在IT基礎架構中,扮演至關重要角色的郵件系統,行動化的應用早已是不可或缺的一環。尤其是在BYOD(Bring Your Own Device)應用模式逐漸被接受後,如今的行動裝置已被視為是生產力工具之一,郵件系統自然也無法避免面臨各式應用下產生的新需求。
桓基科技行銷副理李家儀即觀察到,如今的郵件系統應用較以往更多元,甚至進而整合辦公室應用軟體,成為以郵件為核心的協同作業平台,主要即源自行動化裝置盛行運用免費網路服務,像是Gmail、Dropbox等應用,使用者逐漸將私人應用習慣帶到工作場合,促使郵件系統亦必須發展更多貼近現代化的應用機制。眾至資訊產品部經理王建忠亦指出,特別是經常需要差旅的高層主管或外勤人員,不只要求在平板電腦、智慧型手機上必須能夠收發公司郵件,而且速度要夠快、夠即時,才能真正發揮行動化功效。
只是除了效率提升的同時,卻也帶來資料外洩隱憂。畢竟在許多BYOD場合中,行動裝置非公司配發,可自由下載各式各樣的App,萬一被駭客所利用,夾帶後門程式滲入高階管理者的行動作業系統,暗地監看與記錄存取郵件等行為,以趁機滲透到企業內網,將造成嚴重的資安威脅。因此如何發展效率與安全性兼備的郵件系統,始終是眾家業者重要的發展方向之一。
垃圾郵件過濾 防堵惡意程式連結
由於郵件安全與管理具在地化的特性,市場上常見的解決方案品牌,例如中華數位、桓基科技、基點資訊、眾至資訊、綠色運算、網擎資訊等業者,清一色為具備自主研發能力的本土廠商。儘管各家廠商會依據不同產業客群需求,而有不同的研發項目,但安全性方面仍不脫離攻擊防禦與內稽內控兩大主軸。
就威脅防禦來看,進階持續性滲透攻擊(Advanced Persistent Threat,APT)可說是當前重要的關注焦點。綠色運算副總經理陳兆寧說明,APT的前奏為社交工程郵件攻擊,對此在郵件防護例如綠色運算的Nopam稽核系統中已內含防護引擎來因應。但是全面的APT防禦機制將不會由郵件安全廠商來提供,如同防毒引擎,多數郵件安全廠商都是結合第三方機制來提供,因應APT攻擊同樣也是。
郵件中的惡意連結與附加檔案可說是惡意程式入侵的主要管道,陳兆寧指出,一般專屬APT方案的技術強項在於對付附加檔案的惡意程式,以避免使用者系統或應用程式漏洞遭受攻擊為主,雖然也具備網址過濾能力,但原本重點就不在於事先對郵件內容進行掃描。因此整合垃圾郵件過濾機制的防禦才可達到互補,隨信件而至的惡意程式由APT解決方案來攔阻,而信件內容暗藏的惡意連結則以郵件安全設備來防禦。
針對郵件中內含惡意連結的處理機制,除了一般經由資料庫比對,網擎資訊產品經理林家正指出,亦可利用抑制人性衝動的機制,避免使用者可輕易點選郵件內含的連結,也就是在閘道端把郵件中內含的連結先置換為純文字,同時進行比對該網址是否為異常,並出現警示視窗。
除了閘道端的偵測與攔阻,郵件伺服器端也必須具備防禦機制。林家正說明,駭客入侵系統後的動作,大多是變更系統設定檔為自動轉寄,對此在郵件系統就需要有偵測與防禦機制,首先要能夠掌握被異動的檔案,也就是感知偵測,讓系統內的檔案,只要有新增、刪除、修改皆會自動通知管理者。簡單來說就是先針對檔案取Hash值,一旦被異動後Hash值自然也會改變,只要經過比對即可發現並發送告警。
企業期待以合理成本有效降低風險
其實駭客經常利用的魚叉式手法,在郵件內含惡意網址或附檔,誘使攻擊目標點選,通常若為附加檔案,防毒軟體即可阻擋多數惡意程式,因為駭客雖然會包裝成各種不同形式,但是植入木馬入侵程式的技術核心都大同小異,只有少數經客製化設計迴避偵測的郵件,才需要採以額外的技術來加以辨識並防堵。「APT攻擊並非單一環節就可解決,但最基本的防禦仍須仰賴防毒與防垃圾郵件。」林家正強調。
電子郵件雖然是複雜入侵的最初環節,但是企業若要因應少數可突破傳統防毒以及防垃圾郵件機制的APT攻擊行為,往往所費不貲,是目前導入的最大障礙。
基點資訊亞太區銷售總監王彥雄觀察,「目前針對APT防禦攻擊中,Sandbox可說是主流技術,但是通常郵件安全領域的研發背景大多是應用程式開發,虛擬主機則是偏向系統與底層的技術,也就是必須同時熟知應用層與底層技術,才有能力自主研發解決方案,因此市場價格偏高並非沒有道理。」
然而許多企業主往往認為真正屬於APT攻擊的郵件並不多,不致帶來立即性的威脅,而現今大環境景氣又不明朗,於是大多選擇繼續觀望。因此王彥雄認為市場還會再出現中低階的解決方案,來滿足IT預算不足,又必須有所因應的企業所需。
前稽攔截避免損害 後稽查找舉證
除了攻擊防禦外,內稽內控始終是郵件相關方案發展的重要趨勢之一。陳兆寧觀察,就個資法而言,先期受到衝擊的產業像是金融、醫療、電子商務等,會比較務實因應,但其實更多著重郵件稽核的企業是為了防範機敏資料外洩所引起的智慧財產權、專利權等官司訴訟。
「企業為了嚴加防範資料外洩,多數會選擇封鎖對外溝通的管道,只留下網頁與郵件服務,再尋求專門提供防範機制的廠商來協助控管。其中郵件安全機制可說是企業端資安建置的優先考量之一,不外乎著重於『前稽核』與『後稽核』。」陳兆寧說。而通常前稽核最常見以控管政策為基礎建立流程,舉例像是高科技製造業、IC設計業等,普遍需要單一郵件不得發送給兩個以上的客戶的控管機制,以避免人為疏失誤寄,即可藉由前稽核提供的分析比對機制來協助。
既然事前有防禦機制,也必須要在事後能夠及時被調閱以供證明,才有其效果。只是稽核留存的資料日漸龐大後,該如何正確調閱相對應的郵件,可說是後稽核最大的挑戰。陳兆寧強調,唯有發展基於Big Data技術的稽核引擎,強化非結構化資料的舉證探勘能力,才能因應實務上複雜的應用環境。資安建置無法達到百分之百,至少面對機敏外洩時得以提出具體事證,在關鍵時刻將損失降到最低。