落实邮件纵深防御 严防勒索、诈骗多重威胁
- 洪千惠
-
回顾过去的数年间,令人留下较深刻印象的网安威胁,不外乎进阶持续性威胁(APT)、勒索软件等两大项目,但从去年(2016)开始,前者被讨论的声量减少,反观后者却依旧沸沸扬扬;展望2018年,多数网安专家一致预期,勒索软件仍将是值得留意的威胁趋势,网擎信息软件(Openfind)行销处协理林家正也抱持相同看法。
林家正指出,观察近年诸如金融等高度监理的产业,主管机关在稽查个别机构的防御机制时,一定将邮件列为优先查核的项目,主要是因为,肇因于恶意邮件或钓鱼邮件所引发的网安事件,可谓屡见不鲜,无论加密勒索软件、电邮诈骗,甚或近期因对岸企业的挖角而引发的机敏数据外泄风暴,全都与电子邮件息息相关,也都被预期为2018年三大主要威胁;但企业考量邮件为对外沟通的重要管道,不容许断、也不容许慢,因此在防御架构的设计上,更需煞费苦心。
针对上述提及的三大热门威胁,林家正提出防制建议。首先,企业宜优先关注根本问题,即是系统有无漏洞,关键在于能以多快的速度发现并修补漏洞,从而展开对应措施;为了减少系统漏洞遭黑客利用的机率,除了厂商本身软件更新要迅速外,网擎建议系统藉由架构面地调整,降低黑客接触系统的机会,如处于后端作业的归档,不应对外开放,且以邮件闸道器为对外沟通的接口,并将邮件服务器内网区域,透过Reversal Proxy或是防火墙的NAT功能来做Port Mapping沟通,而企业必须慎选口碑良好的邮件系统,然而为求最迅速修补弱点,选用云端邮件服务,无疑是最佳途径。
其次应避免邮件帐密遭黑客窃取,釜底抽薪之计,即是停用自动转寄与代理人等功能,一律改采申请制,以增强管控力道,惟此举可能加重MIS工作负担。再者为了防范黑客经由跳板异常登入,企业须有能力监控来源IP,一旦遭遇来源地为鲜少往来的陌生国境,随即发出警讯,必要时可搭配一次性口令(OTP),降低帐密失窃风险。此外对于口令的设定,必须多加审酌,为此网擎的邮件系统内建全球百大弱口令数据库,可比对使用者设定的口令是否易遭破解。
结合ArkEase Pro,强力阻断防范勒索攻击
网擎藉由整并和沛储存云产品线,已取得ArkEase Pro档案分享管理系统(私有云)这项利器,建议企业一方面可将重要档案指定同步至此,二方面则透过专利技术,于同步目录夹的前中后段埋下不同诱饵,只要勒索软件「咬」中这些诱饵,旋即触发警讯并停止同步,此后用户仅需选定还原的时点,一键按下便可整批还原,确使已遭加密的若干档案也能重见天日。
因应电邮诈骗,林家正建议企业优先选用支持DMARC网域认证安全模块的邮件闸道器,以期透过PKI身份认证结合加密传输等严谨机制,确认邮件沟通的双方,都是彼此信赖无误的收发对象。
另外论及机密外泄情事,则需仰赖邮件稽核系统来加以防范,按用户的普遍认知,可藉由关键字作为拦阻依据,另搭配正规表示式(Regular Expression),俾使用户轻松定义英文与数字的命名规则,比方说专案号码、研发文件编号等,便于快速识别外寄邮件中是否夹带机敏信息,企业可依业务运行需要,选择采行事前或事后等不同稽核模式,两者并行亦可,达到「事前稽核,事后举证」的效果。
