Domain Message Authentication Reporting & Conformance Openfind DMARC 網擎資訊 雲端服務 DKIM 郵件安全

IT須引領企業資安觀念 不懂這些別誇口郵件安全

2017-11-07
電子郵件資安事件來源基本上可以分為「內部疏漏」與「外部攻擊」,根據統計顯示,外部攻擊在整體資安攻擊事件佔四成,而內部疏漏所造成的資安問題卻高達六成,顯示出資安事件不僅該防禦駭客,更應注意企業內部的資安宣導與防護措施。
近年來,資安事件頻傳,根據資安調查報告顯示,發生資安事件的用戶大部分都集中在政府機關及金融相關產業,這樣的調查結果讓許多人大感意外,為何最重視資訊安全的單位機關卻成了最大的受害者,進一步了解其原因,最主要是這些產業的外在威脅特別險峻。

電子郵件是使用最為廣泛的溝通工具,因為它採用世界共通的標準通訊格式,不論是傳遞與收發皆被各種裝置充份支援,加上既有工作流程及組織文化均使用電子郵件進行往來協作溝通,尤其在商務上更被視為正式的溝通管道,根據華盛頓郵報調查指出,每個人每週花費近三成時間在處理電子郵件,因此郵件也最容易成為駭客攻擊的目標與內部作業疏漏的環節。

電子郵件資安事件來源基本上可以分為「內部疏漏」與「外部攻擊」,根據統計顯示,外部攻擊在整體資安攻擊事件佔四成,而內部疏漏所造成的資安問題卻高達六成,顯示出資安事件不僅該防禦駭客,更應注意企業內部的資安宣導與防護措施。許多電子郵件領導廠商紛紛推出各種資安防護功能,該如何善用這些功能來加強郵件安全、減少盜用機率?

由內而外多層防護功能降低人為風險

以下列舉業界不同單位之資安政策,提供讀者參考。

帳號保護是電郵資安的第一步,相關的機制其實已經俱足,只要終端使用者配合使用,即能大幅提高資安等級,郵件帳號及密碼安全性除了基本的「定期更換密碼」與「提高密碼複雜度」外,建議經常使用行動裝置的用戶亦可採用雙重認證機制及OTP(One Time Password)方式,每次發送一組不重複的密碼幫助用戶加強登入安全。

當使用者外寄信件時,應再次檢查寄出的對象是否正確,這些提醒每個人都知道,但實際上卻容易因工作繁忙而疏忽,這並非有意造成,但卻是導致內部資料外洩的原因之一。針對機敏單位或是核心研發單位,建議管理者可依據公司資安政策擬定允許外寄的網域名單,由系統主動偵測使用者寄送的網域對象,並提示訊息或禁止寄送,避免信件寄給不必要或錯誤的收信人。


▲外寄信件資安防護示意圖。

對於企業用戶而言,資料外洩防護(Data Loss Prevetion)是最重要的議題之一,若機密資料不慎外洩,可能就會對公司造成重大危害。一般而言,企業組織都會訂定許多的規範,然而要如何落實,就必須導入合適的系統加以預防。資料外洩防護系統具備機敏資料偵測與即時阻攔或警示等功能,使用者可根據組織規範自行定義觸發條件及後續處理動作,將違反組織規範的郵件留置審核區,待單位主管檢視後再加以放行,避免資料外洩。此外,單位主管可根據每月或每季的統計報表,檢視組織政策落實成效。

在企業用戶電子郵件中,加密是不可或缺的功能,根據不同的需求,採取的加密方式也不同。PKI(Public Key Infrastructure)加密是具郵件身份驗證功能的簽章加密功能,讓收件方確保發信來源可靠性,將外寄資訊予以最妥善的防護,徹底防止有心人士冒名利用。ZIP加密是利用ZIP壓縮功能對郵件內容或其附檔進行加密。PDF加密可將附檔連同原始郵件內容轉成一份加密的PDF,兼具方便性與可讀性。

電子郵件是成本最低的行銷工具之一,因此也常遇到因對外大量發信而被對方郵件伺服器列入黑名單,此時可透過郵件系統設定外寄流量控管,協助管理者控管信件遞送品質,若有特定對象或緊急信件,亦可設定例外白名單及緊急信件放行機制,有效控管整體外寄的郵件流量,從根本解決因大量外寄信件而衍生的困擾。

由外至內多道防禦機制,阻絕各項威脅

為抵禦外來威脅,可實施以下幾項安全措施。

‧ 電子郵件系統的第一道防線,安全電子郵件閘道

為了保護電子郵件系統,企業用戶都會導入安全電子郵件閘道(Secure Email Gateways)以確保收件端電子郵件安全。安全電子郵件閘道提供多道過濾機制,首先是垃圾郵件過濾機制(Spam Filtering),接著透過基於特徵值(Signature-based)比對的防毒機制加以掃描,最後再將郵件中可疑檔案送到被隔離的沙箱(Sandbox)環境中執行,分析是否有異常的行為,經過層層關卡後再將信件傳送至後端郵件伺服器。

‧ 遠離網路威脅與社交工程攻擊,導入無害化郵件

勒索軟體、釣魚郵件、社交工程攻擊及具有受害目標針對性的APT(Advanced Persistent Threat)攻擊等網路威脅影響政府機關及各企業十分深遠,一旦受害,將造成偌大財物及形象受損。有鑑於外部郵件不可輕信,日本已明訂於 2017年1月1日起,地方政府機關須落實郵件無害化措施,不可直接與外界進行電子郵件溝通,應建置第二套外部郵件主機,採取內外隔離的封閉式架構,透過無害化電子郵件的技術,設法阻絕來自於外部的各項威脅。

‧ 商務詐騙日益猖獗,郵件認證機制防堵偽造信

商務電子郵件詐騙層出不窮,攻擊的手法包括偽造電子郵件誘騙收件人提供帳號資料,或冒充使用者經常往來對象的信箱帳號來製造機會進行騙局等。對此企業更該小心謹慎,而導入相對應的防堵偽造信件機制。而DMARC(Domain Message Authentication Reporting & Conformance)認證可協助管理者防範各式偽造郵件,當收到新信件時,系統會從域名伺服器下載DKIM(DomainKeys Identified Mail)公鑰並驗證結果是否相符,之後再經由認證機制判斷寄件者網域的郵件是否為真,並根據DMARC政策決定這封信是否通過、隔離或者拒收,幫助使用者對抗商務電子郵件詐騙。

‧ 優化資料保管流程,落實郵件附檔不落地

根據資策會創研所公布去年下半消費者使用數位裝置調查報告,台灣消費者擁有智慧型手機已超過九成。隨著智慧手機、平板電腦等行動裝置的普及,企業員工利用自己的行動裝置連接公司網路的情況逐年攀升。為因應員工需求,管理者可依據自訂的資安等級配合有限制的存取原則,提供適當的彈性。例如由公司外部連線時,僅開放員工線上瀏覽,有下載之必要時,則按規定於公司內部網路存取等內外分隔的方式來實行。許多高資安層級的企業,如金融業體系就適合更嚴謹的作法,僅開放指定人員存取所需要的資料,其他員工則完全施行「資料/附檔不落地」,不經由網路存取會下載任何檔案。如此一來所需的資訊仍可被共有,機敏資料則固定被保護於企業之下,落實資料存取與閱覽人員分離的政策。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!