在正常的業務辦公中，我們都會使用到電子郵件，攻擊者也清楚的知道這一點，并且將電子郵件視為接觸用戶傳播惡意軟件和勒索軟件的絕佳方式。網絡攻擊現在變得越來越有創意，企業需要不斷調整電子郵件防御措施以跟上這種持續的威脅?？梢蕴剿饕恍┗痉椒▉矸烙@種情況并確保用戶不會成為這種不斷發展的威脅的犧牲品。盡管目前存在多種戰略，但組織實施怎樣的戰略最終將取決于組織愿意接受怎樣程度的風險水平。

[[407890]]

一種更輕(更弱)的電子郵件防御方法

假設一封電子郵件到達用戶的收件箱并包含一個惡意鏈接，用戶不經意地點擊了該鏈接。隨后，該用戶的終端被感染了。大多數組織會通過以下三種方式防御/應對這種問題。

• 該組織已確保在終端上安裝了反惡意軟件，希望能阻止感染。
• 組織已經對用戶進行了有關電子郵件漏洞和防御策略的培訓和教育，希望用戶能謹慎行事，意識到該鏈接是惡意的，因此不會點擊該鏈接。
• 該組織已投資于反垃圾郵件掃描技術，作為進一步的防御層。

雖然這些過程都有自身的好處，但不可避免的是，這三種方法都是相對薄弱的電子郵件防御形式。第一種防御方案依賴于在端點上安裝反惡意軟件，它假定用戶正在使用受保護的端點，并且反惡意軟件會檢測到該威脅。然而，這些威脅總是在不斷變化，而且有一些規避反惡意軟件的暗箱操作方法，如使用基于瀏覽器的電子郵件和未經注冊的鏈接。使用反惡意軟件作為其唯一的電子郵件防御形式的組織，通過惡意鏈接被用戶點擊而繼續受到侵害是很常見的。

這給我們帶來了第二點——培訓和教育用戶持懷疑態度，提高認識，不要點擊鏈接。盡管教育是至關重要的，而且應該采取這一步驟，但歸根結底，人們是好奇的，而且有可能一些用戶會點擊這些鏈接，無論是出于好奇還是粗心的錯誤。不幸的是，只需要一個用戶點擊一個惡意鏈接，就可以錯誤地損害一個組織。這種情況一次又一次地被看到。所以很明顯，用戶的好奇心和攻擊者的狡猾總是會導致用戶點擊一些他們不應該點擊的地方。

第三，無處不在的反垃圾郵件技術，掃描電子郵件中的鏈接。許多人認為這是一個萬無一失的方法。然而，這些鏈接繼續通過防御。這通常是由于黑客習慣于使用微軟365或同等產品，所以他們知道如何輕松地規避這種類型的防御。

那么，在這三種策略被許多人依賴的情況下，還有什么辦法可以進一步鞏固電子郵件防御?

更有力的電子郵件防御方法

人們經常說到防御策略的分層。因此，即便有些策略失敗了，但總有一些還是可以依靠的。同樣地，分層使用幾種策略來防御連續的電子郵件網絡攻擊是有益的。可以包括以下的電子郵件防御層。

• 建立一個持續檢查鏈接的系統;這可以通過采用點擊鏈接的技術來發現任何潛在的漏洞。如果發現鏈接包含漏洞，該技術將把鏈接重定向到一個內部網站，并將其突出顯示為惡意的。

• 確保端點與所有其他系統隔離，這樣，如果惡意鏈接被點擊，有效載荷將不會感染端點。這可以通過對端點進行空中封鎖來實現。此外，如果端點不具備安全性，它就不應該有查看電子郵件的權限。因此，這是一種預先允許訪問電子郵件的態勢評估。通過限制可以訪問電子郵件/鏈接的機器，組織確保只有被隔離和加固的機器可以。

• 鼓勵用戶只使用受保護的系統，并將激勵措施落實到位，以鼓勵這些受限制的界面。這是一個嚴重依賴的紀律。通過將設備用于它們的用途，不僅會使組織更加安全，而且有助于發展安全的實踐。如果設備對任何可以點擊的鏈接都有彈性，那么連續的電子郵件網絡攻擊的脆弱性就開始變得不那么重要了。

• 確保所有在鏈接中無法驗證的域名以及所有不常見或不經常使用的域名都被默認屏蔽。這種方法不僅會限制整個攻擊面的面積，而且會確保任何來自隨機域名的鏈接在默認情況下不會起作用。所有可執行的腳本和應用程序都必須被阻止，并對瀏覽器給予特別關注。這一點在許多組織中通常沒有得到很好的管理。

• 采用強大的DNS掃描，這樣，當一個鏈接出現，重定向到一個已知的惡意軟件的DNS區域或尚未審查的新東西，它將被阻止。

• 創建應用程序白名單，只允許經過審查的應用程序和腳本運行。如果在設備或瀏覽器的內存中創建或運行任何跡象的腳本或可執行代碼，這種行為應被阻止。

• 為可信和敏感的通信采用端對端加密也是關鍵;這意味著想要安全地相互通信的用戶必須進行認證，并在安全信封中創建一封電子郵件，對其進行簽名和主動認證。這比僅僅在公共網絡上發送公開的電子郵件更安全。安全平臺可以使用身份驗證系統對用戶進行認證，以了解電子郵件的來源。通過確保所有的電子郵件都經過加密和簽名，它們是無法被篡改的。這些類型的安全電子郵件平臺比標準企業電子郵件更值得信賴。

迎接這一無盡的挑戰

持續保護電子郵件環境具有挑戰性，傳統系統需要改進，因為很明顯大多數勒索軟件都是通過電子郵件滲透的，而且它是有效的。由于電子郵件可以到達所有用戶并且長期存在，因此使用安全電子郵件是一個不錯的選擇。盡管培訓和教育可以發揮作用，但它本身很少有效，因此對于所有企業來講，實施額外的層級和技術控制來抵御每天面臨的這種持續威脅至關重要。