I. 郵件是網絡攻擊的首要突破口
郵件作為企業(特别是傳統和大型企業)的主要溝通工具關鍵程度日益提升,同時安全問題也日益突出。郵件協定缺乏認證和安全鑒别機制,是以天然具備防追蹤和高成本效益的特性,郵件已經成為電信詐騙、勒索軟體攻擊的主要途徑。目前大衆普遍認為郵件安全就是釣魚攻擊(phishing),其實郵件安全的領域很廣,本文基于工作中的知識與大家多元度分享一下。
首先介紹四種郵件仿冒技術
a. 仿冒發件人别名-難度指數*
利用郵件賬号的别名字段屬性,使用公用郵箱(比如Gmail)仿冒他人賬号,此類仿冒郵件占比最高,同時因為實際發件人位址真實存在,可以進行互動式詐騙。
Example
From: Steve Jobs [email protected](而不是[email protected])
b. 仿冒發件人-難度指數**
利用郵件協定的認證缺陷(實際加強安全協定已經存在,但是普及率不高),使用真實的發件人位址和别名,給受害人發送郵件。優點是受害人毫無抵抗能力,全是真貨、真貨、真貨;缺陷是攻擊者不能收到受害者的郵件回複,需要結合惡意連結或附件達到攻擊目的。
Example
From: Steve Jobs [email protected](搭建或租用惡意郵件伺服器)
c. 相似域名仿冒-難度指數**
搶注相似域名,比如app1e(不是L,是數字1),然後就可以按照套路操作了。
缺點是注冊域名、配置郵件服務等太麻煩,而且容易留下作案痕迹;而且大公司都有brand監控服務,相似域名已經搶注或在監控範圍内了(域名注冊商有這項服務)。
Example
From: Steve Jobs [email protected]
d. 仿冒回複人-難度系數****
利用郵件header中的Reply to字段,結合仿冒真實發件人攻擊,做到真實發件人位址從網際網路惡意發送,受害者郵件回複送達Gmail郵箱。
Example
From: Steve Jobs [email protected](搭建或租用惡意郵件伺服器)
Reply To: [email protected] (此字段在郵件用戶端隐藏,但是可以通過文本或定制軟體修改)
基于攻擊類型可以概括為三類
- 勒索軟體攻擊
全球41%的企業遭受勒索軟體的攻擊,其中70%的受害者選擇了支付贖金。無論是撒網攻擊還是定向攻擊,電子郵件是最常見的傳遞方式,占比為59%,其次是網站、社交媒體和受感染的存儲。常見的商業詐騙主題包括發票、發貨資訊、逾期賬戶等。
勒索軟體服務RAAS (Ransomware as a Service)已經非常成熟,注冊一個比特币賬号就可以坐等收錢了(參照流行的付費問答平台:隻要劇本夠好,使用者群定位精确,穩賺不賠)。
2016年堪稱勒索軟體元年,截止第三季度已經發現380萬+惡意樣本。中國企業也已經成為勒索軟體的受害者,同時RAAS已經成為行業惡意競争中的又一利器(熟知的還有DDoS)-勒索軟體的招式之猥瑣,後果之嚴重可想而知!
- 商業郵件詐騙(BEC)BEC- Business Email Compromise .
商業郵件詐騙又叫老闆詐騙,與‘我是你上司’電話詐騙如出一轍(還有QQ群,微信群中的馬甲上司)。
a.海外商業規則基于簽名的合同、電子轉賬(比如企業信用卡,支票),是以郵件詐騙的套路才是最純正的,過程不再贅述。
b.中國商業規則是基于蓋章的合同和紙質發票,從遊戲規則推導中國是對郵件詐騙具有免疫力的;但是中國的郵件詐騙是極具中國特色的:上司為尊的習慣導緻案例頻發,上司要求财務員工轉賬時就違規操作了(忽略身份驗證和流程簽批)。
這類郵件攻擊通常安全團隊可以免責,不是狹義資訊安全的範疇!
- 仿冒企業郵件
以企業的名義對外發送釣魚郵件,特别是仿冒電子商務企業(淘寶、京東、亞馬遜等)、公共事業(公檢法,12306等)發送釣魚郵件時危害極大。此類攻擊對企業不産生直接影響,但是間接影響企業聲譽。
II. 郵件安全防護政策
本章節的防護措施都是戰術層面的被動響應,其實IETF已經釋出了郵件安全協定,企業可以從架構設計出發來防護郵件。
允許我套路一下-NIST framework: 識别,防護,監測,響應,恢複。
- 識别風險
資産識别-郵件安全的核心是賬号和郵件内容,可以采用一些政策降低資産的暴露面。
一個小技巧就是郵件别名(alias,相當于多個郵件位址對應一個inbox執行個體),Gmail郵箱預設支援别名設定,商業郵箱方案和ISP的郵箱政策也允許别名。郵箱位址作為商業聯系方式屬于公開資訊,商業别名可以有效保護郵件賬号,增加擷取賬号和密碼的複雜度。
郵件内容的暴露面可以實施企業文檔加密方案(MS RMS,Adobe RM, etc.),確定在郵件賬号洩露後保密文檔不會被非授權通路。
- 防護郵件
a. 郵件網關-垃圾郵件、病毒附件
非常成熟的防護手段,商業方案普遍蓋地細節不再贅述,僅列出關鍵參照點
殺毒引擎-不同廠商的特征庫之間會有補充(部分廠商内置多個殺毒引擎),啟用多少個?
防護政策級别-網關配置包括多種防護級别,管理者為了快速部署通常僅啟用中或低級别防護政策,導緻郵件網關的功效不能充分發揮;
串聯還是旁路-随着郵件威脅的增加,部分企業開始部署多層郵件網關,如何平衡延遲和效率?
[注:國際知名電子郵件安全廠家Softnext守内安的郵件歸檔、郵件網關系統,可對郵件進行加密、歸檔、審計管理,防病毒,層層過濾郵件威脅,降低企業被入侵風險。]
b. 賬号防護
動态驗證碼-參照12306神一樣的圖檔驗證碼,破解密碼的難度火箭式增加(個人更認可google的robot識别技術)
MFA雙因素-國外的Google authenticator, Duo都是很好的方案;抽屜裡各家銀行的U頓、密碼卡、企業配發的OTP令牌,都是各掃門前雪的解決方案;非常期待國内的MFA雙因素認證平台的普及(惋惜洋蔥的夭折)。
c. 終端電腦-郵件是攻擊通道,目标是終端電腦或賬号。
釣魚郵件、惡意軟體通過郵件傳遞後是否能夠成功感染電腦,并成功執行。
防毒軟體的覆寫率決定了終端電腦防護的短闆(安裝率、染毒率需要管理和技術雙向發力)。
是否有類似主機IDS的軟體鎖定系統漏洞(勒索軟體調用作業系統加密接口,限制接口調用可以有效降低勒索軟體的執行)
d. 網絡防護-代理或防火牆
通過特征庫自動阻斷釣魚郵件中連結或腳本下載下傳,同時可以在響應階段手工阻斷URL;
同時需要關注網絡層惡意軟體外鍊的報警,通常可以發現一些蛛絲馬迹;
- 監測攻擊
a. 做好日常運維就是最好的監測
郵件進出站數量的異常是否察覺,原因是否調查;
釣魚郵件的連結多少被點選,是否送出賬号?這些賬号是否已經重置密碼?
b. 借用工具武裝自己
郵件頭分析:mail header analyzer (參考搜尋引擎,advertisement free)
監控網際網路上傳輸的公司郵件:DMARC資料平台(參考Ⅲ 郵件安全協定)
- 響應事件
a. 具備監測能力是前置條件,國内企業還停留在使用者上報階段;
b. 被動就要挨打,建議從監控exchange Log開始,設定subject關鍵字過濾,比對情報惡意IP、sender實時報警
c. 考驗安全團隊的裝置操作權限和應急熟練程度(郵件安全攻擊高頻,需要半自動化和流程化)
郵件header分析、釣魚成功率分析(結合網絡層URL通路日志)
網絡層阻斷URL,更新防毒軟體特征庫
- 恢複業務
取決于企業郵件架構和檔案備份政策
III. 郵件安全協定
因為商業利益驅使,各大廠商都在推薦郵件網關裝置;郵件安全協定配置的優化卻很少提及,現實世界總是本末倒置。
鑒于SMTP傳統郵件的安全性不足,磚家已經研發出了五種藥方:SPF,DKIM,rDNS, DMARC, Sender ID.
國際知名電子郵件安全專家Softnext守内安的郵件歸檔、郵件網關,可對郵件進行加密、歸檔、審計管理,防病毒,層層過濾郵件威脅,降低企業被入侵風險。
文章來源:FreeBuf.COM