互聯網生活的普及，信息化無處不在的高速發展及其便捷、高效、多樣的信息傳輸手段，電子辦公的普遍，成為了國際網絡黑客、竊密手段、網絡犯罪橫行的平臺，為國家和企事業單位信息保密安全工作帶來巨大困難和挑戰。

跟傳統的信息傳輸模式相比，電子郵件具有很強的時效性、便捷性，然后隨著電子郵件在社會的廣泛應用，隨之而來的安全保密問題日漸突出，機密泄漏、信息篡改、假冒地址、垃圾郵件等令人煩惱不堪，相應的安全保密防護需求越來越迫切。國家在保密工作上先后頒布了各種保密法律，并發展保密技術，應用高端技術手段保護國家和企事業機密的安全，特別是加強郵件安全保密技術的應用，已成為當前安全保密工作的重要工作內容之一。

[[234509]]

據Gartner（高德納咨詢公司）報告分析，電子郵件威脅與行為分析 、身份欺騙相結合、釣魚網站、惡意軟件和漏洞。為了逃避普通電子郵件安全技術的檢測，特別是那些只依賴于標準殺毒軟件和聲譽的技術的電子郵件安全技術，電子郵件威脅已經變得越來越復雜。

為了更好地理解電子郵件攻擊，我們需要剖析威脅，了解它們的復雜性，并與攻擊者的技術和方法相匹配，采取有效的防御。

電子郵件是客戶端端點的機會主義和有針對性的攻擊最常用的通道。據Gartner2016年電子郵件調查表明：

• 郵件是有針對性的對客戶的終端和用戶無針對性攻擊的首選渠道。
• BEC（Business Email Cheat,商業郵件欺詐）成為了攻擊者的搖錢樹。對于許多檢測技術來說，這是難以捉摸的，但他們檢測異常電子郵件流量和身份欺騙技術的能力正在提高。
• 針對入站郵件的威脅，電子郵件安全網關是主要保護控制點。它們結合了普通和高級攻擊檢測和預防技術。
• DMARC（Domain-based Message Authentication, Reporting and Conformance，基于信息、報告統一的域認證協議），DKIM（Domain Keys Identified Mail，域名密鑰識別郵件標準）和SPF（Sender Policy Framework發送方政策框架）的應用正在改善，但必須進一步增加。實現上還存在一定的挑戰，但解決方案提供商可以提供幫助。

圖1描述了對不同技術類別的電子郵件威脅的剖析。

圖1 電子郵件威脅技術和手段

圖片來源：Gartner（2016年11月）

五個攻擊階段是：

• 目標識別：在這個階段，攻擊者的目標決定了受攻擊者。即使通道限于電子郵件，攻擊者可以搜索大量內部用戶，以及特定的內部目標，甚至通過在外部電子郵件中的偽造域來組織外部目標用戶。
• 基礎設施/準備：在目標識別之后，攻擊者需要設置發起攻擊所需的基礎結構。對于大規模分發，攻擊者可能租用僵尸網絡，并將其與開發工具包或惡意附件相結合。
• 身份欺騙：最簡單的攻擊不使用身份欺騙來隱藏惡意消息的實際發送者。為了獲得更高的成功率，攻擊者可能會嘗試一些簡單的技巧，以使接收方相信消息來自內部用戶。在最簡單的形式中，攻擊者使用內部用戶的名稱或應答地址，該地址與可見發件人的地址不同。更復雜的攻擊者使用近鄰域、濫用妥協的郵箱或郵件服務器等來做為發送方。
• 信息：因為在大多數情況下，攻擊者要求接收者采取行動，因此幾乎所有電子郵件攻擊都會構建相對可信的消息體。拼寫錯誤泄露垃圾郵件的時代已經過去，大多數攻擊都使用令人信服的正確的文本和語法。簡單的自定義，如包括收件人的名字開頭，越來越自動化，越來越普遍。電子郵件消息的真實惡性往往隱藏在附件或URL中。比如用宏連接到Internet下載惡意軟件。
• 目標：目標不是攻擊階段，而是要理解攻擊者并設計對策，如果所有其他階段都未被阻止，安全專業人員必須對攻擊者的目標進行建模。攻擊者最常見的目標是在機器上安裝惡意軟件。惡意軟件可以用于許多不可告人的目的，包括發送垃圾郵件，竊取銀行信息和勒索。攻擊者的另一個共同目標是竊取企業憑證，通常是進行欺詐或進一步滲透組織。更難以捉摸的攻擊不使用URL（統一資源定位符）或附件。收件人電匯或泄漏敏感信息，隨后可用于欺詐。最后，勒索可能被攻擊者利用后妥協的郵箱或郵件服務器。受害者必須付費，否則敏感信息將被泄露給公眾。

圖1的上半部分包括攻擊者工具箱中的標準技術。這些技術大多需要很少的開發時間和專門知識。這些方法通常用于完全自動化的詐騙。攻擊者的目標是從受攻擊的最終用戶或端點獲得相對較低的勒索。

圖1的下半部分包含了更復雜的技術。為了獲得更高的成功回報，攻擊者使用的技術和方法更具針對性，但必須以較小的規模執行。這些方法通常需要更多的準備和開發時間。

攻擊者不僅使用上下兩部分技術的攻擊之間進行選擇，通常會用混合和匹配技術來實現其目標。額外的復雜性需要額外的成本、時間和精力，只有在達到目標時才能完成。在采取更多對策的情況下，復雜度增加了。隨著多可用AV在許多安全電子郵件網關（SEGS）的使用，例如，我們看到惡意軟件復雜度提高到一個水平，促使組織使用更有效的對策，如沙箱和文件類型白名單的。

安全專業人員可能會受益于解剖電子郵件威脅，因為它提供了一個結構化的方法來設計分層防御。圖2描述了與圖1中的攻擊技術和方法相匹配的防御選項。

圖2. 防御電子郵件威脅的技術和方法

圖片來源：Gartner（2016年11月）

即使許多攻擊都需要其他通道（通常是Web）來完全折衷客戶端端點，但電子郵件在大多數情況下是第一個提供的如下：

• 初始URL形式的鏈接或釣魚網站攻擊工具包
• 附件中含惡意程序腳本或跨站攻擊的載荷
• 行為攻擊的起點，如遇BEC或網絡釣魚攻擊

一般來說，根據攻擊的針對性不同，我們大致可以將針對郵箱的攻擊事件分為如下表中的幾個層次：垃圾郵件、個人攻擊、商業欺詐和 APT（Advanced Persistent Threa,高級持續性威脅）攻擊。

綜上，郵件主要受病毒、木馬、網絡釣魚/鯨、垃圾郵件、郵件炸彈、監聽、密碼破解、腳本漏洞、郵箱拖庫和撞庫等多種威脅的侵害，所涉及到的安全技術主要有基礎設施（存儲、安全郵網關等），安全技術（安全中間件、郵件身份認證技術、端口及協議技術、沙盒，防病毒、DLP（Data leakage prevention,數據防泄漏））等）、管理技術（審計分級管理，智能監控等技術）等多種技術。

目前，國外的安全郵件產品主要有BAE系統、梭魚網絡、微軟等公司的包括SEG（包括高級威脅防御）、安全網關（SWG）、Web應用防火墻（WAF）、防火墻和SSL、VPN以及高級威脅防護（ATP）等。

國內安全郵件廠商主要有：格爾、奧聯、Coremail（論客）、拓波等。

參考文獻

[1]楊煒, 荊繼武, 許曉東. 互聯網電子郵件安全[J]. 計算機應用研究, 2000, 17(7):72-74.

[2]田呈彬, 王寧. 從希拉里"郵件門"事件談我國政府的電子郵件風險管理[J]. 北京檔案, 2017(10):37-40.

[3]劉建毅, 張鵬飛, 王樅,等. 高性能電子郵件過濾系統的設計與實現[J]. 計算機應用研究, 2005, 22(4):224-225.

[4]鄭毅. 郵件系統信息安全現狀及對策分析[J]. 信息安全與技術, 2011(11):26-27.

[5]曲朝陽, 溫婉如, 王富森. PKI及其在電子政務郵件系統中的應用[J]. 東北電力學院學報, 2005, 25(6):1-4.

[6]高建華. 電子郵件安全技術研究[J]. 網絡安全技術與應用, 2006(5):50-52.

MD Boer, How to Effectively Mitigate Spoofing, Phishing, Malware and Other Email Security Threats ,2016,Gartner.

【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件，轉載請聯系原作者】

戳這里，看該作者更多好文