外部威脅利用郵件發動,除了APT攻擊外,近年來常見的亦包含詐騙行為。網擎資訊(Openfind)產品經理郭欣羽在客戶服務的經驗發現,遭受詐騙的對象已不再僅是中小型企業,開始出現高科技製造業的客戶也受害,對此,網擎資訊發展出針對郵件的發送端防範措施,即是在寄件者發送的郵件系統中建立可供辨識的機制。
辨識機制較嚴謹的作法是建立PKI簽章,可先與企業夥伴約定郵件簽章,作為郵件來源信任憑證,藉此證實非假冒;另一種作法是採PDF加密模組,有別於以往的郵件加密,大多是壓縮加密後以附件發送,網擎資訊的作法是把.eml的郵件檔轉換為PDF格式並加密,收件者開啟時必須輸入密碼才可閱讀。
 |
| ▲網擎資訊產品經理郭欣羽提醒,駭客手法多變、資安事件層出不窮,更需嚴守管理規範與措施,盡可能避免因用戶端疏失,為郵件安全帶來威脅。 |
「此機制對使用者而言相當方便閱讀,因為.eml檔案中有郵件內文、基本資訊、附加檔案,若因為需要加密而遺漏附加檔,就會造成使用者的困擾。」郭欣羽強調,在此PDF加密模組流程中,管理者可事先定義執行政策,讓所有外發郵件皆全數自動轉換為PDF並加密後寄送,對使用者而言,不需額外操作程序,系統會自動執行,同時會以郵件通知收件者已加密的外寄郵件密碼;若未事先定義政策,但使用者認為發送的郵件重要性相當高,應該採以加密機制,也可自行手動選取執行。
為了嚴加防範郵件威脅,近期在MailGates亦新增郵件DNA鑑識分析、雲端誘餌帳號郵件庫解析、自動臨時性白名單,以及垃圾信樣本庫解析等功能。郭欣羽說明,DNA鑑識分析是仰賴廣告信特徵模型的建立,蒐集廣告信中經常出現的詞彙或特徵,在系統建立一組分析模型,只要有新的郵件進入信箱,符合特徵模型,就會被判定為垃圾郵件,提升辨識能力。
雲端誘餌帳號郵件庫解析,則是透過誘餌帳號來蒐集廣告信件樣本。垃圾郵件通常會一次性地大量發送,只要非真人使用的誘餌帳號接收到Spam,可立即同步過濾所有內寄郵件,更貼近實際應用環境。自動臨時性白名單則是藉由郵件往來清單,以確保雙方郵件不被阻擋,但只要超過一段時間彼此皆沒有聯繫後,該筆帳號亦會自動從白名單中刪除,不需要手動執行。
萬一駭客成功取得任一員工的帳號與密碼,準備擴散滲透至擁有更高權限帳號,開始在內部不斷地發送滲透郵件,這類異常郵件發送行為,不僅會被MailBase系統偵測並予以攔阻,且透過系統新增的Log關聯機制,可將滲透行為以郵件流向圖呈現,藉此追蹤至威脅源頭,在資料尚未被竊取前先一步發現並排除。