儘管各種即時訊息與整合通訊方案不斷推陳出新,電子郵件迄今仍是企業最重要的訊息溝通管道,但也因此經常被惡意人士利用,藉以散布廣告、垃圾郵件,或是附加破壞式病毒、後門程式,使得郵件安全防護機制必須持續不斷地跟進因應。
尤其是近年來的資安威脅除了亂槍打鳥的無差別攻擊外,更進化到針對性攻擊,利用人性弱點設計惡意郵件,誘使目標對象點選內文附加的釣魚網站,或開啟夾帶滲透程式的文件檔,藉此發動進階持續性滲透攻擊(Advanced Persistent Threat,APT),讓郵件安全議題備受關注。
呈現郵件滲透行為 提升安全警覺性
目前市場上的電子郵件解決方案,針對郵件收送及管理的功能大致已到成熟的階段,各廠商間差異不大,眾至資訊產品經理王建忠觀察,安全機制方面才是用戶現在需求與業者決勝關鍵。Cellopoint(基點資訊)行銷業務總監王彥雄亦指出,近年來推動郵件安全管理持續發展的動能,較多是來自防範新型態駭客攻擊。過去談起郵件安全威脅防護,不外乎防治垃圾、廣告、病毒郵件,已是每年編列IT預算必要的項目之一。
這兩年來商業間諜在利益驅動下,從大量散播病毒郵件的手法進化為特定目標式攻擊,利用應用程式或系統的漏洞開始滲透,且持續性地發動,逐漸成為駭客慣用的攻擊手法,相對的,以郵件系統為核心的APT攻擊防護機制也逐漸成為不可或缺的一環。
其實APT攻擊郵件在總量中比例相當低,中華數位產品策略處產品經理高銘鐘觀察,許多企業之所以沒有感受到攻擊,首要原因是自認不致成為駭客鎖定的目標,在意識上就不相信會收到惡意郵件,自然容易落入駭客精心設計的陷阱。
王彥雄亦觀察到,多數IT人員明白APT郵件攻擊的嚴重性,但畢竟攔截總量偏低,不容易讓高層主管理解防禦機制的價值。於是, Cellopoint開始在控管儀表板上增添郵件滲透攻擊行為、軌跡資料的分析,並透過分數累加判定威脅程度,以標示事件的風險等級。
當發現威脅級別最高的紅色標示,即代表惡意程式已經連線至中繼站(C&C),下載最新攻擊程式,並且正在將該終端電腦中儲存的資料打包竊取。藉由儀表板呈現一目瞭然的數據資訊,讓高層主管清楚事件威脅狀態,以理解APT郵件攻擊攔截的郵件雖不多,卻極具威脅性。
前線防禦加後端管理 建構郵件安全防護網
駭客之所以發展出APT攻擊模式,其目的在於竊取機密資料,威脅程度不容小覷,然而多數企業用戶早已習慣垃圾郵件的存在,逐漸麻木而失去警覺心。高銘鐘舉例,若從未對外公開的信箱帳戶也開始收到垃圾郵件,資安意識較高的IT管理者,應思考可能是通訊錄等內部資料外洩所造成。因此把關郵件安全的第一步,首要即為減量,也就是盡可能減少不必要收取的郵件數量,可運用防垃圾郵件機制來協助,並採以互動型回報來改善辨識能力,減少駭客接觸到終端用戶的機會。
更進一步則是要讓垃圾郵件系統變得更智慧化,直接阻斷惡意來源的接取,將更有助於減量。高銘鐘以Spam SQR垃圾過濾系統為例,具有辨識郵件來源是否為殭屍電腦發送的能力,一旦確認後只要停止回應,讓攻擊者以為標的位址已離線或停止服務,轉向下一個標的。至於接收後的郵件,則可交由Mail SQR Expert管理系統。
「中華數位採以兩階段防禦郵件威脅,也就是Spam SQR在外層抵擋殭屍網路(Botnet)攻擊、垃圾郵件、防止有心人士偽冒帳號發信、過濾釣魚郵件、檢查郵件附加檔案中是否有惡意攻擊程式,之後再由Mail SQR Expert管理系統負責搜尋、檢索、稽核等機制,不僅可確保眾多機制運行效能,即使前線的Spam SQR遭到超量攻擊而停止服務,也不致影響企業營運,更重要的是保護資料不致輕易被盜取。」高銘鐘強調。
強化管理措施 降低潛在資安風險
欲降低APT郵件攻擊威脅,避免重要資料外流,除了防禦措施外,亦須強化管理機制。網擎資訊產品經理郭欣羽即指出,駭客只要設法取得企業內部任一員工的郵件帳號與密碼,即可藉此逐步滲透到更高權限帳戶。可運用的手法包括猜帳號與密碼,只要掌握到郵件系統的位置,即可發動字典攻擊,取得有效帳號。
駭客攻擊手法中,較簡單又不耗費成本莫過於猜密碼。高銘鐘說明,郵件系統管理除了須具備連續多次登入錯誤後就發出警訊的機制,還必須建立弱密碼掃描。
他進一步提到,資安政策規範中常見要求用戶設定的密碼強度要有八字元、英數混合,且要定期更換。
但已強制密碼長度、強度、定期更換,仍舊會出問題的原因,是駭客常用、或者使用者覺得好記憶的密碼組合,都是種慣性,而中華數位提供的弱密碼模組偵測即是仿照駭客手法,猜測使用者的慣性,甚至經由蒐集駭客在網站上公開已竊取的帳號與密碼,來補充弱密碼清單,以最真實、貼近駭客行為模式來進行檢測。
此外,對郵件中可能夾帶的惡意連結或附加檔,員工可能疏於判斷而點選,從管理面可利用社交工程防護機制降低風險。郭欣羽舉例,當郵件中的圖片與文字都有連結網址時,可將連結網址直接顯示在郵件內文,讓員工先行辨識。一旦點選,系統會先跳出風險偵測結果,提醒可能是危險網頁,建議不要開啟,以免判斷錯誤而誤入陷阱。
切勿開啟來路不明的郵件與連結,早已是企業資安教育訓練課程中必備的內容,只是當前駭客滲透手法較以往更具針對性,收件者往往是在不經意情況下「中鏢」,為提升員工對郵件安全的警覺心,定期執行社交工程演練亦可協助強化。王彥雄以Cellopoint在郵件安全領域近五年來蒐集到的樣本發現,技術能力較高的駭客,會採以社交工程方式誘使攻擊標上鉤,除了閘道端建置郵件安全防禦外,持續地深化資安意識才是根本解決之道。
畢竟技術只是種手段,高銘鐘認為,企業必須以掌握資安事件的癥結為主要思考方向,搭配郵件安全管理系統,運用技術來達到管理的目的,當然工具產品也必須有能力依據客戶應用環境調配建置,才能發揮資安建置應有的效益。