電子郵件是企業(yè)不可或缺的溝通工具,員工、經(jīng)理、HR、財(cái)務(wù)、銷(xiāo)售、法律顧問(wèn)、客戶(hù)、供應(yīng)鏈等各方之間都需要郵件來(lái)傳輸重要文件。這就招致了一個(gè)問(wèn)題:企業(yè)經(jīng)常意識(shí)不到,他們每天用以承載重要信息的這些文件類(lèi)型(如Word文檔、Excel表格和PDF等標(biāo)準(zhǔn)格式),也是黑客們散播惡意軟件的最常用的工具。
對(duì)于網(wǎng)絡(luò)罪犯來(lái)說(shuō),用欺詐郵件或網(wǎng)絡(luò)釣魚(yú),來(lái)誘騙人們打開(kāi)一個(gè)貌似正常實(shí)則有毒的附件,就像喝水吃飯一樣自然。
由于電子郵件代表一個(gè)開(kāi)放的、可信的通道,惡意軟件可以搭載任何文檔來(lái)感染整個(gè)網(wǎng)絡(luò)。企業(yè)經(jīng)常需要采取適當(dāng)?shù)陌踩呗院陀行У拇胧﹣?lái)防止公司的攻擊。下面是Glasswall的副總裁西蒙·泰勒的5個(gè)建議的預(yù)防措施,來(lái)幫助企業(yè)阻止各種威脅并保持敏感數(shù)據(jù)免受惡意攻擊的影響。
1. 對(duì)郵件附件做風(fēng)險(xiǎn)評(píng)估
通常來(lái)講,企業(yè)需要考慮和評(píng)估所有可能的攻擊渠道,并就安全需求來(lái)對(duì)各種業(yè)務(wù)相關(guān)功能做出取舍。對(duì)郵件附件做風(fēng)險(xiǎn)評(píng)估時(shí)這些工作格外重要。
很多人不知道文件傳輸背后的風(fēng)險(xiǎn)高得嚇人——約98%的情況不符合制造商的文檔規(guī)范。因此,企業(yè)必須確認(rèn)文件的異常原因是網(wǎng)絡(luò)攻擊還是編寫(xiě)、配置不當(dāng),才能有效減少任何潛在威脅。
為了應(yīng)對(duì)風(fēng)險(xiǎn),企業(yè)需要全面了解網(wǎng)絡(luò)傳輸?shù)奈募鞘裁础⑵湮募?lèi)型、結(jié)構(gòu)性問(wèn)題,以及該文件影響的哪些功能點(diǎn)預(yù)示著風(fēng)險(xiǎn)。要理解潛在威脅并實(shí)施有效的措施來(lái)降低風(fēng)險(xiǎn)和防止攻擊,創(chuàng)建一個(gè)企業(yè)郵件安全與風(fēng)險(xiǎn)態(tài)勢(shì)的大視角是第一步也是關(guān)鍵的一步。
2. 避免僅使用過(guò)時(shí)技術(shù)來(lái)處理電子郵件安全
當(dāng)你了解一項(xiàng)風(fēng)險(xiǎn)后,你應(yīng)據(jù)此調(diào)整各項(xiàng)安全方案。大多數(shù)組織都建立了標(biāo)準(zhǔn)的防護(hù)網(wǎng):防火墻、垃圾郵件過(guò)濾、病毒查殺甚至沙箱,但這些措施時(shí)常防不住針對(duì)性的攻擊。
現(xiàn)狀是,雖然殺毒軟件等各類(lèi)基于簽名的安全方案充當(dāng)了隔離網(wǎng),但在精巧而高度針對(duì)的攻擊面前無(wú)濟(jì)于事,這就導(dǎo)致安全防御架構(gòu)千瘡百孔。與此同時(shí),基于郵件附件的惡意攻擊的復(fù)雜性在成倍增長(zhǎng),所有的釣餌都和正常郵件一般無(wú)二。
設(shè)想一下,雖然你配置了些傳統(tǒng)的、基于簽名的反病毒方案以及某些相對(duì)較新的沙箱,但是應(yīng)用社會(huì)工程學(xué)的惡意文檔仍然能大搖大擺進(jìn)入到你的用戶(hù)終端里。最可怕的是,只要有一個(gè)員工點(diǎn)擊了惡意附件,整個(gè)公司都將卷入麻煩里。
因此,你需要的不是“無(wú)所不能”卻一無(wú)是處的隔離網(wǎng),而是針對(duì)特定安全威脅而做出改進(jìn)的“護(hù)心鏡”。
3. 尋找“好文件”(而非“追蹤壞文件”)
要想在電子郵件安全防御系統(tǒng)上精進(jìn),就必須轉(zhuǎn)變部署防御的方式,與其徒勞地追蹤和尋找“惡意文件”,不如發(fā)展尋找和驗(yàn)證“已知的好文件”的技術(shù)。
原因很簡(jiǎn)單,黑客們會(huì)不斷更新他們的戰(zhàn)術(shù),惡意文件也會(huì)頻繁變異,企業(yè)幾乎不可能見(jiàn)招拆招。所以,可以通過(guò)將文件與“已知的好文件”一一對(duì)比來(lái)精確地實(shí)現(xiàn)篩選和檢驗(yàn)。
為此,企業(yè)需要檢驗(yàn)文件是否是符合制造商的規(guī)格或其衍生的“已知的好文件”。這樣,企業(yè)可以創(chuàng)建一種清潔和良性的文件,有著規(guī)規(guī)矩矩的格式,從而可以在不中斷業(yè)務(wù)的同時(shí)安心傳輸。
簡(jiǎn)而言之,這種做法可以讓安全水平遠(yuǎn)離警戒線(xiàn),并在安全系統(tǒng)最希望的文件層面上維護(hù)文檔的控制。同樣的,組織也通過(guò)深度文件維護(hù)(檢查、修復(fù)和清潔工具)來(lái)鞏固這一積極策略,在惡意文件進(jìn)入系統(tǒng)前掃除危險(xiǎn)。
4. 通過(guò)特定的文檔傳輸策略限制BYOD設(shè)備
BYOD之類(lèi)的個(gè)人移動(dòng)存儲(chǔ)設(shè)備益處多多,其中最重要的是讓員工可以靈活地在任何地方工作或開(kāi)展個(gè)人和商業(yè)活動(dòng)(涉及到使用同一設(shè)備進(jìn)行文件傳輸)。
然而,盡管方便和高效,用個(gè)人設(shè)備進(jìn)行業(yè)務(wù)操作經(jīng)常會(huì)破壞企業(yè)對(duì)員工訪(fǎng)問(wèn)的網(wǎng)站和應(yīng)用程序的管控。這反過(guò)來(lái)使員工在無(wú)意中大大增加公司遭受數(shù)據(jù)竊取或攻擊的隱患。
同時(shí),惡意軟件可以通過(guò)附件發(fā)送到員工的工作站,然后通過(guò)移動(dòng)設(shè)備大幅擴(kuò)散,更重要的是,許多移動(dòng)設(shè)備沒(méi)有配備用以檢測(cè)感染文件安全方案。
因此,移動(dòng)設(shè)備上某個(gè)已下載的被感染文件可以讓惡意軟件訪(fǎng)問(wèn)企業(yè)的敏感信息,效果和惡意軟件通過(guò)網(wǎng)絡(luò)擴(kuò)散如出一轍。雖然對(duì)很多人來(lái)說(shuō),很難做到不通過(guò)移動(dòng)設(shè)備發(fā)送郵件附件,但是最好能是明確哪些員工有必要使用這一功能,并嚴(yán)管其他員工的此類(lèi)操作。
5. 限定員工可運(yùn)行的文件格式和功能種類(lèi)
歸根到底,企業(yè)要減少因某個(gè)員工的操作而受到惡意攻擊的情況。因此,需要明確每個(gè)員工工作所需運(yùn)行的文件格式和功能種類(lèi)。
企業(yè)需要考慮到種種情況,比如員工在接收附件時(shí)面臨的潛在威脅,并據(jù)此決定該過(guò)程中哪些功能屬于工作需求。比如,哪些部門(mén)需要使用郵件附件中的宏、Java腳本或超鏈接?
企業(yè)可以禁止用不到這些功能的部門(mén)、小組或個(gè)人的相應(yīng)操作來(lái)降低風(fēng)險(xiǎn)。建立一套在保護(hù)業(yè)務(wù)持續(xù)性的基礎(chǔ)上阻止員工的風(fēng)險(xiǎn)操作的制度,可以最大限度地減少企業(yè)面臨的風(fēng)險(xiǎn)。
京公網(wǎng)安備 11010502049343號(hào)