一、HVV行动概述
在重保期间,防守方主要通过监测发现、安全事件应急处置和协助追踪溯源来得分。而扣分则根据攻击者对防守方邮件系统的攻破程度来决定。防守方及时提供具有逻辑性和必要证明的攻击报告,也能获得加分。
邮件服务器是信息最丰富的服务器资源,因此在HVV行动中,邮件服务器成为黑客的首要攻击目标。常见的攻击手法有暴力破解弱密码、钓鱼病毒邮件和邮件系统未加固的历史漏洞。
二、邮件系统攻击场景
2.1 暴力破解弱密码
黑客通过暴力破解的方法,尝试大量常见密码组合,最终攻破账户。因此,企业应在重保期间临时开启客户端专用密码/二次验证,或进行一次强度较大的密码整改活动,并密切关注信任设备和客户端专用密码的异常新增情况。
2.2 钓鱼病毒邮件
黑客利用钓鱼邮件传播恶意程序,诱导用户点击恶意链接或附件,进而获取用户信息或在系统中植入病毒。企业应将反垃圾模块的级别调整至最高,以提升对钓鱼邮件的防护能力。
2.3 历史漏洞利用
黑客利用邮件系统未加固的历史漏洞进行攻击。企业应及时联系Coremail售后团队进行系统安全巡检,并安装最新的补丁包,以修复已知漏洞。
三、Coremail邮件安全措施
3.1 漏洞利用防范
- 扫描和嗅探防范:通过自动化系统界面对日志进行监控、分析、防护和追溯,方便管理员发现并反向溯源扫描和嗅探行为。
- 已知(Nday)漏洞利用防范:通过安全管理中心SMC2输出日志分析,识别历史漏洞利用行为,并进行拦截、记录和追溯。
- 未知(0day)漏洞利用防范:Coremail与钛星数安科技有限公司合作,利用钛星数安的安全产品防范0day漏洞利用攻击。
3.2 邮件钓鱼防护
- 附件钓鱼:通过加密附件监测模块,拦截经过加密压缩的恶意程序。
- 链接钓鱼:采用常规解决方案和增强解决方案,通过标记和远程浏览器隔离对链接进行拦截和提醒。
3.3 账号盗取和潜伏防护
- 暴力破解:开启客户端专用密码,使用防暴卫士2.0监控账号状态,封禁可疑登录IP。
- 异常账号处置:SMC2检测到异常账号后,自动锁定账号,防止进一步的安全威胁。
四、重保防护方案总结
重保期间的邮件安全防护重点为漏洞防护、邮件钓鱼(恶意附件和恶意链接)、账号盗取。企业需利用SMC2进行日志自动化监控,便于安全专家进行分析和反向溯源。Coremail的重保整体解决方案为企业的邮件系统筑起了一道坚固的安全屏障。
五、威胁隔离技术筑起邮件系统安全屏障
本次直播分享会上,北京钛星数安科技有限公司技术经理刘平平介绍了威胁隔离技术。通过“虚拟浏览器技术”,在用户端与Webmail服务器之间构建安全隔离层,隐藏Web服务器攻击面信息,隔离自动化攻击和手工渗透,保障服务器的安全。
此外,通过隔离恶意链接和脚本,用户端通过虚拟浏览器访问互联网,阻断钓鱼链接、恶意链接和风险文档等威胁。
迎战HVV,Coremail重保整体解决方案为您保驾护航,确保您的邮件系统在重保期间安全无虞。关注我们,获取更多网络安全最新动态和防护技巧,共同守护网络安全!
原文始发于微信公众号(紫队安全研究):HVV技战法 | 邮件攻防场景全面解析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论