MailSec Lab 电子邮件安全
一、前言
想象一下我们每个人的电子邮箱就像是一个超级安全的保险箱,里面放置保存着每个人的企业商务或个人隐私邮件信息与数据,而我们的邮箱账号和密码就是打开我们保险箱的“钥匙”。恶意攻击者会尝试使用各种方法找到这把“钥匙”,其中一种最常用的方法就是“暴力破解”。攻击者通过使用自动化工具,不停地尝试成千上万种可能的密码来打开员工的保险箱,一旦账密组合被黑客尝试命中,我们的邮箱就完全暴露在黑客面前。根据思安麦赛安全实验室(MailSec Lab)数据统计,中国企业每年都要经受上百亿次的邮件暴力破解攻击,暴力破解是最常见的邮件攻击之一。
邮箱暴力破解这种攻击的危害很大。首先,如果黑客成功了,便可以偷看到员工的私人信件,了解员工和同事、合作伙伴、家人之间的对话,并获取到一些敏感的信息。其次,他们还可能利用员工的帐号发送虚假信息,恶意冒充员工的身份进行一些欺诈活动。最糟糕的情况是,他们可能不仅仅停留在已打开的保险箱,还会以此为跳板试图进入其他重要的系统或者网络,访问更多的企业机密信息。
二、MailSec防暴专家3.0
欲筑室者,先治其基,如何高筑堡垒,对外防御黑客暴力破解攻击于门外,对内扫清暴力破解给企业带来的风险隐患,是目前所有企业邮箱安全管理最关切的痛点需求,虽然很多企业邮件系统带有邮件攻击防护功能,大多也部署了反垃圾邮件网关、邮件安全网关等专业的邮件安全产品,但仍然盗号严重,说明主流邮件系统与邮件安全产品普遍对邮箱暴力破解攻击的防御功能还有待提高,大多产品还没形成针对邮箱暴力破解的完整解决方案。
为了帮助企业更好地解决邮件暴力破解问题,网际思安推出新一代“MailSec防暴专家3.0” ,MailSec防暴专家核心功能基于网际思安MailSec邮件安全网关,同时也包含专业的邮件安全服务与能力,覆盖从事前预防、事中防护到事后处理的完整生命周期防护。
“防患于未然”,在网络安全防护中,事前预防是一种非常重要的策略。它强调在攻击发生之前采取措施来保护邮件系统和数据的安全,以预防潜在的威胁和攻击。通过事前预防,企业可以减少系统受到攻击的风险,提高邮件系统的安全性。网际思安MailSec邮件安全网关的邮箱防暴专家针对暴力破解的事前预防,提供了一系列的功能和服务,有效地保护我们的邮件系统和用户的安全,减少受到攻击的可能性。
弱密码是企业网络安全的最大问题之一,因为它们容易被破解、数量众多难以管理和维护。网际思安MailSec邮件安全网关的邮箱防暴专家内置庞大的近千万级弱密码库和弱密码识别规则,并持续更新,从而帮助企业准确定位员工发送邮件过程中使用的弱密码,并及时告警引导员工修改弱密码。
当攻击者尝试进行暴力破解时,延迟认证可以使攻击者需要花费更长的时间来尝试每个可能的密码组合。网际思安MailSec邮件安全网关的邮箱防暴专家通过大数据统计分析,对可疑的帐号认证进行延迟,这种延迟可以增加攻击者破解密码的难度和成本,从而减少他们成功攻击的可能性。
“三分技术,七分管理”。只靠采取各种各样的防暴力破解技术是无法做到百分百的防控。在安全防护功能之外,网际思安MailSec邮箱防暴专家服务内置了在线安全意识教育服务,通过一系列的课程提升员工的邮件账户安全意识,与此同时可通过模拟攻击的方式测试员工的邮件安全意识,并对安全意识薄弱职工进行风险预警提示和进行再培训。
对邮件系统和邮件安全设备的进行配置的基线检查非常重要,因为这可以帮助企业发现潜在的配置隐患,防止策略的错配和少配。网际思安MailSec邮箱防暴专家服务定期提供基线检查服务,并提供相关设置建议,确保邮件系统和邮件安全网关等设备的安全配置始终保持在最佳状态,保证最大限度的对暴力破解攻击进行防护。
即使我们在“事前预防”阶段建造了足够坚固的护墙,但是当真正面对暴力破解攻击时,我们仍然要保证有足够的武器来做到“兵来将挡,水来土掩”。基于十多年的邮件安全经验,网际思安MailSec邮件安全网关的邮箱防暴专家针对暴力破解的事中防护,自主研发了多个行业领先的防护功能,帮助企业从容不迫的面对暴力破解攻击。
网际思安MailSec邮箱防暴专家通过人工智能技术分析海量邮箱认证行为中的异常行为。通过提取海量认证数据中的IP特征,对正常行为建模作为基准,从而及时对比发现新的异常行为。“智能IP防暴”功能在实战中体现了强大的防护能力。例如,最近我们一个知名制造业客户面对大量的暴力破解攻击,思安邮件安全网关防暴专家在短短24小时内拦截了20多万次连接。
借助于人工智能技术,网际思安MailSec邮件安全网关的邮箱防暴专家不仅对海量邮箱认证行为中的IP异常进行统计分析,也对每个邮箱的账户认证行为进行智能分析,从而及时发现风险较大的邮箱,并手动或自动采取保护措施。
“道高一尺,魔高一丈”,攻击者在实践中总是不断提升攻击的思路和手段。在实践攻防中我们发现,攻击者甚至会采用长时间低速度的方式来发动暴力破解攻击,例如:每过几分钟才猜测一次密码,从而更深的隐藏其攻击行为,绕过邮件系统和邮件安全设备的检测。针对此种攻击场景,网际思安MailSec邮件安全网关的邮箱防暴专家提供了业内独特的“低速暴破防护”功能,通过特有检测机制,准确识别此类攻击。
思安麦赛安全实验室(MailSec Lab)依托于在邮件安全领域18年积累的丰富的产品研发与技术服务经验,拥有海量的邮件安全威胁情报。邮件威胁情报可以帮助企业快速、高效识别并阻断风险IP地址发起的暴力破解攻击。
“百密难有一疏”,即使企业做好了针对暴力破解攻击的防护,攻击者仍可能通过其他的手段来获取员工的邮箱账户密码,例如:社会工程学、钓鱼邮件、病毒软件等。因此事后处理在邮件安全中扮演着至关重要的角色。它涵盖了对邮件安全事件的快速响应、恢复、调查和分析。网际思安MailSec邮箱防暴专家可协助企业及时识别可疑邮箱账户,并采取措施,帮助企业减轻潜在的损失,确保业务的正常运行,并获取关键的线索和信息以改进安全策略和预防类似事件的发生。
网际思安MailSec邮件安全网关的邮箱防暴专家可对登录邮箱账户的IP地址进行密切追踪,通过威胁情报、大数据分析等手段识别出可疑的被盗号邮箱账户,并及时告警或封禁该帐号。
通过GeoIP技术,网际思安MailSec邮件安全网关的邮箱防暴专家可对员工邮箱的登录地理位置进行追踪。当发现员工登录邮箱的地理位置与常用位置不相符时,及时的发出警示信息,指引员工注意账户的信息安全。
网际思安MailSec邮件安全网关提供了多种部署模式,可通过旁路镜像、旁路BCC、线路串行等方式对企业内部的邮件流量进行内容分析和安全性检测,从而及时发现被盗邮箱帐号发出的内部钓鱼邮件。
当员工邮箱账户被盗窃后,攻击者往往会通过被盗账户向企业内部同事和企业外部合作伙伴大量发送欺诈性邮件,从而获取金钱或机密信息。网际思安MailSec邮件安全网关的邮箱防暴专家通过大数据统计分析,对整个企业的海量邮件发送情况进行建模。当发现特定邮箱账户的邮件发送量异常时,网际思安MailSec邮箱防暴专家可立即识别出可疑邮箱账户,并进行告警和风险上报。
关于MailSec Lab
北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)依托于网际思安过去12年积累的邮件威胁数据,汇集了一批10+工作经验的行业专家,专注于新型邮件威胁的调研,和下一代邮件安全技术的创新性研究。在过去十多年中,MailSec Lab服务于3000+家各个行业领域的典范客户,获得客户的广泛赞誉。与此同时,实验室积极与国际和国内知名信息安全厂商合作,广泛开展威胁情报互换、共同研究等合作,构建共同防御的威胁防护体系。