Sophos电子邮件产品管理高级总监David Mitchell分享了他的主要技巧,以优化工作场所的电子邮件安全性。
尽管工作场所的聊天和即时通讯应用越来越多,但对许多人来说电子邮件仍继续在内部和外部业务通信中占主导地位。
不幸的是,电子邮件还是网络攻击的最常见切入点,攻击者会将恶意软件和漏洞传播到网络,并泄漏登录凭据和敏感数据。
电子邮件安全攻击态势
SophosLabs的最新数据显示,到2020年9月,他们的垃圾邮件捕获程序捕获的恶意垃圾邮件中有97%是网络钓鱼电子邮件,目的是寻找凭据或其他信息。
剩下的3%是混杂的带有恶意网站链接或带有钓鱼附件的信息,攻击者希望安装后门、远程访问木马(RAT)、信息窃取或利用,或者下载其他恶意文件。不管最终的目标是什么,网络钓鱼对于攻击者来说仍然是一种非常有效的攻击策略。我想这背后的部分原因是其幕后的运营商不断提高自己的技能并提高其活动的复杂性。
一个很好的例子是企业电子邮件攻击(BEC)的兴起,最新的攻击工具不再局限于伪装成首席执行官、要求立即秘密转移大笔资金的糟糕拼写或格式的邮件,最新的迭代更加复杂和聪明。
攻击者在发动攻击之前正在做基础工,他们了解业务和目标主管,采用他们的语言风格和语气,有时甚至是真实的电子邮件帐户。
此类电子邮件中缺少恶意链接或附件,这使它们很难被传统的安全工具检测到。
SophosLabs收到的诈骗电子邮件
攻击者还学会了更好地模仿Web域,并充分利用目前三分之一的商务邮件是在移动设备上使用的这一事实。
很难在智能手机上检查消息的来源和完整性,并且人们更容易移动或分散注意力,因此移动设备的目标更容易成为目标。
工作场所保护电子邮件安全有五个步骤
考虑到这些注意事项,以下是研究人员确保你的组织的电子邮件安全的五个基本步骤。
步骤1:安装一个智能的、多功能的安全解决方案,该解决方案将在你发现攻击之前对它们进行筛选、检测和阻止。
为了保护你的网络、数据和员工免受迅速发展的基于电子邮件的攻击,你安装的必须是有效的安全软件。值得考虑的是一种基于云的选择,它可以实现实时更新、可伸缩性以及与其他安全工具的集成,以实现共享智能。
为了使你的安全解决方案发挥最佳性能,你还需要为入站和发送电子邮件设置适当的控件。例如,你是否只在收到邮件后扫描邮件,或者在用户打开邮件后监控他们点击了什么?
如何隔离不想要的电子邮件或身份验证失败的电子邮件,以及谁有权配置或否决决策?这就是第二步要做的。
步骤2:为电子邮件验证实施可靠的防护措施
你的组织必须能够验证电子邮件来自其声称来自的人和来源,网络钓鱼电子邮件通常具有欺骗性或伪装的电子邮件地址,而电子邮件身份验证则可以为他们提供重要的保护。
你安装的电子邮件安全解决方案应该能够根据电子邮件似乎来自的域设置的身份验证规则检查每个传入的电子邮件,最好的方法是实现一个或多个公认的电子邮件认证标准。
主要的行业标准是:
1.发件人策略框架(SPF),这是一个域名服务器(DNS)记录,用于根据允许为特定域发送电子邮件的预定义IP地址检查入站邮件中的电子邮件地址。如果入站的电子邮件地址与其中任何一个不匹配,那么这个地址很可能是假的。
2.DomainKeys Identified Mail(DKIM),可以查看入站电子邮件以检查是否已更改,如果电子邮件是合法的,则DKIM将找到一个数字签名,该数字签名链接到附加在电子邮件标题上的特定域名,并且在源域也将有一个相应的加密密钥。
3.域消息身份验证报告和一致性(DMARC),指示接收服务器如果未通过DKIM或SPF检查,则不接受电子邮件。这些检查可以单独执行,但DMARC会将它们组合在一起。它还可以确保通过SPF和DKIM认证的域与电子邮件标头地址中的域匹配。 DMARC当前提供了用于验证电子邮件发件人的最佳,使用最广泛的方法。
步骤3:员工注意事项
提醒那些知道可疑邮件的警告信号的员工是一种很好的防御手段,你的企业可以实施正式的在线培训、共享最新攻击示例、运行测试并向他们显示一些标准检查:电子邮件地址是否可疑、是否存在意外的语言错误?如果它似乎是来自内部同事,他们通常会以这种方式交流吗?你期待收到的邮件是来自某个你认识的人吗?
如前所述,当员工在移动设备上打开短信时,一些潜在的危险信号很难被发现。解决此问题的一种方法是引入标语,以在电子邮件是外部来源时自动突出显示,即使它假装来自内部地址也是如此。
步骤4::教育员工,让他们知道当他们发现一些危险信号时应该做什么?
你需要使你的员工轻松报告他们不确定的事情,这意味着必须向他们提供一个简单的流程,例如用于报告可疑消息的企业内部邮箱。
其目的是最大限度地增加报告的攻击数量,阻止进一步的伤害永远不会太迟,所以你还应该鼓励那些已经成为攻击受害者的员工及时报告出现的异常现象。
步骤5:不要忘记发送电子邮件
收件人将根据上述身份验证方法自行评估从你的组织发送的电子邮件。你需要确保针对自己的域名设置了强大的控件,这对于确保组织沟通的完整性和品牌声誉并防止对手误用至关重要,你可能还希望考虑到发送电子邮件时还需要监视和控制什么。
你是否扫描异常活动或异常行为模式(例如在深夜定期发送到未经验证的IP的电子邮件),这些行为可能表明内部电子邮件帐户受到了攻击,或者是正在进行的网络攻击?你是否扫描并阻止付款信息(例如信用卡详细信息或其他客户PPI)退出网络等?这些都是关于员工意识和信任以及电子邮件安全的敏感领域,最好的起点是对员工进行教育和支持。
随着攻击者利用新技术、新环境或只是训练其社交工程策略,电子邮件攻击技术一直在不断迭代。定期检查你的电子邮件安全性,确保它与你的组织和攻击者技术的变化保持同步。
如果你正在寻找工作场所的电子邮件安全解决方案,则可以考虑以下方面:
1.Sophos Intelix,这是一个实时攻击查找服务,你可以在自己的系统软件和脚本中使用它来为可疑网站,URL和文件添加高速攻击检测。一个简单的基于HTTPS的Web API(可使用JSON进行响应)意味着你可以从几乎任何你喜欢的编程或脚本语言中使用Sophos Intelix。注册是免费的,每个月你都可以获得大量的免费提交,之后如果你想进行大量查询,你可以按需付费。
2.Sophos Phish Threat(网络钓鱼威胁模拟器),Sophos Phish Threat能够将整个培训程序自动化,并通过一目了然的分析报告辨别出安全意识薄弱的员工。作为唯一由IT安全界领导厂商所推出的安全意识培训方案,Sophos PhishThreat可与邮件、端点及网络安全措施一起利用单一的主控台管理,有助于改善风险管理和事故应变。Phish Threat也提供分析及报告指标,可在组织或员工个人层面上就整体业务风险及安全状况作出追踪和评估。该培训方案同时会把员工对网络钓鱼攻击的敏感度与全球规范相对比,以便企业量身订造培训内容,而这些基础数据还可用来加强Sophos Central 的安全政策设定,提供多重安全策略以对抗网络钓鱼及社交工程攻击。
3.Sophos电子邮件。这是研究人员开发基于云的电子邮件安全解决方案,可阻止网络钓鱼骗子,垃圾邮件,零日恶意软件和有害应用程序。Sophos Email 沙箱内置的人工智能技术与Intercept X 相同,是一个深入学习神经网络,能够侦测已知和未知恶意软件,以及不想要应用程序,阻止其执行。
本文翻译自:https://nakedsecurity.sophos.com/2020/10/06/gone-phishing-workplace-email-security-in-five-steps/如若转载,请注明原文地址。