DavidMitchell,Sophos电子邮件产品管理高级总监,分享了他在工作场所优化电子邮件安全的重要技巧。尽管聊天和即时消息应用程序在工作场所激增,但电子邮件继续主导许多内部和外部业务通信。不幸的是,电子邮件也是网络攻击最常见的切入点,攻击者会在网络中传播恶意软件和漏洞,并泄露登录凭据和敏感数据。SophosLabs的最新数据显示,2020年9月,垃圾邮件捕捉器捕获的恶意垃圾邮件中有97%是寻找凭据或其他信息的网络钓鱼电子邮件。剩下的3%是混合了恶意网站链接或网络钓鱼附件的邮件,目的是安装后门、远程访问木马(RAT)、信息窃取或利用,或下载其他恶意文件。无论最终目标如何,网络钓鱼仍然是攻击者非常有效的攻击策略。我想这背后的部分原因是它背后的操作者正在不断提高他们的技能并增加他们活动的复杂性。一个很好的例子是商业电子邮件妥协(BEC)的兴起,最新的攻击工具不再局限于拼写错误或格式错误的电子邮件,这些电子邮件伪装成CEO要求立即秘密转移大笔资金,最新的迭代更加复杂和聪明。攻击者在发起攻击之前会做好基础工作,了解业务和目标高管,采用他们的语言风格和语气,有时甚至是真实的电子邮件帐户。此类电子邮件中没有恶意链接或附件,因此很难被传统安全工具检测到。SophosLabs收到的欺骗性电子邮件攻击者还学会了更好地冒充Web域并利用现在三分之一的企业电子邮件在移动设备上使用这一事实。很难在智能手机上检查消息的来源和完整性,而且人们更容易移动或分心,因此移动设备上的目标更容易成为目标。确保工作场所电子邮件安全的五个步骤考虑到这些因素,研究人员已采取以下五个基本步骤来确保您组织的电子邮件安全。第1步:安装一个智能的一体化安全解决方案,可以在您察觉之前屏蔽、检测和阻止攻击。为了保护您的网络、数据和员工免受快速发展的基于电子邮件的攻击,您必须安装有效的安全软件。值得考虑的是基于云的选项,它支持实时更新、可扩展性以及与其他安全工具的集成以实现共享智能。为了让您的安全解决方案发挥最佳性能,您还需要对入站和出站电子邮件进行适当的控制。例如,您是只在电子邮件到达时对其进行扫描,还是在用户打开它们后监控他们点击的内容?您如何隔离不需要的电子邮件或未通过身份验证的电子邮件,以及谁有权配置或否决决定?这是要做的第二步。第2步:为电子邮件验证实施可靠的保护措施您的组织必须能够验证电子邮件来自他们声称的人和来源。网络钓鱼电子邮件通常具有欺骗或伪装的电子邮件地址,而电子邮件身份验证可以为其提供重要保护。您安装的电子邮件安全解决方案应该能够根据电子邮件似乎来自的域设置的身份验证规则检查每封传入的电子邮件,最好是通过实施一个或多个公认的电子邮件身份验证标准。主要的行业标准是:1.发件人策略框架(SPF),它是一个域名服务器(DNS)记录,用于根据允许为特定域地址发送电子邮件的预定义IP地址检查入站邮件中的电子邮件。如果传入的电子邮件地址与其中任何一个都不匹配,则该地址可能是假的。2.DomainKeysIdentifiedMail(DKIM),可以查看入站邮件以检查它们是否被更改,如果邮件是合法的,DKIM将找到一个链接到特定域名的数字签名,该域名附加在邮件的标题中,并且有也将是源域中的相应加密密钥。3.域消息身份验证报告和一致性(DMARC),指示接收服务器在未通过DKIM或SPF检查时不接受电子邮件。这些检查可以单独执行,但DMARC将它们组合在一起。它还确保由SPF和DKIM认证的域与电子邮件标头地址中的域匹配。DMARC目前提供最好和最广泛使用的方法来验证电子邮件发件人。第3步:员工注意事项提醒知道可疑电子邮件警告标志的员工是一种很好的防御措施,您的企业可以实施正式的在线培训、分享最新的攻击示例、运行测试并向他们展示一些标准检查:电子邮件地址是否可疑,是否有意外的语言错误?如果它看起来来自内部同事,那是他们通常的沟通方式吗?您是否正在等待来自您认识的人的电子邮件?如前所述,当员工在移动设备上打开短信时,很难发现一些潜在的危险信号。解决此问题的一种方法是引入横幅以自动突出显示外部来源的电子邮件,即使它假装来自内部地址。第4步:教育员工发现危险信号时该怎么做?您需要让您的员工能够轻松地报告他们不确定的事情,这意味着为他们提供一个简单的流程,例如用于报告可疑消息的内部公司邮箱。目标是最大化报告的攻击数量。防止进一步的损害永远不会太晚,因此您还应该鼓励遭受攻击的员工在出现异常情况时进行报告。第5步:不要忘记发送电子邮件收件人将根据上述身份验证方法对从您的组织发送的电子邮件进行自我评估。您需要确保对您的域名实施强有力的控制,这对于确保您组织的通信和品牌声誉的完整性以及防止被对手滥用至关重要,您可能还需要考虑您还需要监控和管理的其他内容发送电子邮件时控制。您是否在扫描异常活动或异常行为模式(例如在深夜定期向未经身份验证的IP发送电子邮件),这些可能表明内部电子邮件帐户已被入侵或正在进行的网络攻击?您是否扫描并防止付款信息(例如信用卡详细信息或其他客户PPI)退出网络等?这些是关于员工意识和信任以及电子邮件安全的敏感领域,最好的起点是员工教育和支持。随着攻击者利用新技术、新环境或简单地训练他们的社会工程策略,电子邮件攻击技术不断迭代。定期检查您的电子邮件安全性,以确保它跟上您的组织和攻击者技术的变化。如果您正在为工作场所寻找电子邮件安全解决方案,您可以考虑以下内容:1.SophosIntelix,一种实时攻击发现服务,您可以在自己的系统软件和脚本中使用它来搜索可疑网站,添加高速攻击检测的URL和文件。一个简单的基于HTTPS的WebAPI以JSON响应意味着您几乎可以从任何您喜欢的编程或脚本语言中使用SophosIntelix。注册是免费的,你每个月都会得到大量的免费提交,之后如果你想进行大量查询,你可以随用随付。2.SophosPhishThreat(钓鱼威胁模拟器),SophosPhishThreat可以将整个培训过程自动化,通过一目了然的分析报告识别出安全意识薄弱的员工。作为来自IT安全领导者的唯一安全意识培训计划,SophosPhishThreat可以从单一控制台连同电子邮件、端点和网络安全措施进行管理,有助于改进风险管理和事件响应。PhishThreat还提供分析和报告指标,可以跟踪和评估组织或个人员工级别的整体业务风险和安全状态。培训计划还将员工对网络钓鱼攻击的敏感性与全球常态进行比较,以便企业可以量身定制培训内容,而这些基础数据也可以用于加强SophosCentral的安全策略设置,提供多重安全策略来对抗网络钓鱼和社交工程攻击。3.Sophos电子邮件。这里的研究人员开发了一种基于云的电子邮件安全解决方案,可以阻止网络钓鱼诈骗者、垃圾邮件、零日恶意软件和不需要的应用程序。SophosEmailSandbox内置的人工智能技术与InterceptX一样,是一种深度学习神经网络,可以检测已知和未知的恶意软件以及不需要的应用程序,并阻止它们执行。本文翻译自:https://nakedsecurity.sophos.com/2020/10/06/gone-phishing-workplace-email-security-in-five-steps/如有转载请注明出处。
