在正常的业务办公中,我们都会使用到电子邮件,攻击者也清楚的知道这一点,并且将电子邮件视为接触用户传播恶意软件和勒索软件的绝佳方式。网络攻击现在变得越来越有创意,企业需要不断调整电子邮件防御措施以跟上这种持续的威胁。可以探索一些基本方法来防御这种情况并确保用户不会成为这种不断发展的威胁的牺牲品。尽管目前存在多种战略,但组织实施怎样的战略最终将取决于组织愿意接受怎样程度的风险水平。
一种更轻(更弱)的电子邮件防御方法
假设一封电子邮件到达用户的收件箱并包含一个恶意链接,用户不经意地点击了该链接。随后,该用户的终端被感染了。大多数组织会通过以下三种方式防御/应对这种问题。
- 该组织已确保在终端上安装了反恶意软件,希望能阻止感染。
- 组织已经对用户进行了有关电子邮件漏洞和防御策略的培训和教育,希望用户能谨慎行事,意识到该链接是恶意的,因此不会点击该链接。
- 该组织已投资于反垃圾邮件扫描技术,作为进一步的防御层。
虽然这些过程都有自身的好处,但不可避免的是,这三种方法都是相对薄弱的电子邮件防御形式。第一种防御方案依赖于在端点上安装反恶意软件,它假定用户正在使用受保护的端点,并且反恶意软件会检测到该威胁。然而,这些威胁总是在不断变化,而且有一些规避反恶意软件的暗箱操作方法,如使用基于浏览器的电子邮件和未经注册的链接。使用反恶意软件作为其唯一的电子邮件防御形式的组织,通过恶意链接被用户点击而继续受到侵害是很常见的。
这给我们带来了第二点——培训和教育用户持怀疑态度,提高认识,不要点击链接。尽管教育是至关重要的,而且应该采取这一步骤,但归根结底,人们是好奇的,而且有可能一些用户会点击这些链接,无论是出于好奇还是粗心的错误。不幸的是,只需要一个用户点击一个恶意链接,就可以错误地损害一个组织。这种情况一次又一次地被看到。所以很明显,用户的好奇心和攻击者的狡猾总是会导致用户点击一些他们不应该点击的地方。
第三,无处不在的反垃圾邮件技术,扫描电子邮件中的链接。许多人认为这是一个万无一失的方法。然而,这些链接继续通过防御。这通常是由于黑客习惯于使用微软365或同等产品,所以他们知道如何轻松地规避这种类型的防御。
那么,在这三种策略被许多人依赖的情况下,还有什么办法可以进一步巩固电子邮件防御?
更有力的电子邮件防御方法
人们经常说到防御策略的分层。因此,即便有些策略失败了,但总有一些还是可以依靠的。同样地,分层使用几种策略来防御连续的电子邮件网络攻击是有益的。可以包括以下的电子邮件防御层。
- 建立一个持续检查链接的系统;这可以通过采用点击链接的技术来发现任何潜在的漏洞。如果发现链接包含漏洞,该技术将把链接重定向到一个内部网站,并将其突出显示为恶意的。
- 确保端点与所有其他系统隔离,这样,如果恶意链接被点击,有效载荷将不会感染端点。这可以通过对端点进行空中封锁来实现。此外,如果端点不具备安全性,它就不应该有查看电子邮件的权限。因此,这是一种预先允许访问电子邮件的态势评估。通过限制可以访问电子邮件/链接的机器,组织确保只有被隔离和加固的机器可以。
- 鼓励用户只使用受保护的系统,并将激励措施落实到位,以鼓励这些受限制的界面。这是一个严重依赖的纪律。通过将设备用于它们的用途,不仅会使组织更加安全,而且有助于发展安全的实践。如果设备对任何可以点击的链接都有弹性,那么连续的电子邮件网络攻击的脆弱性就开始变得不那么重要了。
- 确保所有在链接中无法验证的域名以及所有不常见或不经常使用的域名都被默认屏蔽。这种方法不仅会限制整个攻击面的面积,而且会确保任何来自随机域名的链接在默认情况下不会起作用。所有可执行的脚本和应用程序都必须被阻止,并对浏览器给予特别关注。这一点在许多组织中通常没有得到很好的管理。
- 采用强大的DNS扫描,这样,当一个链接出现,重定向到一个已知的恶意软件的DNS区域或尚未审查的新东西,它将被阻止。
- 创建应用程序白名单,只允许经过审查的应用程序和脚本运行。如果在设备或浏览器的内存中创建或运行任何迹象的脚本或可执行代码,这种行为应被阻止。
- 为可信和敏感的通信采用端对端加密也是关键;这意味着想要安全地相互通信的用户必须进行认证,并在安全信封中创建一封电子邮件,对其进行签名和主动认证。这比仅仅在公共网络上发送公开的电子邮件更安全。安全平台可以使用身份验证系统对用户进行认证,以了解电子邮件的来源。通过确保所有的电子邮件都经过加密和签名,它们是无法被篡改的。这些类型的安全电子邮件平台比标准企业电子邮件更值得信赖。
迎接这一无尽的挑战
持续保护电子邮件环境具有挑战性,传统系统需要改进,因为很明显大多数勒索软件都是通过电子邮件渗透的,而且它是有效的。由于电子邮件可以到达所有用户并且长期存在,因此使用安全电子邮件是一个不错的选择。尽管培训和教育可以发挥作用,但它本身很少有效,因此对于所有企业来讲,实施额外的层级和技术控制来抵御每天面临的这种持续威胁至关重要。