电子邮件安全网关监控企业的入站和出站电子邮件流量,以查找不需要的或恶意电子邮件。这些产品的核心功能是阻止或隔离恶意软件、网络钓鱼攻击和垃圾邮件,很多产品甚至还为出站电子邮件提供数据丢失防护和电子邮件加密功能。
现在市面上很多电子邮件安全网关产品和服务可满足几乎所有企业的需求。但是,从大量可用选项中选择适合自己的产品并不是简单的事情。为评估电子邮件安全网关产品,企业应制定一套标准(例如问题列表),通过研究、供应商讨论、产品测试或其他方式来了解每个评估的产品。
本文提供了几个潜在标准,以帮助企业评估电子邮件安全网关。
基本安全功能是否足够高级以抵御当前威胁?
每个电子邮件安全网关都应该可帮助企业抵御恶意电子邮件:即包含恶意软件、网络钓鱼企图和垃圾邮件的电子邮件。但是,这并不意味着电子邮件安全网关产品应该只提供基本的防病毒、反垃圾邮件和反网络钓鱼功能,因为这些基于老一代反恶意软件控件的技术对当前威胁并不十分有效。
企业应该寻找更高级的防病毒、反垃圾邮件和反钓鱼技术。例如,恶意软件检测应使用沙箱和其他高级技术来评估文件是否存在可能的恶意行为。仅使用基于签名的技术进行恶意软件检测(例如防病毒签名)已经过时。
电子邮件安全网关提供商通常通过订阅来提供沙箱和其他高级技术。
例如,通过单独订购到其高级威胁防护(ATP)产品,Barracuda Networks公司为其电子邮件安全网关提供沙箱技术。该ATP可防止高级恶意软件、零日攻击以及有针对性攻击,而这些是Barracuda电子邮件安全网关的病毒扫描功能无法监测到的攻击。
理想情况下,基本安全功能还应利用最新的威胁情报。威胁情报是指安全供应商收集的有关当前和最新威胁的信息,例如执行攻击的主机的IP地址或恶意域的URL。
通过整合威胁情报服务和先进的检测技术,电子邮件安全网关可以更有效地检测恶意电子邮件,这里的前提是威胁情报始终保持最新状态-例如,每隔几分钟更新一次。
Mimecast Services声称其电子邮件安全网关(建立在单一云平台上)通过不断更新的威胁情报可提供更好的安全性和系统性能。
电子邮件安全网关提供哪些其他安全功能?
有些网关仅提供上面讨论的基本安全功能。但是,现在越来越多的网关提供额外的与电子邮件相关的安全功能,特别是针对出站电子邮件的数据丢失防护(DLP)和电子邮件加密功能。 对于很多企业,尤其是大型企业而言,这些附加功能无关紧要,因为这些企业已经部署企业级DLP和电子邮件加密功能。
但对于没有这些功能的企业,DLP和电子邮件加密选项添加到电子邮件安全网关(通常需要支付额外费用)很不错,这可让他们以经济高效且简化的方式将这些功能添加到企业中。
管理功能的可用性和可定制性如何?
对于电子邮件网关管理,可用性是明显优势。网关越容易管理,管理员就越有可能正确管理它,因此,它就会越有效。同时,不应忽视可定制性的重要性。
尽管企业可能不希望花费大量时间来定制其电子邮件安全网关,但这样做确实可以提高检测能力,以及加强管理过程,这主要通过自定义管理员仪表板、网关报告和网关的其他方面来实现。
对于不同企业,网关管理的可用性和可定制性的需求可能有所不同。高风险企业需要高度可定制性,以便尽可能提前检测,即使它对可用性产生负面影响。
典型的误报率和漏报率?
误报率是指良性电子邮件被错误归类为恶意电子邮件的百分比。同样地,漏报率是指恶意电子邮件被错误分类为良性电子邮件的百分比。理想情况下,误报率和漏报率应该尽可能低,但不可能降到0。没有检测技术是完美的,通常,当某项技术降低其中误报率或漏报率时,另一个比率会提高。
由于每个电子邮件安全网关并行使用多种检测技术,因此报告整个网关的整体误报率和负值通常并没有太多价值。供应商会提供每种威胁类型的典型比率,这些攻击类型包括垃圾邮件检测、恶意软件检测和网络钓鱼检测等。
企业应该能够“调整”网关的检测方法以提高或降低这些比率,以便网关实现所需的平衡。例如,企业也许能够容忍相对较高的漏报率以实现非常低的误报率。
电子邮件或附件会传输到外部系统进行处理或存储吗?
有些电子邮件安全网关是基于云的服务。当使用这些产品时,企业的电子邮件将传输到外部系统。还有些内部电子邮件安全网关、硬件和虚拟设备,可能会将可疑消息路由到由网关供应商控制的服务器以进行其他分析。
对某些企业来说,电子邮件传输到外部服务器进行处理或存储,可能是不可接受的风险,特别是当网关分析内部电子邮件时。这可能导致电子邮件安全网关供应商访问敏感数据,并无意或有意地暴露信息造成泄漏。
同样,如果供应商的服务器遭到攻击,敏感数据也可能会被泄漏。 对于在保护未加密电子邮件方面具有特别高要求的企业,可能需要考虑内部电子邮件安全网关,而不是基于云的服务。
对于使用外部系统,另一个考虑因素是安全和隐私法律,以及其他要求,这可能因司法管辖区而异。
假设企业选择使用云端电子邮件安全网关提供商的服务。如果此提供商的云设施部署在多个法律管辖区(特别是不同的国家/地区),则电子邮件消息可能受到不同法律的约束,这可能需要部署额外的或不同的安全和隐私控制。这也可能带来不同的风险,例如,外国政府可能有权在该国家的供应商服务器上访问该企业的电子邮件。
做好功课以及评估
面对这么多可用选项,当你评估电子邮件安全网关产品和服务时,可能会感到无所适从。在分析潜在产品选项时,有效的步骤是为评估定义基本标准。并没有适合所有企业的产品,每个企业都有自己的安全要求、电子邮件基础设施和IT环境,以及面对着不同威胁。
这也表明,每家企业都必须进行自己的电子邮件安全网关评估,仅仅依靠第三方评估并不足以做出最佳选择,尽管这些评估可以提供有价值的信息。
本文介绍了几个标准,企业可以将这些标准作为开发自己更全面的标准列表的起点。每个企业都应考虑其所有独特要求,包括适用的法律、法规和其他合规性要求。