電子郵件由于其成本低、效率高的特性，已經(jīng)成為企業(yè)通信最重要的形式之一。如今，我們習(xí)慣咨詢的問題也已經(jīng)從“你有電子郵件嗎”轉(zhuǎn)變成“你的電子郵件地址是什么?”

[[238960]]

不過，電子郵件也是其自身成功的受害者。助力電子郵件成為企業(yè)通信最重要形式的特性，也同樣吸引了那些將其用作非法目的的犯罪分子。如今的企業(yè)電子郵件系統(tǒng)必須與日益增長的垃圾信息、病毒、網(wǎng)絡(luò)欺詐或網(wǎng)絡(luò)釣魚郵件，以及郵件中所包含的間諜軟件作斗爭。

面對日益嚴(yán)峻的安全挑戰(zhàn)，無論是目前的技術(shù)，還是安全意識培訓(xùn)統(tǒng)統(tǒng)表現(xiàn)的不盡人意，如何阻止電子郵件威脅成為如今企業(yè)亟待解決的重要挑戰(zhàn)之一。

近日，在一項(xiàng)針對295名專業(yè)人士(大多數(shù)但不是完全是IT專業(yè)人員)的調(diào)查中，85%的受訪者表示，他們發(fā)現(xiàn)電子郵件威脅可以繞過電子郵件安全控制機(jī)制進(jìn)入收件箱;40%的受訪者發(fā)現(xiàn)，威脅頻率高達(dá)每周多起;20%的受訪者表示，每周必須采取重大的補(bǔ)救措施來防止電子郵件威脅。

電子郵件安全公司GreatHorn希望在電子郵件首次開發(fā)近50年后，對電子郵件安全狀況進(jìn)行一次全面檢查。而其調(diào)查結(jié)果顯然并未出乎安全專業(yè)人士預(yù)料。根據(jù)定期泄露分析結(jié)果顯示，超過90%的泄露行為始于電子郵件攻擊。實(shí)際上，GreatHorn研究還表明，大多數(shù)(54.4%)的企業(yè)安全領(lǐng)導(dǎo)者(即擔(dān)任CISO角色的人員)認(rèn)為，電子郵件安全是目前的TOP 3安全優(yōu)先事項(xiàng)。

令人驚訝的數(shù)據(jù)并不是電子郵件安全現(xiàn)狀糟糕得一塌糊涂——在所有受訪者中，46.1%的人表示他們對目前的電子郵件安全解決方案不滿意——而是安全專業(yè)受訪者和非安全受訪者之間的威脅感知差異——其中61%的安全專業(yè)受訪者感知到了這種威脅;而非安全受訪者所占比例只有39%。

調(diào)查指出，在接受訪問的所有人中有66%的人表示，他們在收件箱中發(fā)現(xiàn)的唯一威脅就是垃圾郵件。當(dāng)然，對于他們所說的“垃圾郵件”，我們認(rèn)為可能存在一些不同的含義，而不僅僅是意味著未經(jīng)請求的營銷類電子郵件。不過，如此大比例的數(shù)字也表明，他們對電子郵件所帶來的風(fēng)險(xiǎn)嚴(yán)重性缺乏明確認(rèn)知。

當(dāng)問及受訪者中的安全專業(yè)人士同一問題時(shí)，這個(gè)數(shù)字發(fā)生了巨大的變化。只有不到16%的受訪者表示，垃圾郵件是他們面臨的主要威脅。因?yàn)閷τ谄溆?5%左右的安全專業(yè)人士來說，每天通過電子郵件傳播的威脅種類繁多;但對于非專業(yè)用戶來說，唯一面臨的威脅就是收到了一些自己并不想要的垃圾電子郵件。

此外，據(jù)Gartner電子郵件專家Neil Wynne的統(tǒng)計(jì)數(shù)據(jù)顯示，在工作電子郵件范圍內(nèi)，普通白領(lǐng)專業(yè)人員的電子郵件開放率為100%。無論您是否采取任何行動(dòng)來響應(yīng)它，您都將會(huì)打開電子郵件。

你可能認(rèn)為，只是打開惡意電子郵件，并沒有進(jìn)行任何操作，所以你還是安全的。但這顯然并不是事實(shí)。根據(jù)GreatHorn的數(shù)據(jù)顯示，20%的安全專業(yè)受訪者被迫從電子郵件威脅中直接進(jìn)行補(bǔ)救(例如暫停受感染的帳戶，PowerShell腳本，重置受感染的第三方帳戶等)。

在簡單的層面上，這意味著普通的非安全工作人員極有可能打開所有電子郵件;因?yàn)樵谒麄兛磥?，不太可能出現(xiàn)除垃圾郵件以外的任何其他威脅——31%的非安全人士表示，他們從未看到除垃圾郵件之外的任何其他電子郵件威脅;而且，根據(jù)以往數(shù)據(jù)和經(jīng)驗(yàn)顯示，這些非安全人士顯然更容易點(diǎn)擊惡意鏈接或打開武器化附件。

當(dāng)被問及這些數(shù)據(jù)是否進(jìn)一步暗示“安全意識培訓(xùn)失敗”時(shí)，安全專家的回答是肯定的!當(dāng)然，之所以給出如此肯定的回答是有依據(jù)的，根據(jù)網(wǎng)絡(luò)釣魚培訓(xùn)公司提供的內(nèi)置指標(biāo)清楚地表明，利用他們的系統(tǒng)培訓(xùn)的用戶，在識別惡意鏈接方面的能力有所提升。網(wǎng)絡(luò)釣魚成功率從30%減少至10%的情況也并不少見。

但是，據(jù)Verizon進(jìn)行的一項(xiàng)報(bào)道指出，每25個(gè)人中就有1個(gè)會(huì)點(diǎn)擊任何特定的網(wǎng)絡(luò)釣魚攻擊鏈接。這也就表明，對于網(wǎng)絡(luò)釣魚郵件所針對的每100名員工中，就有4名將成為受害者，而只需要通過這4個(gè)人中的其中1個(gè)就能順利實(shí)現(xiàn)攻擊。

防止電子郵件威脅的困難之處，在于現(xiàn)代電子郵件攻擊的本質(zhì)。許多現(xiàn)代電子郵件攻擊活動(dòng)會(huì)涉及某種形式的冒充，包括商業(yè)電子郵件攻擊(BEC)、商業(yè)欺詐攻擊，以及為獲取登錄憑據(jù)而進(jìn)行的純粹的社會(huì)工程攻擊等。當(dāng)用戶看不到有關(guān)該威脅的信息時(shí)，你將無法培訓(xùn)他們了解這些電子郵件威脅。此外，用于訓(xùn)練用戶區(qū)分來自同事的電子郵件，和來自竊取同事憑證的惡意行為者的電子郵件的有效方法非常少。因此，我們形成了一個(gè)安全意識市場，認(rèn)為電子郵件安全是一個(gè)意識問題，是人自身的問題，是可以通過訓(xùn)練來避免的問題。

此外，安全意識培訓(xùn)公司之所以能夠成功，是因?yàn)橐庾R培訓(xùn)代表了合規(guī)框架中的一個(gè)重要因素，如果他們遭受了數(shù)據(jù)泄露，就將會(huì)面臨重大的成本損失。所以，即便安全意識培訓(xùn)實(shí)際上并非真的有效，人們?nèi)匀粫?huì)爭先恐后地這樣做。

電子郵件安全公司GreatHorn對該問題的看法是，電子郵件安全解決方案不僅僅需要依賴技術(shù)和個(gè)人意識訓(xùn)練，還需要使用技術(shù)來對抗社會(huì)工程方面的威脅——即采用先進(jìn)的電子郵件內(nèi)容過濾系統(tǒng)和機(jī)制。

據(jù)悉，GreatHorn公司創(chuàng)立于2015年，總部位于美國馬薩諸塞州貝爾蒙特。2017年6月，該公司宣布獲得了由Techstars風(fēng)險(xiǎn)投資基金和.406 Ventures領(lǐng)投的630萬美元A輪融資。該公司主要通過將機(jī)器學(xué)習(xí)技術(shù)應(yīng)用于解決目標(biāo)魚叉式網(wǎng)絡(luò)釣魚，以及BEC威脅等相關(guān)問題上。根據(jù)聯(lián)邦調(diào)查局2016年5月發(fā)布的報(bào)告顯示，后者(BEC威脅)如今總計(jì)造成了超過30億美元的經(jīng)濟(jì)損失。

報(bào)告原文下載：

https://info.greathorn.com/hubfs/Content%20for%20Resources%20Page/2018%20Email%20Security-FINAL.pdf

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文