iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 14
0

FireEye公佈電子郵件研究報告,101封郵件中有1封是惡意郵件,而有9成的網路攻擊仰賴電子郵件發起。

https://ithelp.ithome.com.tw/upload/images/20200928/20129755ddyqUWhTcf.png

電子郵件系統是 APT 攻擊最常使用的起始管道,同時Email也是企業機敏資料重要的出入口,因此電子郵件系統的防護就顯得格外重要。為什麼電子郵件這麼受攻擊者青睞,歸納方向:

1.成本低、報酬高:發送數十萬封攻擊信僅需1美元,且只要有人上鉤成為破口就中大獎啦,這年頭未經訓練的user中,約莫會有20~30%的人點開攻擊信,簡直百發百中。攻擊能量也已Saas化,滑鼠點一點就自動化發動,致使攻擊量快速攀升。
2.流通性極高: Email乃網路世代展開來的殺手級應用,30多年無人能敵,許多帳號註冊也以email為認證基底,沒有比他更泛用性的系統了,使得九成的攻擊都以釣魚、詐騙信件為起點,再展開盜帳號、騙信任的情事。
3.滿滿的機密:回想你的信箱中,有多少信件是看完殘留著的,裡面有沒有重大機密。攻破了就有寶,看不完打包帶走,還能去橫向騙同事的寶,郵件信箱真的太棒了(流口水ing)。
4.攻擊手法多:Email是個古老的協定,SMTP、POP3、IMAP當初設計時沒有想到會遇見今天的資安局面,若不加設防(SSL、lockout、加密、憑證、數位簽章、DKIM...等)保護機制,則很容易直接成為世界級目標。

統計
(圖片來自ithome)

對策方向:除了家家戶戶必備的SPAM功能外,對於郵件的使用安全進行宣導+妥善的DNS/FW配置,要怎麼防禦方法也多:
1.Anti-SPAM垃圾郵件防禦系統:不多說這應是必備的,要點在於特徵過濾、誤攔截/誤放行的調校、以及對議題多變化社交工程的攔截效果、含惡意程式附件的信件,請務必讓SPAM放在email server前做把關。若沒有專用的SPAM,一般UTM防火牆也具備垃圾郵件過濾功能,請配置並開啟。對了,SPAM系統的防毒軟體容易遭到忽略,請檢查有效與否。另外SPAM攔截效果筆者經驗上有地域性差異,例如在地廠商在攔截亞洲語系的詐騙信件較歐美系(設備/雲端)的產品識別佳,再者我們可愛的USER通常看到英文可能不會開、看到中文信想都不想就點開。因此防禦效果上略有些差異。
softnext
(圖片引用自Softnext)

2.SMTP、POP3、IMAP加密傳輸:為這古老的傳輸協定啟用SSL加密吧,我偷個懶,請參閱透過加密設定減少傳輸風險
3.DNS 設置:從DNS上的公開設置可間接評估這個網域的管理概念穩不穩健,網路上有很多免費工具可協助建置,除了基礎的MX紀錄,SPF、DKIM、DMARC紀錄增列有益無害:
3-1.SPF紀錄設置已是必要的,這沒做,各SPAM系統&免費gmail/yahoo信箱等直接判定丟往垃圾信件夾。
3-2.DKIM: DomainKeys Identified Mail,DKIM 會在所有外寄郵件的標頭加上加密簽名,收到簽名郵件的電子郵件伺服器則會使用 DKIM 來解密郵件標頭,驗證郵件寄出後並未遭人竄改。
3-3.DMARC:有了SPF&DKIM,才能使用DMARC。此作用為宣告世界,若遇到不是我方合法寄發的信件時,該進行"放行、隔離、刪除"三選一個哪一種處置。
DMARC
(圖片引用自瑞鑫資訊)
google
(圖片引用自Google Blog)
4.FW&IPS防禦:防火牆和入侵防禦模組上通常會有滿滿的嘗試攻擊,尤其針對SMTP的攻擊從不停歇。

  • 4-1.禁止郵件系統Open Relay:這個基礎中的基礎,如果疑似被攻破了,或是外部信箱拒收貴公司網域的信件,請去查閱RBL清單,看看是否已攻破成跳板,並被列入國際黑名單啦。
    -https://ithelp.ithome.com.tw/upload/images/20200929/20129755sCx2BKfQlC.png
  • 4-2.保留webmail的HTTPS協定在FW上出入就好,開越多被掃瞄到攻擊的口越多。
  • 4-3.設定嘗試密碼驗證閥值:同一IP來源1分鐘內嘗試超過N次即封鎖一段時間。
  • 4-4.加密憑證請採用TLS1.2(含)版本以上,TLS1.0已經陸續停用了。
    5.人員資安意識:人,一直是最大的破口,一旦人毫無防備,前面的銅牆鐵壁設備在詐騙的眼中一文不值,好比詐騙集團要搶20萬,究竟是去破壞銀行的層層防禦快,還是詐騙一個大媽說她兒子被綁架請匯20萬元快,身處在詐騙王國的我們心裡有數。人心同時永遠是最後一道防線,讓USER知道詐騙釣魚信是長怎樣,寧願USER先採到我們演練的假陷阱,就可以增加防禦心、減少踩到真攻擊陷阱的機會。請展開社交工程教育訓練&演練,並宣導:
  • 5-1.不要隨便點開附件、要看清楚是否為偽冒信,或是交給專業的IT人判斷。
  • 5-2.不要拿公司的Email地址去註冊外面的購物、娛樂、社交....等各式網站,要以【公務公用】為原則使用
  • 5-3.遇到新興的釣魚手法,有發現隨時內部告警,提升整體免疫力,例如3-4月疫情期間,常有時事型的詐騙;6-7月三倍券期間,優惠好康抽獎滿天飛。
  • 詐騙
    6.郵件歸檔Archive:Email是非常重要的證物,是法庭認定的通聯證據,內寄、外寄的每一封信,應該都要保留三年以上封存在系統的可靠長期儲存媒體上,萬一出事、萬一稽核/法務要調閱時,才能追本溯源。此外,針對外寄郵件的部分,應對研發、高機敏性信件強制加密、套用郵件稽核審查機制,降低機密外洩的風險。
    Archive
    (圖片來源:Openfind)

7.(進階)APT攻擊防禦:這項的投資就較進階了,由於APT易攻難防,用適當的工具所具備的機制(沙箱、多防毒偵測、超連結置換)等來協助。

上述1~5項應該是郵件防禦的基本功範疇,更進階深入的後續未來再談,先把基礎體質打好、再穿上金鐘罩鐵布衫方可佛光護體。老衲祝福各位,喔密陀佛!

延伸閱讀:
Google MX Check
辨識常見的駭客手法「變臉詐騙」
網路罪犯以新冠病毒為主題,對企業發動社交工程攻擊
約9成網路犯罪經由電子郵件展開,約1%的郵件是惡意郵件
新增DKIM、DMARC紀錄來防治釣魚郵件攻擊


上一篇
基礎資安常見破口:可攜式隨身儲存裝置
下一篇
基礎資安常見破口:update/弱點掃描
系列文
推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言