Business Email Compromise Ransomware as a Service ArkEase Pro CryptoWall MailAudit MailCloud WannaCry 商務電子郵件詐騙 Openfind Cerber Sophos Satan DDoS 變臉詐騙 網擎資訊 中華電信 趨勢科技 BEC

挾郵件雲端儲存優勢 及早發現異常存取行為

2018-01-18
以獲利取財為目的的資安滲透威脅,不論是勒索軟體、商務詐騙、APT攻擊,往往皆是以郵件為發送滲透入侵程式的主要管道,身為知名郵件系統軟體商的網擎資訊(Openfind),除了持續增添可控的管理機制,同時也積極協助政府單位進行郵件安全政策宣導與實施,例如基於MailCloud所設計的郵件無害化架構,隔絕可能被用於藏匿惡意程式的JavaScript、連結網址、附加檔案等,嚴防使用者在資安意識不足之下觸發執行。
就勒索軟體來看,網擎資訊行銷副總李孟秋指出,首當其衝的端點必須要具備防護攔阻能力。萬一不幸被成功滲透入侵,開始執行惡意加密行為當下,最有效的處理程序則是拔除網路線後關閉電源,以縮小檔案損毀範圍。這些觀念與警覺意識,必須列為平時教育訓練項目,讓使用者建立基本常識,再搭配輔助性工具,才是根本解決之道。

問題是,中小企業的IT規模不大,資源投放的主力在於提升生產力,面對攻擊型態轉向勒索詐財,若只從實際發生的事件中學習與汲取經驗,往往需要付出相當大的代價。李孟秋認為,中小企業可借助雲端服務之力,以降低郵件系統建置與維運管理上的負擔,同時可搭配郵件雲端服務所提供的備份、異常警示等機制,藉由在工作流程中的重要環節強化防護,降低勒索、詐騙等手法造成的危害。


▲ArkEase Pro雲端儲存利用終端誘餌檔案偵測惡意加密行為,一旦發現同步上傳的誘餌檔案遭加密,立即觸發阻斷。(資料來源:網擎資訊)

「尤其是當病毒透過郵件發送,端點防護基於特徵碼方式進行掃描,大多會再搭配雲端沙箱,把防毒引擎無法辨識的檔案上傳到雲端,模擬終端用戶作業系統、應用程式版本,實際執行該檔案,從中分析是否為惡意。近來網擎資訊自主研發的郵件系統也開始整合雲端沙箱,主要是跟Sophos等防毒廠商合作提供,讓客戶得以有多種選擇。」

雲端儲存服務兼顧生產力與安全性

▲網擎資訊(Openfind)行銷副總李孟秋指出,因應快速變種的勒索軟體,首要是由端點安全協助防護,其次則是在郵件系統平台上建立防堵機制,最後搭配被廣泛應用的雲端儲存,兼顧生產力與安全性。
針對勒索病毒肆虐問題,網擎資訊於2016年就已推出企業儲存雲服務協助因應,除了可藉此簡單地建立備份還原機制,平時亦可成為提升生產力的工具,藉此平台進行協同工作,不論是桌機或行動裝置皆可存取使用。

日前網擎資訊罕見地透過收購方式,取得和沛科技旗下ArkEase Pro雲端儲存服務平台的技術與人才,進一步強化儲存雲服務的能力。李孟秋強調,ArkEase Pro所研發設計的勒索軟體防護措施,可說是最獨特之處,預設提供五個特定資料夾,當測知終端電腦系統檔案開始執行快速加密時,會先中止檔案同步,確保雲端平台上保留完整檔案。

「ArkEase Pro的做法是在每個資料夾中先放置誘餌檔案,以數字、檔案名稱等方式排序,以便讓資料夾中最前端與末端皆有誘餌檔案。當惡意加密軟體發作而快速地執行加密,在準備即時同步到雲端儲存平台前,誘餌檔案即可被偵測發現並觸發阻斷上傳。因為正常使用者不可能存取甚至加密誘餌檔案,只有勒索軟體執行整機加密時才會把誘餌檔案也一併加密。」李孟秋說。

檔案同步到雲端平台的另一個好處是具備版本控管功能,即使被惡意加密亦可還原到之前的狀態,再同步回到終端電腦系統,即可恢復正常作業。藉由ArkEase Pro防範勒索軟體,儘管看似治標,對於專業人力與預算皆有限的中小企業而言,卻是最簡單得以落實備份的方法,兼顧生產力與安全性。

郵件系統增設異常警示 以免遭受商務詐騙

至於商務郵件詐騙,李孟秋觀察,從實際發生的案例來看,根源大多是來自帳號被盜取所衍生,才有能力精準地掌握貿易流程,並且在支付貨款期間發送詐騙郵件,甚至主旨與內文還會依據交易內容設計,讓收件者信以為真,把貨款轉帳到詐騙者提供的帳戶。

欲防範帳密被盜用來進行非法行為,最簡單的方式即是定期變更密碼,進而透過控管機制保護,例如強制使用者設定強密碼與雙因子認證。郵件系統平台本身亦須提供異常警示功能,以偵測帳號疑似被盜取的跡象,例如來自從未出現過的位置或裝置登入,透過異常警示通知使用者,萬一非為本人執行的登入行為,則必須盡快變更密碼,尤其是查看郵件是否已被設定為自動轉寄。

一旦發現被設定為自動轉寄,正意味著攻擊者可藉此掌握所有郵件內容,從中研究發動詐騙的時機點。此時企業則須改以更嚴謹地方式驗證交易,例如雙方約定郵件皆須經過加密傳輸,當涉及貨款時,也要再次確認核實,以防堵為詐騙所為。

其實商務郵件詐騙事件並不難解,之所以盛行多年,李孟秋認為,中小企業普遍過於仰賴端點安全防護,只要是終端環境發生的資安問題,第一時間大多是諮詢防毒廠商,而沒有意識到防範詐騙事件應該從郵件系統著手,或者是郵件系統本身應具備郵件加密、驗證簽章等防護措施。

「現階段本土中小企業環境所建置的郵件系統,可能是多年前採購較便宜的設備,未必會具備異常警示、驗證等防護機制。畢竟異常警示機制並不容易實作,例如IP位址所屬區域的辨識,為了避免誤判,我們持續訂購並研究這類型的資料庫,同時也設計以本地端IP位址為跳板盜取帳號的異常行為模式辨識能力。」李孟秋說。

MailCloud服務的優勢之一,即在於可掌握較為龐大的資料,萬一觸發異常警示被確認為非法登入,亦可從記錄中取得來源IP位址,進而追查是否有其他使用者也有連線記錄。身為雲端平台供應商,只要發現某個客戶的使用者帳號被盜取,抑或是偵測到郵件附加檔中夾帶病毒程式,即可成為比對分析基礎,避免出現第二個受害者。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!