電子郵件對多數企業而言,仍是正式對外溝通或留存紀錄的工具,早期企業只需採購一套資安設備或軟體,透過定期的樣本更新,就可以把多數可疑的攻擊行為阻擋,但隨著電子郵件攻擊手法不斷演進,加上設備老舊汰換,企業勢必需重新評估現有資安設備與軟體的效能、功能或防禦政策,是否足以阻擋新形態的資安問題。
近期媒體或市場調查報告的議題,皆圍繞在如何透過新的資安技術來解決郵件安全的問題,觀察今年主要的郵件資安事件,不外乎圍繞在商業郵件詐騙 (BEC)、勒索軟體或進階持續性威脅攻擊(APT)或是企業內部的機敏資料外洩(DLP)等議題上,套一句選舉熱潮常見的口號:「問題持續存在,我們需要面對跟解決問題」。
電子郵件對多數企業而言,仍是正式對外溝通或留存紀錄的工具,早期企業只需採購一套資安設備或軟體,透過定期的樣本更新(Pattern Update),就可以把多數可疑的攻擊行為阻擋,但隨著電子郵件攻擊手法不斷演進,加上設備老舊汰換,企業勢必需重新評估現有資安設備與軟體的效能、功能或防禦政策,是否足以阻擋新形態的資安問題。這需要從多個面向來評估整體做法與成本投資,包含收信過濾、外寄檢查或歸檔調閱,就像消防安全器材定期檢查工作一樣,除了設備老舊汰換的作業成本外,是否功能持續升級並更快速回應最新的郵件威脅,是企業面對郵件安全問題的挑戰。
敏捷回應資安威脅
一位在業界知名公司擔任資深IT管理者的朋友提到該公司對於郵件資安的重視,除了現有防垃圾信過濾(Anti-Spam)機制之外,還預計規劃第二道防線以阻擋 APT攻擊與勒索病毒,對外也規劃DLP方案,以防止個資外洩。
但該企業也面臨到人力與維運方面的挑戰,每位IT人員除了要管理多個資訊系統和設備外,還需要額外規劃軟體升級與硬體汰換,許多升級、建置與維運的工作都必須在以不能影響同事辦公為前提下進行,往往需要利用到下班或週末的離峰時間。過去還能要求協力廠商來協助,隨著新勞基法的推行,廠商於離峰時間協助都要額外支付作業成本,除此之外,系統監控作業也必須要落實處理,新手也還未能全盤接手,感覺IT人員的Call機背不完。
從上述的案例不難了解,面對新型態的資安威脅,採取現有的導入流程或人力準備,將會面臨到IT回應大幅落後資安問題解決的瓶頸。
郵件防護新選擇
要讓一套資安系統可以運作,企業需先採購硬體、儲存設備並安裝系統軟體,而後再整合網路和郵件路由,最後設定優化校調設定監控。當有多種資安需求時,IT人員就需要把不同品牌的資安系統進行整合設定,以確保政策的一致性。由於不同的資安領域具有不同的知識基礎,需要有經驗或技術到位的IT人員才能夠駕馭,反之就會是一件難度高的任務。
 |
| ▲郵件防詐騙分析功能。 |
雲端服務的特性就是協助企業解決這些基礎建設的問題,讓企業IT人員能夠更專注在資訊安全的政策與問題處理。對於使用者而言,只要選擇所需服務,便不需額外投入人力或資源來管理系統架構、軟體安裝部署、版本更新、設備老舊汰換或是網路品質定期檢整等等。
目前,許多企業正在優先評估「雲對雲、混合雲」部署策略,這種新應用方式可提供企業下述幾項優點:
一致性的防護機制
以企業需要的郵件安全需求為前提,雲端服務可提供基本的防毒(Anti-Virus)、防垃圾信過濾,甚至進階結合零時差行為分析(Zero-Hour)、內容安全(Content Filtering)、防資料外洩、APT防護或進階沙箱防護 (Sandbox)等防禦機制,以確保安全性。
為了不局限於單一品牌技術,雲端服務也會整合國際知名品牌提供的過濾引擎,例如SOPHOS、Cyren-Commtouch等等,定期提供功能更新、一致性的整合設定與進階分析報表。
由於雲端沒有所謂的升級停機問題,因此IT管理者不用再擔心過去採購一般閘道式資安設備衍生的版本升級、新功能模組更新等問題。
雲端整合郵件防詐騙新技術
駭客進行詐騙前,會先設法透過各種郵件惡意攻擊、釣魚郵件及內含連結來「騙取」或「釣取」個人帳密資料或交易資料,進而「偽裝」使用者進行詐騙。企業常會觀察到不合理的郵件行為,例如發現偽冒員工帳號的寄件人,從公司外部寄信到公司內部;或者收到來自合作夥伴反應,明明已匯款,卻又收到匯款通知。
這些不合理的情境,通常是來自寄件方或收件方的某帳號遭異常盜用或電腦中木馬程式被竊取資料,駭客利用竊取的資料進而偽冒寄件者進行詐騙。因此針對常用手法,雲端可優先提供偽冒寄件者的檢查,針對相似網域的判斷,例如「0 vs.O」、「1 vs. l」以及隱含詐騙關鍵字進行攔截,主動提供告警通知。
混合雲架構支援不同郵件品牌
不少企業認為,把服務遷移上雲很複雜,要考慮信箱資料與使用行為轉移,但雲端資安服務不需要考慮郵件資料轉移,只需要將 DNS-MX設定指向雲端後,由雲端協助過濾所有外部信件,再轉送回本地的郵件主機,不影響本地郵件主機與使用者收發設定,而且所有外部信件衍生的連線與頻寬成本都由雲端統一處理。外部信件可由本地端主機導向雲端,提供防機敏資料外洩檢查與加密寄送服務。
7×24小時維運不中斷
雲端服務提供7×24小時的營運服務,系統與設備維運權限(System ADM) 轉由雲端維運工程師負責,當有任何緊急事件發生,會由雲端維運團隊第一時間處理,不僅減少IT人員管理負擔,維運更提供電話客服,管理者或使用者可透過電話客服直接諮詢。
雲服務從Anti-Spam防範著手
建議有相同困擾的客戶,可以先從替換現有的防垃圾信(Anti-Spam)過濾設備開始,來處理新型態的垃圾信或層出不窮的詐騙信件,過濾機制要能夠即時配合新型態的威脅提供最新功能或解決方案。傳統只仰賴單台防垃圾閘道器或設備,已不足以應付持續增加的資安危脅。透過雲端服務的即時性與功能更新的特性,可以強化安全防禦機制。完成安全防護上雲端之後,就可以來評估使用其他進階資安服務,例如防資料外洩或、郵件歸檔或是備援服務。
面對持續不斷更新的郵件安全威脅,企業IT管理者面臨投入持續增加的各項郵件資安架構部署的困擾,當資安系統設備面臨「功能不足或面臨版本升級、老舊汰換」,交由值得信任的專業雲端廠商來處理,將是未來郵件安全管理的新趨勢。
<本文作者:張世鋒現為Openfind雲端服務協理>