Munawar Hossain
思科安全業(yè)務(wù)團(tuán)隊(duì) 產(chǎn)品管理總監(jiān)
我們要應(yīng)對(duì)的,將會(huì)是資金充足、生命力頑強(qiáng)的有組織犯罪活動(dòng)和民族國家/地區(qū)設(shè)計(jì)的大量郵件攻擊方案。這些攻擊的核心是什么?大量獲取用戶數(shù)據(jù)。
犯罪分子知道,這些易于獲取的數(shù)據(jù)可以幫助他們謀劃引人注目的攻擊活動(dòng)。防御者必須在其工具箱中備有數(shù)量同樣龐大的工具,才能阻止這些復(fù)雜的攻擊。
同時(shí),我們采取的措施還必須始終合乎時(shí)宜。下面,我們將深入探討保護(hù)用戶所需的基本工具。
在前兩篇文章 ”部署 DMARC“ 和 ”網(wǎng)絡(luò)釣魚攻擊為何仍能得逞“ 中,我圍繞 SPF、DKIM 和DMARC 討論了相關(guān)標(biāo)準(zhǔn)。
雖然這些標(biāo)準(zhǔn)對(duì)保障安全大有裨益,但它們必須結(jié)合其他智能威脅分析方法進(jìn)行評(píng)估/部署才能真正發(fā)揮潛力。全面的深層防御策略能夠讓用戶恢復(fù)對(duì)收件箱的信任!
您對(duì)威脅的關(guān)注是否集中在正確的方向上?
擔(dān)心煩人的垃圾郵件的日子已經(jīng)過去了。就阻止惱人的非惡意垃圾郵件而言,大多數(shù)具有競爭力的郵件安全網(wǎng)關(guān)都能勝任。這意味著服務(wù)器負(fù)載的影響已變得相對(duì)較小。
通過跟廣大郵件管理員和安全專業(yè)人員的交流,我們發(fā)現(xiàn)他們關(guān)心的是最終用戶所面臨的威脅。這包括諸如復(fù)雜的企業(yè)郵件入侵之類的攻擊。我們常?吹,即使是 “受過教育的用戶” 也經(jīng)常被騙去錢財(cái)和/或重要的知識(shí)產(chǎn)權(quán)。
同樣,包含嵌入式惡意 URL 的郵件或看似無害的附件也會(huì)讓企業(yè)備受困擾。管理員知道,看似無害的附件實(shí)際上可能是高級(jí)惡意軟件攻擊的載體,這種攻擊會(huì)侵蝕組織內(nèi)部對(duì)郵件的信任和使用。
您需要哪些工具來抵御攻擊?
郵件威脅可能涉及任何技術(shù),也可能以任何形式為載體:標(biāo)題、正文、郵件內(nèi)容、附件、URL。
深層防御不可或缺。有效的郵件安全解決方案必須具有多層防御,就好比多層的瑞士奶酪。
即使威脅打開一個(gè)缺口,下一層安全防護(hù)也會(huì)阻止它到達(dá)最終用戶。這些安全層必須從不同的來源獲取情報(bào)。能夠處理互聯(lián)網(wǎng)上通用威脅的全球情報(bào)固然很有用,但我們同時(shí)也必須利用本地情報(bào)來增強(qiáng)這些數(shù)據(jù)。
抵御郵件威脅不能局限于收件箱
我們可能會(huì)滿足于上面介紹的兩個(gè)情報(bào)源。然而,防御者還必須關(guān)注特定的攻擊載體。請(qǐng)查看下面的清單,了解您的組織利用了這其中的多少工具。
在以下工具中,您目前使用了哪些?
- DNS 層安全
- 郵件發(fā)件人配置文件
- 基于簽名的 AV 服務(wù)
- 圍繞 URL/托管站點(diǎn)的網(wǎng)絡(luò)安全
- 可在所有安全層跟蹤文件的高級(jí)惡意軟件防護(hù)/惡意軟件解決方案
所有這些工具必須協(xié)同工作,自動(dòng)更新,并且易于管理。(似乎無法實(shí)現(xiàn)?請(qǐng)繼續(xù)閱讀)。當(dāng)涉及到零日威脅時(shí),情況可能會(huì)變得更加復(fù)雜。
例如,我們經(jīng)?梢钥吹揭粋(gè)威脅出現(xiàn)、消退,然后在另一個(gè)攻擊者手中加以利用又重新出現(xiàn)。為了找到這些威脅,一些最出色的工具對(duì)惡意軟件進(jìn)行深入分析,并通過安全的 Web 代理實(shí)時(shí)檢查分析 URL。
但是,DMARC 效果如何呢?
郵件安全行業(yè)努力讓郵件重新獲得信任,提出將 DMARC 作為標(biāo)準(zhǔn)。雖然 DMARC 和其他相關(guān)標(biāo)準(zhǔn)能夠顯著增強(qiáng)防御,但它并不是萬能的。
攻擊者也會(huì)利用和劫持 DMARC 來更有效地實(shí)施惡意攻擊。他們會(huì)創(chuàng)建并注冊(cè)以假亂真的域,并使用 DMARC 來進(jìn)行驗(yàn)證/身份認(rèn)證。只要最終用戶沒有注意到域中存在不易察覺的拼寫錯(cuò)誤,就會(huì)成為這種技術(shù)的受害者。
對(duì)于防御者,DMARC 入站郵件驗(yàn)證與本地身份情報(bào)相結(jié)合,可以幫助郵件管理員發(fā)現(xiàn)這些外觀相似的域和其他仿冒攻擊技術(shù)。
最后的要點(diǎn)
討論這么多工具和技術(shù)可能會(huì)讓您有點(diǎn)頭暈?zāi)垦!5?qǐng)記住瑞士奶酪的比喻:持續(xù)分層防御。同樣,將您的情報(bào)(全球、本地和所有攻擊載體)融合在一起以獲得最佳效果。
防御者必須達(dá)到微妙的平衡:限制用戶遭遇威脅的風(fēng)險(xiǎn),同時(shí)又不妨礙發(fā)揮用于協(xié)作通信的郵件的價(jià)值。借助這些工具,您可以創(chuàng)建適合您組織的防御措施組合。
請(qǐng)查看思科郵件安全產(chǎn)品,了解其提供的業(yè)界領(lǐng)先的威脅檢測和防御技術(shù)。
長按識(shí)別下方二維碼或點(diǎn)擊 :https://engage2demand.cisco.com/LP=15767?dtid=osowct000775
即可注冊(cè)試用思科郵件安全方案。
