企业安全建设之基础办公安全体系建设(邮件安全)

  • A+
所属分类:云安全

有幸拜读了李斌老师的企业信息安全建设与运维指南》,书中详细介绍了基础安全建设自动化系统建设业务安全体系建设受益匪浅

结合李斌老师的书做了随笔整理

 

企业办公网安全体系建设包括终端基础安全体系防火墙和VPN入侵检测/防御系统邮件系统安全和统一账号认证系统建设

 

1. 终端基础安全

之前的文章有介绍企业安全建设之基础办公安全体系建设终端基础安全)、企业安全建设之基础办公安全体系建设(防火墙、VPN和上网行为管理)、企业安全建设之基础办公安全体系建设(入侵检测与防御系统)

 

本篇介绍邮件安全

2. 邮件安全

邮件是日常最经常使用的工具之一企业的所有员工和公司管理层都会使用邮箱中可能存储着公司的核心资料商业计划合同甚至存储着不少系统初始账号密码等敏感信息一旦泄漏危害非常大企业邮件安全威胁主要包括以下几个方面

1垃圾邮件和病毒邮件

垃圾邮件常常令员工不胜其烦也会增加企业邮件服务器的负担垃圾邮件主要是从外部发送到企业内部入向),同时也需要警惕内部邮箱发送到外部的垃圾邮件出向),因为不排除会出现内部邮箱被控制而转发大量垃圾邮件的情况导致企业的邮件服务器IP被反垃圾邮件联盟列入黑名单无法发送邮件

邮件也是病毒传播的重要途径需要在病毒邮件进入用户邮箱前检测出病毒并将其拦截避免用户点击或下载带病毒附件病毒邮件主要是由外部组织发送入向)。

2邮箱账号密码安全问题

邮箱账号密码安全问题也非常严峻笔者曾经在很多企业做过邮箱账号密码安全性测试发现几乎所有企业都存在大量弱口令密码邮箱这些弱口令也符合传统的密码安全策略[email protected]”这个密码包含大写字母、小写字母数字特殊符号长度大于8但是因为包含公司特征很容易被黑客爆破

另外邮箱登陆接口暴露在互联网SMTP、HTTPS网页、POP3),却没有相应的防爆破措施为黑客攻击提供了便利

3钓鱼邮件

钓鱼邮件往往更加防不胜防有些钓鱼邮件冒充公司安全人员领导或网管人员要求员工修改账号密码或假称进行安全检查诱骗公司员工点击虚假链接并输入账号密码从而窃取用户账号密码或员工被诱骗打开被植入了木马的附件黑客控制公司计算机获取敏感数据

如公司有员工收到邮件正文是“近期有员工邮箱密码泄漏,造成钓鱼邮件/垃圾邮件频繁出现从即日起所有员工都要根据要求更新邮箱密码邮箱密码规则如下。”

公司有数十人点击了“更改新密码”按钮,有几人输入了真实的密码黑客利用其中的几个真实邮箱进一步转发钓鱼邮件造成更多用户受骗因此钓鱼邮件的防范也是邮件安全的重要部分

对于小型企业可能会直接使用SAAS企业邮箱中型以上的企业一般会自建邮箱系统后文介绍邮箱安全的时候也会提到SAAS企业邮箱的安全方案

 

2.反垃圾邮件和防病毒

反垃圾邮件和防病毒的解决方案是使用专业邮件安全网关

当外部有发往company.com域名的邮件投递过来时入向),要先使用邮件安全网关进行检测如果发现是垃圾邮件或病毒邮件系统会将其放在安全隔离区员工就无法收到这类邮件只有符合安全要求的邮件才能发送到邮件服务器上从而起到防病毒和反垃圾邮件的作用

当员工需要向外部发送邮件时出向),邮件从邮件服务器发送出去前需要经过邮件安全网关检测确保无垃圾邮件或符合相关安全策略才能成功发送

 

2.1.垃圾邮件过滤技术

垃圾邮件的过滤主要通过以下几种技术实现

1贝叶斯算法

通过贝叶斯算法对已知的垃圾邮件样本和非垃圾邮件样本进行分析和训练得出后续邮件为垃圾邮件的概率当后续邮件为垃圾邮件的概率达到阈值后就判定新邮件为垃圾邮件这是主流邮件安全网关中广泛应用的技术

2RBL

RBL即实时黑名单Realtime Blackhole List技术是由反垃圾邮件组织维护的垃圾邮件服务器黑名单IP如果发件人邮件服务器的IP通过DNS获取A记录在黑名单中则判定该邮件为垃圾邮件

3)SPF

SPF是发送者策略框架Sender Policy Framework),通过对发送者IP地址和DNStxt记录进行比对如果一致则认为其是合法的发送者否则为伪造者邮件予以退回

4恶意URL库识别

垃圾邮件往往会诱骗用户点击恶意链接所以垃圾邮件中往往有恶意URL邮件安全网关维护并更新庞大的URL数据库通过对比如果发现邮件中包含这些URL,则判定其为垃圾邮件

5内容识别

除文本识别外邮件安全网关还可以通过识别图片、PDF文件内容来判定邮件是否为垃圾邮件

6异常统计

通过统计请求源IP在单位时间内连接是否超过阈值来判断邮件是否存在异常

7)黑白名单

管理员可以自行定义黑名单或白名单实现黑名单过滤和白名单放行

 

2.1.反病毒邮件

邮件病毒防范主要依赖邮件安全网关的防病毒引擎查杀邮件附件中的病毒和各类病毒邮件防病毒引擎除了能查杀普通附件还能查杀压缩文件包括多级压缩的病毒攻击

 

2.1.误报处理

邮件安全网关一般提供误报处理功能将疑似垃圾邮件的通知以邮件的形式发送给用户用户判定其为正常邮件时该邮件就会进入邮件服务器中用户就可以收到邮件

 

2.1.产品选型

在进行邮件安全网关选型时需要根据企业用户数量选择合适的型号确保邮件网关的性能符合要求

 

2.邮箱账号密码安全保护

邮箱账号密码安全的重要性值得反复强调一旦获取邮箱账号密码就可以登陆邮箱获取邮箱的敏感信息也可以为攻击做准备

邮箱账号密码保护需要解决3个问题第一是防范账号密码被暴力破解第二是解决邮箱弱口令问题第三是防范账号密码泄漏

 

2.2.账号密码暴力破解防护

一般黑客主要通过邮箱服务器暴露到公司的web登陆页面、POP3服务接口、SMTP服务接口暴力破解账号密码

1使用第三方SAAS企业邮箱

第三方邮箱有一定的防范暴力破解的能力如果频繁请求登陆接口就会被阻断IP,但对于慢速加上代理IP的暴力破解也很难防范

· 如果是web登陆邮箱建议使用企业邮箱的二次认证因子如动态口令短信验证等可以有效防范暴力破解

· 如果是用客户端登陆邮箱OutLookFoxmail或各种App),建议启用授权码功能也就是在使用SMTP协议或者POP3协议时需要增加授权码才能连接这种方法也能比较有效地防范暴力破解

2企业自建邮箱

· 对于web登陆页面建议至少增加图形验证码或增加人机交互验证码并限制每个IP单位时间内登陆错误的次数当超过错误阈值后阻断该IP的访问

· 对于POP3SMTP接口的暴力破解防护如果通过web登陆防护需要使用邮件安全网关或下一代防火墙设备对IP的访问频率进行限制

 

2.2.邮箱弱口令问题

邮箱弱口令问题也是导致账号密码被暴力破解的重要原因要解决这个问题主要思路如下主要针对自建邮箱系统的企业)。

1建议统一使用LDAP账号密码方便实现内部认证账号的统一管理

2统一密码生成和定期修改的Portal并设置密码复杂度检查规则密码复杂度不符合要求则无法设置成功邮箱密码的安全策略示例如下表

 

需要注意的是密码复杂度检查可以通过前端提醒如提示密码长度不符合要求但最终必须由后端检测是否符合要求

3)通过内网模拟黑客暴力破解账号的重点是构造字典如公司名+年份用户名+常用若字典等在没有规范密码强度和安全策略前往往会存在很多弱密码发现弱密码后需要提醒用户限期内完成弱密码修改如果不修改可以考虑直接重置用户密码并提醒用户

 

2.2.防范账号密码泄漏

邮箱账号密码可能被有意或无意泄漏出去需要通过持续的安全宣导以增加员工的安全意识安全宣导主要包括以下几个方面

· 不能与同事或其他人共享账号密码有些员工安全意识薄弱会把自己的邮箱账号密码给同事用来帮助处理工作从而造成账号密码泄漏

· 不能以明文形式或使用第三方软件发布记录和传输账户密码信息

· 邮箱密码不能与非工作账户密码如和人邮箱外部论坛等相同因为用户无法保证这些账号密码不被泄漏出去

· 不要回复要求更改密码并要求透漏个人信息的电子邮件钓鱼邮件经常会采用这种方式欺骗用户

 

2.防钓鱼邮件

钓鱼邮件经常伪装成同事领导合作伙伴等诱骗用户回复邮件点击嵌入式正文点击链接打开附件获取用户的敏感信息或执行恶意代码进一步控制用户的计算机

从攻击效果看由于钓鱼邮件是攻击者精心设置的木马程序往往可以绕过防病毒软件的检测免杀),攻击成功率很高

防钓鱼邮件最重要的是要加强安全宣导提高员工的安全意识避免上当受骗开展安全意识宣导时可以提醒员工注意以下几个方面

· 警惕发件人陷阱钓鱼邮件常以“安全管理员”、“邮件管理员的名义发送邮件邮箱后缀可能和公司邮箱高度相似但认真分辨还是有区别的

· 邮件正文中有链接钓鱼邮件中往往含有链接或有邮件升级安全升级账号密码过期等提醒用户需要比对链接中的网址是否是公司的地址如果不是公司的地址则很可能为钓鱼邮件不要点击或输入账号密码等敏感信息

· 真实员工邮箱发来的钓鱼邮件当真实员工发来钓鱼邮件时意味着已经有员工中招了这时候用户需要保持警惕检查邮件是否有异常并与发件的员工核实

如果发现有员工被钓鱼了企业需要马上开展邮件钓鱼安全应急响应响应内容如下

· 在邮件网关上封禁钓鱼邮件发送者的邮箱避免攻击进一步扩散

· 向全公司发送钓鱼邮件预警将钓鱼邮件特征告知全体员工要求员工提高警惕

· 如果已经有员工中招相关安全人员需要对钓鱼邮件进行紧急处理如立即进行网络隔离立即修改相关邮箱的账号密码立即进行病毒查杀和处置

在日常安全工作中可以通过进行钓鱼邮件演练向员工发送钓鱼邮件统计点击情况汇总后做成培训材料在开展员工安全意识培训时进行宣导这样也可以提高员工的防范意识

邮件钓鱼是最常见的社工攻击方式还有很多其他社工攻击手段如通过IM通信工具发送木马程序通过短信URL链接诱骗用户点击恶意站点或下载恶意程序等

 

本章主要介绍了--企业安全建设之基础办公安全体系建设(邮件安全),下一章会写到统一账号认证系统在基础办公安全体系中的建设方式



企业安全建设之基础办公安全体系建设(邮件安全)


企业安全建设之基础办公安全体系建设(邮件安全)

渗透测试干货 | 横向渗透的常见方法

一次通过漏洞挖掘成功渗透某网站的过程

安全团队不可错过的七个云安全开源工具



欢迎关注LemonSec

觉得不错点个“赞”、“在看”哦

本文始发于微信公众号(LemonSec):企业安全建设之基础办公安全体系建设(邮件安全)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: