和Web信譽(yù)的解決方案。借助Web分類，安全管理員可以設(shè)置策略，只允許訪問某些類型的網(wǎng)站。Web信譽(yù)根據(jù)多種數(shù)據(jù)給URL一個信譽(yù)分?jǐn)?shù)，其中的一個參考數(shù)據(jù)就是域名沒有被感染惡意軟件的時間長度，所以管理員可以設(shè)置是否允許訪問一個鏈接的策略。

3.供應(yīng)商能夠提供哪些功能，可幫助企業(yè)領(lǐng)先于新出現(xiàn)的威脅

企業(yè)應(yīng)當(dāng)可以利用網(wǎng)絡(luò)社區(qū)的數(shù)據(jù)。關(guān)注網(wǎng)絡(luò)社區(qū)用戶的電子郵件和網(wǎng)絡(luò)安全信息以及其它跟蹤威脅的信息，可以使企業(yè)獲得情報和用來防御新威脅的寶貴時間。企業(yè)應(yīng)選擇的廠商應(yīng)當(dāng)：電子郵件安全架構(gòu)中包含過濾器并能可以利用所收集的安全情報實時地防御新威脅的廠商。

安全人士面臨著大量的不可預(yù)知的威脅。其中的有些威脅是新的，而其它的威脅往往混合了多種技術(shù)來逃避傳統(tǒng)防御的檢測。所以，專業(yè)的安全人士需要利用和集成多層防御技術(shù)，并利用新方法來實現(xiàn)更有效的保護(hù)。