以下是現場速記。

論客產品研發中心總監 郝家雨

 

郝家雨：各位嘉賓，各位領導，各位同行，下午好。剛才AI對于未來這方面的演講非常的精彩，也是我們未來的方向。我的演講主要是基于安全，郵件安全的維度來跟大家做這方面的分享。AI可能是未來，但是現在面臨著更多的，郵件安全可能是目前更痛的問題，如何在這方面應對呢?也是各位CIO同行每天都會面臨的問題。

 

首先做一下公司的介紹。可能大部分的都有一些，可能還有一些不了解。論客是一個專門做郵件系統的公司，我們是網易的聯營公司，主要是專注于企業郵件的服務，目前是國內最大的郵箱企業。我們的團隊，中國最早的做郵件系統的專家都在我們的公司里面成長，比如我們首先推出的郵件反垃圾、海運云、多語種服務、容災，這都是在業務領域做的創新。目前在國內來講，郵件大數據安全平臺，郵件系統部署容量超過1萬臺，對于安全方面也推出了國密郵件系統客戶端和整體的郵件系統。這個是我們獲得的資質，包括等保三級的特權，還有云安全國產化OS測評。國內大的企業在這方面我們都有支持。

 

接下來主要是看一下郵件安全。因為郵件是企業信息的門戶，我們用的最頻繁，數據最多，面臨的安全形勢最嚴峻的就是郵件系統，從郵件來看的話，我們來看這個數據，從正常的郵件相比，CAC監控到的以2018年為例，僵尸網絡對于郵件系統的供給來看，藍色的是正常郵件，綠色的是垃圾郵件。正常感受不到怎么會有那么多垃圾郵件，所有企業郵箱必須要設計一個反垃圾網關，暴露在域外實際的郵件安全是非常嚴峻的，也就是說每天受到的攻擊超過幾千萬次。這也是我們國家11月份發現的，不僅是整個互聯網的安全中心，更主要的是面臨APT攻擊，APT是專門的攻擊，影響最多的是典型的政府，包括大的企業，關系到國際民生的，另外還有教育、金融專用的攻擊，會對郵箱調用郵件，盜取帳號，獲取里面的信息，危害國家安全。從這個方面來講，國家已經意識到郵件安全面臨非常嚴峻的形勢，也出臺了各種各樣的措施。從國家的政策導向來看，2017年《黨政機關和國有階級有一個專項電子郵件的行動》，2018年公安部、工信部、保密局又專門出臺了《黨政機關事業單位等級保護擴展要求》，當時我也是參與了擴展要求的制定跟評審方面的工作。從這方面來看，國家的政策和檢查的力度越來越嚴峻。在這種形勢下，第一，我們怎么樣處理越來越強的安全態勢。另外，我們用什么手段來做這方面的防控來加強這方面的檢查，這可能是我們面臨最大的問題。我們先做一下這方面的分析，為什么安全態勢會這么嚴峻?很簡單，從協議開始，到系統-行為、泄露、威脅來看，首先從協議來看，在協議層是沒有做規范的，比方登陸的時候去破解密碼，以往的可以簡單的集中工具把IP封了，但是現在不行了，僵尸網絡的方式一般是采取什么方法呢?可能有很多臺服務器采取分布式的攻擊，而且這種攻擊也不是高頻的攻擊，而是低頻的攻擊。不是說集中對你做攻擊，而是組織多臺服務器分時間段拉長時間線攻擊，這種攻擊方式，以往的防范手段已經失效了。為什么最近幾年調用郵件形勢越來越嚴峻，我們經常會碰到企業帳號被破了，發來一大堆垃圾郵件，這是經常的，甚至于最常見的，比方說有些黨政機關的郵箱里面發了一些不適當的言論，這個是非常嚴重的問題。另外一個是行為，從系統管理來講，不停的在給大家做嚴重的教育，但就是有一些不按照安全規范來做，這是一個方面。另外，比方說高層的領導安全意識低，防范不強，他可能就用幾個密碼，好記，這個時候就沒有辦法從技術手段做管控了。剛才聽了2000多套這種系統，安全系統越來越多，也越來越復雜。當一個系統不安全的時候會蔓延到整個系統不安全。另外還有外圍的攻擊，針對性的ATP的攻擊，這是整個態勢造成安全形勢比較嚴峻的情況。

 

從郵件這方面我們做了統計和分析。第一，一般來講，垃圾就殲大多集中在釣魚郵件，不是單純的發廣告了，而是聚焦于的怎么樣竊取資產，造成更大的危害。假冒調用軟件占66.67%，另外是病毒、勒索、普通釣魚郵件，這些是典型案件。這是典型的垃圾郵件的案例，是針對國內的敲詐。首先黑客是從中國來的，入侵了你的系統找到了不好的東西，你要付我1500萬美元。另外是冒充管理團隊，帳號要切換或者安全升級等等發釣魚軟件。另外還有附件、病毒。前不久我們監控發現有些地方發了一個財務的通知，大家看一下這個文檔，還有一些普通的釣魚鏈接，放一個鏈接，讓你跳轉到鏈接以后，在訪問網站的時候非常容易中木馬病毒。從整體上來看，一是盜號攻擊門檻比較低，另外是攻擊方式，一是暴力破解，感染途徑、傳播方式越來越多。最核心的是造成的危害越來越大，可能會直接造成財產損失，還會導致企業郵箱發不進來。我自己有時候也會聽到客戶抱怨，實實在在的抱怨。去年有一個浙江的外貿企業出現了這種問題，被釣魚了，下載了包含病毒附件的密碼，整個被加密了，當時勒索了大概1萬美金，感染的是幾個核心高管，IT總監很尷尬，這個錢出了之后要報給老板，IT這部分要承擔很大的責任，不解又是高管的資料，這種問題擺在我們面前不是馬上就能碰到，但是一碰到就是非常麻煩的一件事情。這種場景下，我們作為一個郵件企業，客戶馬上就跟我們說這種問題怎么解決，我們典型的一個產品，比如一個企業領導收到大量垃圾郵件，發現境外IP發了釣魚郵件，甚至于帳號、密碼，這樣為核心的場景，如果是系統能夠很早的監測釣魚網站，如果能夠很早發現領導的賬戶已經不安全了，如果能夠很快發現帳號已經處于不安全的狀態，一天發10封郵件，突然發了100封，可以起到實時監測的作用。在這種情況下，萬一發現了怎么把影響的范圍降低到最低，這也是我們面臨的問題。打個比方說，這都是實際的案例，有一些反動的發布了針對某些領導的反對言論，已經發到各個郵箱里面去了，該怎么處置?領導馬上就會責問，這個郵件馬上刪掉，但是你怎么追蹤溯源。第二，在運維的情況下怎么監控，面臨這么惡劣的態勢怎么監控，怎么把安全的形勢反饋出來，這也是我們要核心解決的問題。另外是剛才提到的，從用戶端的行為管理，怎么樣幫助實際的用戶做好安全的設置，批量的做好安全的管控，這個都是我們面臨的問題。針對這些問題，我們也做了比較大的投入。安全管理中心從安全監控、審計、行為管理幾個維度做好安全的威脅，包括事中、事后整個的處理處置。這個難度其實挺大的，因為牽涉到這方面的技術，之前的技術沒有那么復雜，可能只要分批就行了，但是現在面臨什么威脅呢?低頻分布式的攻擊很麻煩。另外，有些黑客只要竊取帳號不是馬上就動手，半年之后才做這方面的動作，我一直監控你的行為。黑客可以監控這個行為，等到適當的時候發起低頻的攻擊，這種攻擊可能就需要做一些關聯規則的挖掘。另外是頻繁序列的分析。另外我們還做了信息商的分析，包括我們對用戶進行了用戶畫像，我們對用戶做核心的分析。比如說他什么時候登陸，日常的行為模式是什么樣子，我們通過這方面的分析之后形成一個整體的安全態勢的智能感知。

 

事前預知風險，事中行為追蹤，事后安全防控，這是整個流程。這個是登陸、用戶、評估，包括帳號的情況、風險頻率。比如哪個用戶是VIP客戶，企業里的VIP高層領導等等日常的追蹤也做了專業化的服務。這是應對的整體模塊，從暴力破解監控、登陸安全、收發異常、安全事件告警、系統風險監控和重點用戶監控實現了整個企業基于郵件系統的安全態勢分析和管控。我們可以更好的去做用戶行為分類，用詳細的用戶行為記錄，比如在郵件系統里，正常的用戶行為分析，一旦發生安全的事件之后就可以很方便的措施，設置了哪些安全項，發送或者轉發了哪些郵件，我們可以做總體的審計。

 

這個什么情況下會有用?很典型的一個案例，比方說保密局或者是公安局有時候會從網外監控到內部發現有一些不合適的郵件系統，發了一些郵件或者收到一些郵件，這個時候會讓我們去調用戶所有的信息，這個是發生過很多次的，包括我們跟一些政府的客戶，包括大型的企業，還包括高校，都發生過這種情況。保密局過來調取用戶的信息，要知道他收發了哪些郵件，知道發生以后事件影響多大，都要把這些信息調出來給他。通過這種方式可以很快的把信息導出來，做好這方面的配合工作，以免把整個服務器拿走，那么里面的問題就更大了。另外一個是批量的敏感字的審計，我們從用戶方面的安全配置做好信息搜索、信息過濾，從而對用戶，包括正常的安全配置，反垃圾、病毒，有沒有做好這方面的開關，我們平常教育要把二次驗證做好，他有沒有做，我們也會做一些批量的設置和管理。我們這個系統是跟清華做的，廈門市政府也在用這套系統來防范安全的情況。

 

我們做這方面的研究，我們不是安全公司，但是我們要解決的是郵件安全問題，所以我們會投入更多的精力做安全的事情，我們還有自己專門的實驗室，AI也是我們后續發展的重點，這方面我們會做更多的努力。因為安全需要長期談的，不是說今天不停的在變化，以往形勢不適應現在的情況，未來形勢可能更加嚴峻，怎么做好這方面的工作也是未來我們努力的方向，也希望在這個方面跟大家共同做這方面的探索。

 

以上是我的分享。謝謝大家!