就企業端常見的入侵三管道:USB連接埠、網頁、郵件來看,中華數位產品策略處產品經理高銘鐘觀察,外部威脅大多利用成本最低的網頁與郵件來發動。且惡意網站必須被動等待受害者點選觸發,郵件則可附加攻擊程式主動發送,因此威脅性更高。
原本資安機制持續不斷地提升防禦的有效性,駭客採舊式攻擊手法,很容易被偵測與抵擋,因此發展出更精細、混雜式的攻擊模式,結果導致電子郵件的資安風險大幅提高,這也迫使企業端非但不敢輕忽郵件安全性,甚至近年來還更加深關注程度。
 |
| ▲中華數位產品策略處產品經理高銘鐘(右)與產品經理王智衛(左)說明所謂企業郵件安全的兩階段保護機制,也就是將不受控制的外部威脅、需整合公司規範或法規的管理系統,分屬不同資安建置來提供,全面保護郵件安全。 |
「從被成功入侵的案例不難發現,駭客通常是利用郵件與網頁聯合發動。」高銘鐘指出。例如直接在郵件附加檔中埋惡意程式,容易被病毒引擎或垃圾郵件偵測攔阻,若改以郵件中內含網頁攻擊的連結,較有機會通過檢測機制進入收件匣。此連結可變換許多模式,例如可不斷地更換網址,在惡意網站的黑名單資料庫更新之前送到使用者端,誘使點選後自動下載Downloader等看似無害的免費軟體,執行後也不會有任何攻擊動作,只會在背景自動下載其他惡意程式。
面對混合式的駭客手法,防禦體系勢必得跟進,「建立聯合防禦架構」可說是中華數位今年發展的重點項目。「我們建立的聯防,是在郵件收取當下會先以Spam SQR進行掃描,至於用戶收到信之後點選內文附加網頁連結的動作,則是由Content SQR執行偵測查看,讓郵件與網頁皆有所防禦。即使是在導入資安方案前就已成為殭屍電腦,在連線至中繼站(C&C)時,亦會被Content SQR發現攔阻,且發出警訊通知管理者。」高銘鐘說。
當Spam SQR與Content SQR產生的Log整合、關聯、共用後,可以發展更多應用防護,像是突顯使用者的資安意識,或系統的風險性過高,立即阻斷終端網路服務。由於事件是依據每位使用者產生的記錄來檢視,整合Log不難,但分析是門學問,必須要能發現隱含的資訊。中華數位產品策略處產品經理王智衛說明,「我們在郵件安全領域發展至今,已累積相當的Know-how,可實作分析比對,以顯示出使用者的Log內容所代表意義,例如可能正遭受攻擊等資訊,在事件發展初期就得以藉此提高警覺,降低可能的危害。」
除了Log整合與分析平台外,本來用於跟Content SQR結合,以進行上網行為、即時通訊等監控機制而發展的端點代理程式,下一步也將納入聯防體系,如此一來,郵件、網頁、端點的資訊即可全數掌握,才能先一步洞察事件,降低資安事件發生率。