01 JAN

软件开发:在线学习应对电子邮件安全威胁的4种方法

是时候以更积极的态度重新构想员工培训了,毕竟电子邮件安全问题基本就是人的问题。

电子邮件安全

SANS研究所的调查显示,近3/4的网络钓鱼、恶意软件和勒索软件攻击都是通过电子邮件登堂入室的。很多网络钓鱼都是利用看起来合法的邮件诱骗受害者点击恶意链接或打开附附件,从而往受害者系统中植入恶意软件,为攻击者盗取机密信息或彻底搞瘫受害者的网络。另外还有攻击者会黑掉电子邮件账户并冒充该账户拥有者向处在关键位置的员工发出指令,指示其共享敏感数据或往指定银行账户转账汇款。

威瑞森《2018数据泄露调查报告》揭示,公司企业因社会工程攻击而发生数据泄露的可能性是因存在网络漏洞的3倍。

美国中期选举日渐临近,整个美国的竞选工作人员及选举官员都得警惕防范此类攻击。但电子邮件黑客攻击威胁不是一过性的东西,每个政府机构每天都要面对这一威胁。

在一月份的武装部队通信和电子协会会议上,美国国防信息系统局执行主任 David Bennett 称,国防部电子邮件收件箱中每年都会涌入130亿封有问题的邮件,而且是未经任何自动化扫描和检测就躺到了邮箱里。

其他政府机构也大多注意到了电子邮件威胁,部署了电子邮件安全产品以保护自身。但即便技术防护有所增强,一个巨大的弱点依然存在:人类本身。

威瑞森的调查显示,在网络安全意识逐年上升的帮助下,如今78%的人不会去点击网络钓鱼链接了。不过,还有4%可能毫无戒心地点击网络钓鱼链接或打开恶意附件。由于罪犯仅需骗到一个受害者就能渗透整个网络,4%这个数字还是太高了,令员工行为成为了电子邮件安全的首要风险。

Barracuda 与 Dimensional Research 对全球630位电子邮件安全专业人员做了调查,结果显示不良员工行为比企业是否设置了正确的防御工具更令人担忧。在调查中,84%的受访者将不良员工行为列为首要问题,工具不足仅占16%。

虽然电子邮件依然是恶意软件被投送到公司企业内部的主要途径,但Slack这样的协作平台或 Google Drive 这种文件共享服务似乎正逐渐成为攻击者利用的对象,引起越来越多的关注。

而且,尽管大家都认为员工安全意识培训很重要,却只有77%的受访者称自家公司设置有培训项目。

这种现象很不正常,是时候以更积极的方法重新构想员工培训了,必须将电子邮件安全主要作为人的问题而不是技术问题来对待。以下4种方法可供参考。

1. 高度个性化

当前很多公司企业里的电子邮件安全培训项目往往内容宽泛且流于形式,通常都是由人力资源部门安排的非常教条的通用在线课程。但实际上,安全培训项目应该是根据每个员工的角色来定制的,其内容必须符合该员工负责的业务领域。举个例子,负责财务的人员往往就是网络钓鱼诈骗的目标对象,黑客可能会伪装成合法人员要求他们进行转账汇款。对这种位置上的员工进行培训,就应该特别注重解决此类威胁。

安全培训项目中多一点个性化,对教育每一位员工都有很大好处。

2. 有大棒,也要有胡萝卜

电子邮件安全项目太容易搞成对沦为电子邮件欺诈受害者的的惩罚或羞辱,对良好行为表现却没有任何奖励。但实际上,主动向IT部门报告了可疑邮件的员工,是应该受到某种形式的承认的,比如说,向全体员工推送表扬备忘,或者直接给予礼品卡之类的物质奖励。

电子邮件安全项目应设法承认这些没有点击恶意链接的人。正向反馈是非常有效的。

3. 超越课堂式培训

更好的战术应超越常规的课堂式教学(无论是教室上课还是网络上课)。利用现实世界场景的实质性培训才是更有力的工具。

红队测试就是个好方法,公司企业可以安排白帽子专家黑进网络,模拟一场攻击,来个攻防演习。还可以利用大家都熟悉的高管账号模拟账号被黑攻击,评估员工会如何响应被黑账号发来的请求。

这种切身体验式的方法可帮助公司企业及其员工更加了解自身抵御电子邮件攻击的能力,效果比坐在教室里听老师讲课要好得多。

4. 更多责任

电子邮件安全培训项目的结果不应该只是人力资源和安全团队的职责范围,部门领导或办公室主管都应负有责任。这么做可以在公司范围内慢慢浇铸一种“电子邮件安全人人有责”的氛围,也可有力支撑安全培训项目应针对各个业务领域个性化定制的概念。

三大主要电子邮件安全协议互为补充,若能全部实现,可获得最佳电子邮件安全防护。虽说知易行难,但遵从专家的建议能有所帮助。

电子邮件安全

尽管取得了一些进展,SPF、DKIM和DMARC这3个电子邮件安全协议的部署之路依然举步维艰。这3个协议的配置比较困难,需认真研究了解其相互间联系与各自保护性功能间的互补关系。但是,磨刀不误砍柴工,这种学习研究上的投入会带来巨大的安全回报。

  • 发件人策略框架(SPF)能加强DNS服务器安全并限制谁能以你的域名发出电子邮件。SPF可防止域名欺骗,令你的邮件服务器能够确定邮件是何时从其所用域名发出的。SPF由3个主要部分构成:策略框架、身份验证方法,以及包含这些信息的特殊邮件头。2006年发布的互联网工程任务组(IETF)标准4408首次提出了SPF,2014年的IETF标准7208对该框架做了更新。

  • 域名密钥识别邮件(DKIM)协议可确保邮件内容不被偷窥或篡改。2007年初版出炉后历经多次修改,最近一次更新是今年1月的IETF标准8301。SFP和DKIM在2014年的IETF标准7372中都做了更新。

  • 基于域的邮件身份验证、报告及一致性(DMARC)协议以一组协调一致的策略黏合了SPF和DKIM,并将发件人域名与邮件头中From:域列出的内容相关联,还具备更好的收件人反馈机制。该协议于2015年在IETF标准7489中提出。

网络钓鱼和垃圾电子邮件是黑客侵入公司网络的最大机会。只要某用户点击了恶意附件,整个企业都有可能遭遇勒索软件、加密货币劫持脚本、数据泄露或提权漏洞利用。

但为什么多数企业都需要这3个协议来保护自身电子邮件基础设施,就不是每个人都清楚了。IT世界中,多种解决方案并不是总有交集。事实上,它们往往是互为补充的,公司企业最好把这3个协议都实现了。

最近的发展驱动了对电子邮件安全协议的关注

众所周知,这3个协议早在新世纪之初就已提出,那么最近发生了什么,才导致大家的视线又集中到了它们身上呢?

1. 垃圾邮件和渔叉式网络钓鱼一直都很成问题

且随着越来越多的公司网络深受其害,IT经理纷纷找寻更好的安全解决方案加以应对。还有近几年来上升势头很猛的勒索软件(往往紧随渔叉式网络钓鱼电子邮件而至),也让公司企业更想要保护自身电子邮件基础设施。垃圾邮件显然是不会消失的。

2. 政府也涉入了

美国国土安全部(DHS)去年颁布了一项命令,要求各政府机构拿出实现这些协议的行动计划。英国和澳大利亚的机构也发布了各自的强制部署时间表,至少政府运营的服务器上要实现这些协议。尽管很多机构都没能赶上最初定下的截止日期,仍有一些机构已开始实现,并取得了重大进展,朝着完全部署迈进了一大步。

3. 谷歌Gmail、雅虎和Fastmail等电子邮件提供商的实现激励了其他人的跟进

因为想要保证客户的电子邮件受到保护,在其托管电子邮件解决方案中添加这些协议就显得很有意义了。

4. 安全提供商改进了产品和咨询服务,可以让协议部署得更加容易

Valimail、Barracuda和Agari就是个中代表,Proofpoint则提供免费互动工具以创建客户自己的DMARC记录。需注意的是,Agari、Valimail和微软正在开发名为品牌指标邮件识别(BIMI)的新标准,可在每封电子邮件中展示公司品牌标志,帮助移动电子邮件用户识别垃圾邮件。

SPF、DKIM和DMARC组合拳

不妨进一步审视这3个协议。首先,为什么3个都要实现?

因为它们各自解决电子邮件问题中不同的方面,通过结合标志身份验证及加密工具,比如公钥和私钥签名,再辅以特殊DNS记录以验证出自公司域名的电子邮件,3个协议联合使用可防止网络钓鱼与垃圾邮件侵入。

其次,互联网电子邮件协议的进化发展方式也要求综合使用这3个协议。互联网早期,电子邮件主要是大学里的研究人员使用,大家互相认识,彼此信任,但那美好的旧时光已一去不复返。

邮件头(比如收件人(To:)发件人(From:)和抄送(Bcc:)地址字段)与邮件实际内容部分被有意剥离开来。这算是电子邮件的一项重要特性,但这种剥离给现在的IT管理员带来了新的痛苦。

如果你的电子邮件基础设施恰当地实现了全部3个协议,你就可以确保邮件不会被轻易伪造,也可以防止垃圾邮件淹没用户的收件箱。但这只是个理想状态,前面的那个“如果”没那么容易实现。

前面说了那么多好处,下面我们来看看棘手的部分。

去年年底,一名安全研究员发了篇如何用一组多主题电子邮件破解DKIM的帖子。虽然他在DKIM实践与实现上有些心得,Valimail(托管DKIM解决方案供应商)却指称他并不清楚自己在做什么,他帖子描述的不过是无关紧要的边缘案例。

大多数情况下,电子邮件客户端未能对这些多主题邮件进行身份验证,因为Fastmail部署这3个协议的恰当部署还是相当难的。

更加令人迷惑的是各种互相冲突的使用情况调查。谷歌的调查显示,Gmail邮件系统中85%的收件都用到了一些防护措施,但普通企业电子邮件用户的情况根本不是这样,他们的防护措施采用率没什么值得大书特书的。

250OK今年8月新出的一份DMARC报告显示,律所在安全协议采用上走在各行业前列,但其采纳率也仅有1/3这么点儿。大部分其他公司的采纳率微乎其微。详情如下图所示:

DMARC报告

250OK的研究与Agari早些时候的调查遥相呼应。Agari发现,财富500强企业中恰当实现了DMARC的仅占8%,仅2%的域名有所防护。

设置DMARC、DKIM和SPF并不容易,且易受运营商错误影响

举个例子,想要SPF和DMARC起到有效防护作用,你得在自己的每个域名上都安装设置这俩协议。如果公司运营有很多域名和子域名,设置工作会变得冗长繁琐。而且你还得确保每个子域名都有正确的DNS条目保护。

虽然有各种工具加以辅助,要配置好所有东西还是需要非常专业的技术的。甚至公司的DNS大师都未必熟悉每种协议所需的具体命令,不是因为缺乏这方面知识,而是因为这些命令使用太广泛,语法太琐碎。按一定的顺序设置这几个协议会让配置工作变得稍微简单些。

Easysol的帖子建议先从SPF开始,然后着手DKIM,最后处理DMARC。SPF相对较容易部署,所以放在最先。走到DMARC部署阶段,可以在开始封堵电子邮件之前先使用其仅监视模式,确保每项设置都符合要求。

LinkedIn的工程师在协议总体实现上有些建议包括怎样设置公司电子邮件标准以更好地保护邮件流量安全。

跟踪消费电子邮件的所有应用

子域名及各种网页插件可能会给协议实现带来意想不到的麻烦。举个例子,WordPress博客服务器上的很多插件都会发送各种各样的邮件通知,如果在实现这几个安全协议时未作调整,某些博客评论的邮件通知便会被放到垃圾邮件文件夹中。这种不太明显的隐藏邮件应用需要附加额外的设置工作。

运营着很多应用的企业,可能需要搜索出接入电子邮件基础设施的那些应用,为它们特别设置合适的身份验证方法。有些应用可能不支持DMARC或SPF或DKIM,这种时候你就得找其他解决办法,或者接受部分邮件可能暗藏风险的事实。