互聯(lián)網(wǎng)生活的普及，信息化無(wú)處不在的高速發(fā)展及其便捷、高效、多樣的信息傳輸手段，電子辦公的普遍，成為了國(guó)際網(wǎng)絡(luò)黑客、竊密手段、網(wǎng)絡(luò)犯罪橫行的平臺(tái)，為國(guó)家和企事業(yè)單位信息保密安全工作帶來(lái)巨大困難和挑戰(zhàn)。

跟傳統(tǒng)的信息傳輸模式相比，電子郵件具有很強(qiáng)的時(shí)效性、便捷性，然后隨著電子郵件在社會(huì)的廣泛應(yīng)用，隨之而來(lái)的安全保密問題日漸突出，機(jī)密泄漏、信息篡改、假冒地址、垃圾郵件等令人煩惱不堪，相應(yīng)的安全保密防護(hù)需求越來(lái)越迫切。國(guó)家在保密工作上先后頒布了各種保密法律，并發(fā)展保密技術(shù)，應(yīng)用高端技術(shù)手段保護(hù)國(guó)家和企事業(yè)機(jī)密的安全，特別是加強(qiáng)郵件安全保密技術(shù)的應(yīng)用，已成為當(dāng)前安全保密工作的重要工作內(nèi)容之一。

[[234509]]

據(jù)Gartner（高德納咨詢公司）報(bào)告分析，電子郵件威脅與行為分析 、身份欺騙相結(jié)合、釣魚網(wǎng)站、惡意軟件和漏洞。為了逃避普通電子郵件安全技術(shù)的檢測(cè)，特別是那些只依賴于標(biāo)準(zhǔn)殺毒軟件和聲譽(yù)的技術(shù)的電子郵件安全技術(shù)，電子郵件威脅已經(jīng)變得越來(lái)越復(fù)雜。

為了更好地理解電子郵件攻擊，我們需要剖析威脅，了解它們的復(fù)雜性，并與攻擊者的技術(shù)和方法相匹配，采取有效的防御。

電子郵件是客戶端端點(diǎn)的機(jī)會(huì)主義和有針對(duì)性的攻擊最常用的通道。據(jù)Gartner2016年電子郵件調(diào)查表明：

• 郵件是有針對(duì)性的對(duì)客戶的終端和用戶無(wú)針對(duì)性攻擊的首選渠道。
• BEC（Business Email Cheat,商業(yè)郵件欺詐）成為了攻擊者的搖錢樹。對(duì)于許多檢測(cè)技術(shù)來(lái)說(shuō)，這是難以捉摸的，但他們檢測(cè)異常電子郵件流量和身份欺騙技術(shù)的能力正在提高。
• 針對(duì)入站郵件的威脅，電子郵件安全網(wǎng)關(guān)是主要保護(hù)控制點(diǎn)。它們結(jié)合了普通和高級(jí)攻擊檢測(cè)和預(yù)防技術(shù)。
• DMARC（Domain-based Message Authentication, Reporting and Conformance，基于信息、報(bào)告統(tǒng)一的域認(rèn)證協(xié)議），DKIM（Domain Keys Identified Mail，域名密鑰識(shí)別郵件標(biāo)準(zhǔn)）和SPF（Sender Policy Framework發(fā)送方政策框架）的應(yīng)用正在改善，但必須進(jìn)一步增加。實(shí)現(xiàn)上還存在一定的挑戰(zhàn)，但解決方案提供商可以提供幫助。

圖1描述了對(duì)不同技術(shù)類別的電子郵件威脅的剖析。

圖1 電子郵件威脅技術(shù)和手段

圖片來(lái)源：Gartner（2016年11月）

五個(gè)攻擊階段是：

• 目標(biāo)識(shí)別：在這個(gè)階段，攻擊者的目標(biāo)決定了受攻擊者。即使通道限于電子郵件，攻擊者可以搜索大量?jī)?nèi)部用戶，以及特定的內(nèi)部目標(biāo)，甚至通過(guò)在外部電子郵件中的偽造域來(lái)組織外部目標(biāo)用戶。
• 基礎(chǔ)設(shè)施/準(zhǔn)備：在目標(biāo)識(shí)別之后，攻擊者需要設(shè)置發(fā)起攻擊所需的基礎(chǔ)結(jié)構(gòu)。對(duì)于大規(guī)模分發(fā)，攻擊者可能租用僵尸網(wǎng)絡(luò)，并將其與開發(fā)工具包或惡意附件相結(jié)合。
• 身份欺騙：最簡(jiǎn)單的攻擊不使用身份欺騙來(lái)隱藏惡意消息的實(shí)際發(fā)送者。為了獲得更高的成功率，攻擊者可能會(huì)嘗試一些簡(jiǎn)單的技巧，以使接收方相信消息來(lái)自內(nèi)部用戶。在最簡(jiǎn)單的形式中，攻擊者使用內(nèi)部用戶的名稱或應(yīng)答地址，該地址與可見發(fā)件人的地址不同。更復(fù)雜的攻擊者使用近鄰域、濫用妥協(xié)的郵箱或郵件服務(wù)器等來(lái)做為發(fā)送方。
• 信息：因?yàn)樵诖蠖鄶?shù)情況下，攻擊者要求接收者采取行動(dòng)，因此幾乎所有電子郵件攻擊都會(huì)構(gòu)建相對(duì)可信的消息體。拼寫錯(cuò)誤泄露垃圾郵件的時(shí)代已經(jīng)過(guò)去，大多數(shù)攻擊都使用令人信服的正確的文本和語(yǔ)法。簡(jiǎn)單的自定義，如包括收件人的名字開頭，越來(lái)越自動(dòng)化，越來(lái)越普遍。電子郵件消息的真實(shí)惡性往往隱藏在附件或URL中。比如用宏連接到Internet下載惡意軟件。
• 目標(biāo)：目標(biāo)不是攻擊階段，而是要理解攻擊者并設(shè)計(jì)對(duì)策，如果所有其他階段都未被阻止，安全專業(yè)人員必須對(duì)攻擊者的目標(biāo)進(jìn)行建模。攻擊者最常見的目標(biāo)是在機(jī)器上安裝惡意軟件。惡意軟件可以用于許多不可告人的目的，包括發(fā)送垃圾郵件，竊取銀行信息和勒索。攻擊者的另一個(gè)共同目標(biāo)是竊取企業(yè)憑證，通常是進(jìn)行欺詐或進(jìn)一步滲透組織。更難以捉摸的攻擊不使用URL（統(tǒng)一資源定位符）或附件。收件人電匯或泄漏敏感信息，隨后可用于欺詐。最后，勒索可能被攻擊者利用后妥協(xié)的郵箱或郵件服務(wù)器。受害者必須付費(fèi)，否則敏感信息將被泄露給公眾。

圖1的上半部分包括攻擊者工具箱中的標(biāo)準(zhǔn)技術(shù)。這些技術(shù)大多需要很少的開發(fā)時(shí)間和專門知識(shí)。這些方法通常用于完全自動(dòng)化的詐騙。攻擊者的目標(biāo)是從受攻擊的最終用戶或端點(diǎn)獲得相對(duì)較低的勒索。

圖1的下半部分包含了更復(fù)雜的技術(shù)。為了獲得更高的成功回報(bào)，攻擊者使用的技術(shù)和方法更具針對(duì)性，但必須以較小的規(guī)模執(zhí)行。這些方法通常需要更多的準(zhǔn)備和開發(fā)時(shí)間。

攻擊者不僅使用上下兩部分技術(shù)的攻擊之間進(jìn)行選擇，通常會(huì)用混合和匹配技術(shù)來(lái)實(shí)現(xiàn)其目標(biāo)。額外的復(fù)雜性需要額外的成本、時(shí)間和精力，只有在達(dá)到目標(biāo)時(shí)才能完成。在采取更多對(duì)策的情況下，復(fù)雜度增加了。隨著多可用AV在許多安全電子郵件網(wǎng)關(guān)（SEGS）的使用，例如，我們看到惡意軟件復(fù)雜度提高到一個(gè)水平，促使組織使用更有效的對(duì)策，如沙箱和文件類型白名單的。

安全專業(yè)人員可能會(huì)受益于解剖電子郵件威脅，因?yàn)樗峁┝艘粋€(gè)結(jié)構(gòu)化的方法來(lái)設(shè)計(jì)分層防御。圖2描述了與圖1中的攻擊技術(shù)和方法相匹配的防御選項(xiàng)。

圖2. 防御電子郵件威脅的技術(shù)和方法

圖片來(lái)源：Gartner（2016年11月）

即使許多攻擊都需要其他通道（通常是Web）來(lái)完全折衷客戶端端點(diǎn)，但電子郵件在大多數(shù)情況下是第一個(gè)提供的如下：

• 初始URL形式的鏈接或釣魚網(wǎng)站攻擊工具包
• 附件中含惡意程序腳本或跨站攻擊的載荷
• 行為攻擊的起點(diǎn)，如遇BEC或網(wǎng)絡(luò)釣魚攻擊

一般來(lái)說(shuō)，根據(jù)攻擊的針對(duì)性不同，我們大致可以將針對(duì)郵箱的攻擊事件分為如下表中的幾個(gè)層次：垃圾郵件、個(gè)人攻擊、商業(yè)欺詐和 APT（Advanced Persistent Threa,高級(jí)持續(xù)性威脅）攻擊。

綜上，郵件主要受病毒、木馬、網(wǎng)絡(luò)釣魚/鯨、垃圾郵件、郵件炸彈、監(jiān)聽、密碼破解、腳本漏洞、郵箱拖庫(kù)和撞庫(kù)等多種威脅的侵害，所涉及到的安全技術(shù)主要有基礎(chǔ)設(shè)施（存儲(chǔ)、安全郵網(wǎng)關(guān)等），安全技術(shù)（安全中間件、郵件身份認(rèn)證技術(shù)、端口及協(xié)議技術(shù)、沙盒，防病毒、DLP（Data leakage prevention,數(shù)據(jù)防泄漏））等）、管理技術(shù)（審計(jì)分級(jí)管理，智能監(jiān)控等技術(shù)）等多種技術(shù)。

目前，國(guó)外的安全郵件產(chǎn)品主要有BAE系統(tǒng)、梭魚網(wǎng)絡(luò)、微軟等公司的包括SEG（包括高級(jí)威脅防御）、安全網(wǎng)關(guān)（SWG）、Web應(yīng)用防火墻（WAF）、防火墻和SSL、VPN以及高級(jí)威脅防護(hù)（ATP）等。

國(guó)內(nèi)安全郵件廠商主要有：格爾、奧聯(lián)、Coremail（論客）、拓波等。

參考文獻(xiàn)

[1]楊煒, 荊繼武, 許曉東. 互聯(lián)網(wǎng)電子郵件安全[J]. 計(jì)算機(jī)應(yīng)用研究, 2000, 17(7):72-74.

[2]田呈彬, 王寧. 從希拉里"郵件門"事件談我國(guó)政府的電子郵件風(fēng)險(xiǎn)管理[J]. 北京檔案, 2017(10):37-40.

[3]劉建毅, 張鵬飛, 王樅,等. 高性能電子郵件過(guò)濾系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用研究, 2005, 22(4):224-225.

[4]鄭毅. 郵件系統(tǒng)信息安全現(xiàn)狀及對(duì)策分析[J]. 信息安全與技術(shù), 2011(11):26-27.

[5]曲朝陽(yáng), 溫婉如, 王富森. PKI及其在電子政務(wù)郵件系統(tǒng)中的應(yīng)用[J]. 東北電力學(xué)院學(xué)報(bào), 2005, 25(6):1-4.

[6]高建華. 電子郵件安全技術(shù)研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2006(5):50-52.

MD Boer, How to Effectively Mitigate Spoofing, Phishing, Malware and Other Email Security Threats ,2016,Gartner.

【本文為51CTO專欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文