Munawar Hossain
思科安全業(yè)務團隊 產(chǎn)品管理總監(jiān)
我們要應對的,將會是資金充足、生命力頑強的有組織犯罪活動和民族國家/地區(qū)設計的大量郵件攻擊方案。這些攻擊的核心是什么?大量獲取用戶數(shù)據(jù)。
犯罪分子知道,這些易于獲取的數(shù)據(jù)可以幫助他們謀劃引人注目的攻擊活動。防御者必須在其工具箱中備有數(shù)量同樣龐大的工具,才能阻止這些復雜的攻擊。
同時,我們采取的措施還必須始終合乎時宜。下面,我們將深入探討保護用戶所需的基本工具。
在前兩篇文章 ”部署 DMARC“ 和 ”網(wǎng)絡釣魚攻擊為何仍能得逞“ 中,我圍繞 SPF、DKIM 和DMARC 討論了相關(guān)標準。
雖然這些標準對保障安全大有裨益,但它們必須結(jié)合其他智能威脅分析方法進行評估/部署才能真正發(fā)揮潛力。全面的深層防御策略能夠讓用戶恢復對收件箱的信任!
您對威脅的關(guān)注是否集中在正確的方向上?
擔心煩人的垃圾郵件的日子已經(jīng)過去了。就阻止惱人的非惡意垃圾郵件而言,大多數(shù)具有競爭力的郵件安全網(wǎng)關(guān)都能勝任。這意味著服務器負載的影響已變得相對較小。
通過跟廣大郵件管理員和安全專業(yè)人員的交流,我們發(fā)現(xiàn)他們關(guān)心的是最終用戶所面臨的威脅。這包括諸如復雜的企業(yè)郵件入侵之類的攻擊。我們常?吹剑词故 “受過教育的用戶” 也經(jīng)常被騙去錢財和/或重要的知識產(chǎn)權(quán)。
同樣,包含嵌入式惡意 URL 的郵件或看似無害的附件也會讓企業(yè)備受困擾。管理員知道,看似無害的附件實際上可能是高級惡意軟件攻擊的載體,這種攻擊會侵蝕組織內(nèi)部對郵件的信任和使用。
您需要哪些工具來抵御攻擊?
郵件威脅可能涉及任何技術(shù),也可能以任何形式為載體:標題、正文、郵件內(nèi)容、附件、URL。
深層防御不可或缺。有效的郵件安全解決方案必須具有多層防御,就好比多層的瑞士奶酪。
即使威脅打開一個缺口,下一層安全防護也會阻止它到達最終用戶。這些安全層必須從不同的來源獲取情報。能夠處理互聯(lián)網(wǎng)上通用威脅的全球情報固然很有用,但我們同時也必須利用本地情報來增強這些數(shù)據(jù)。
抵御郵件威脅不能局限于收件箱
我們可能會滿足于上面介紹的兩個情報源。然而,防御者還必須關(guān)注特定的攻擊載體。請查看下面的清單,了解您的組織利用了這其中的多少工具。
在以下工具中,您目前使用了哪些?
- DNS 層安全
- 郵件發(fā)件人配置文件
- 基于簽名的 AV 服務
- 圍繞 URL/托管站點的網(wǎng)絡安全
- 可在所有安全層跟蹤文件的高級惡意軟件防護/惡意軟件解決方案
所有這些工具必須協(xié)同工作,自動更新,并且易于管理。(似乎無法實現(xiàn)?請繼續(xù)閱讀)。當涉及到零日威脅時,情況可能會變得更加復雜。
例如,我們經(jīng)?梢钥吹揭粋威脅出現(xiàn)、消退,然后在另一個攻擊者手中加以利用又重新出現(xiàn)。為了找到這些威脅,一些最出色的工具對惡意軟件進行深入分析,并通過安全的 Web 代理實時檢查分析 URL。
但是,DMARC 效果如何呢?
郵件安全行業(yè)努力讓郵件重新獲得信任,提出將 DMARC 作為標準。雖然 DMARC 和其他相關(guān)標準能夠顯著增強防御,但它并不是萬能的。
攻擊者也會利用和劫持 DMARC 來更有效地實施惡意攻擊。他們會創(chuàng)建并注冊以假亂真的域,并使用 DMARC 來進行驗證/身份認證。只要最終用戶沒有注意到域中存在不易察覺的拼寫錯誤,就會成為這種技術(shù)的受害者。
對于防御者,DMARC 入站郵件驗證與本地身份情報相結(jié)合,可以幫助郵件管理員發(fā)現(xiàn)這些外觀相似的域和其他仿冒攻擊技術(shù)。
最后的要點
討論這么多工具和技術(shù)可能會讓您有點頭暈目眩。但請記住瑞士奶酪的比喻:持續(xù)分層防御。同樣,將您的情報(全球、本地和所有攻擊載體)融合在一起以獲得最佳效果。
防御者必須達到微妙的平衡:限制用戶遭遇威脅的風險,同時又不妨礙發(fā)揮用于協(xié)作通信的郵件的價值。借助這些工具,您可以創(chuàng)建適合您組織的防御措施組合。
請查看思科郵件安全產(chǎn)品,了解其提供的業(yè)界領(lǐng)先的威脅檢測和防御技術(shù)。
長按識別下方二維碼或點擊 :https://engage2demand.cisco.com/LP=15767?dtid=osowct000775
即可注冊試用思科郵件安全方案。
