关于如何检测入站邮件的加密附件及多云环境下应用防火墙选择的讨论 | 总第225周

‍‍

‍‍

0x1本周话题

话题一：邮件里的加密附件，想用动态沙箱检测，除了自己打脸地要求把密码写在加密附件的邮件正文里以让邮件网关检测外，还有其它实践手段或工具吗？

A1：目的是为了防止敏感信息泄漏还是检测是否存在恶意软件？好像只能通过管理手段，自己承诺+其部门领导审批同意。另外是入站还是出站？入站大部分都是自己把密码写上去了吧。

A2：入站方式，希望有能力检测加密附件。目前所知，邮件网关/沙箱能解这种带正文密码的附件。

A3：加密附件确实难办，还得从管理上下手，比如提供沙箱检测服务，想办法让用户形成使用沙箱对解密后的加密附件进行检测的习惯。还有就是可以暂时拦截加密附件的邮件，给用户发通知，让用户自行判别，不过需要邮件网关或者邮箱支持用户自助操作功能。

A4：在办公机上给邮件程序提供微隔离，附件打开时默认隔离监控异常行为。

Q：之前宣传的加密流量安全检测的技术不知发展成啥样了？

A5：防邮件策略最有效最确定的手段还是做主机进程白名单，这种检测总归是有不确定性的。

A6：进程白名单适合简单环境，复杂环境下会搞死人的，如果是特定的应用系统如ATM机之流还好。

A7：我见海外子公司做得很好，主要还是用户习惯。

A8：你可以让邮件系统做二开，就是加密压缩功能由邮件系统提供，用户直接上传未加密附件，然后邮件系统压缩，然后返回密码给用户，而不是由用户加密后上传。

Q：出站可以，入站不行。那用户就都来找管理员了，所以想问有没有什么方法？

A9：这种不太好搞吧，要么只能培养用户习惯，让用户自己上传沙箱环境监测。解密这个动作，应用没法代替用户做啊。

A10：用户自己传沙箱这个培训成本就高了，还有看报告。要是这个问题背景就是已经不相信用户自己的识别能力了。

A11：其实就是解决解密后执行要在一个沙箱环境。解密需要用户来做，用户终端环境要是沙箱...这不好实现吧。

A12：要不还是邮件系统二开，就是非加密邮件直接展示，但加密邮件要输入密码才展示下载链接。

话题二：当公司多个业务部署在多云环境下，且都有接入waf的需求时，大家是倾向于用哪种方案的waf呢？一是使用应用所部署的云厂商自身的waf；二是购买安全厂商的软件waf部署在云上，然后全球各区域多个软件waf节点分别以cname的方式接入多云上多个业务的域名。

A1：两种方案都有，取决于公司自己的业务需求。千万记住一点就是，不要依赖一家的waf，可以一个云用一个云的waf，但是一定不要单独依赖一家的waf。

Q：多个品牌维护起来不头疼吗？

A2：多个waf存在使用维护、还有学习成本的问题，但是只采用一款waf就只有部署安全厂商软件waf的方案了，而这种方案要全球多个区域部署多个节点，还有考虑waf故障，DDOS 的情况，好头痛。全球部署waf很麻烦，哪怕云端不同国家都需要接入不同的waf节点，部署成本很高。

Q：云waf有集群，云厂商维护waf的稳定性；软件化waf还要自己维护多个节点成本更高了，有大佬们经手过这种案例吗？

A3：我们用的云厂商自己的waf，感觉成本也还行，关键是部署上省心。

A4：我们之前用的云上的waf，就是太多云了成本hold不住，后来私有化部署，多云就在不同的云上部部署转发检测节点，管理节点就一套目前用着感觉还行。

Q：你们这是一个区域部署几个waf节点呢？如何防护DDOS？

A6：防D一般都是云厂商提供服务，像我们自建机房的这种都是交给运营商来洗了。像某运营商专门做了个流量清洗池，触发防D以后流量全部转发到内蒙过去清洗后再回程。

A7：对于waf费用这点，我其实有个想法，云厂商的waf收费中很重要的一个因素是流量大小。toC的业务流量大，自己部署软件waf，成本可能会更小些。toB业务流量小，用云厂商的waf，综合来看成本应该更低。

A8：DDOS还是依赖云，节点的话也不一定按照区域来，主要看每个云上的资产，根据重要程度每个云2-3个检测节点。

0x2

原文始发于微信公众号（君哥的体历）：关于如何检测入站邮件的加密附件及多云环境下应用防火墙选择的讨论 | 总第225周