第 2 期

高级邮件安全技术

双向邮件安全防护

高级邮件安全技术

双向邮件安全防护

1. 概述

邮件系统作为企业最为广泛使用的通讯系统,由于其开放性和易用性,不可避免的成为了各种垃圾和诈骗广告的目标,各种反垃圾邮件技术也因此应运而生。这些年来,垃圾邮件的发送渠道又成为了网络攻击的首要突破口。对于网络犯罪来说,商业邮件欺诈 (Business Email Compromise, BEC) 攻击在流行性和创新性方面都得到了极大的发展。根据 Gartner 分析与预测,到 2023 年,BEC 攻击每年将继续翻一番,给企业带来的损失超过 50 亿美元。

同时,利用垃圾邮件发送工具发送各种钓鱼邮件欺骗员工,是入侵企业最有效的方式之一。数据显示,仅 2019 年第二季度,垃圾邮件在全球邮件流量中的平均百分比为 57.64%,比上一报告期上升 1.67 个百分 点。垃圾邮件的泛滥已经成为企业安全不可忽视的巨大威胁:

  • 员工生产力下降、商务信息泄密等问题已经造成了不少企业的经济效益损失。
  • 不断变换的邮件发送和编写方式,更让垃圾邮件防不胜防。

为了避免成为受害者,企业需要确保他们的邮件系统得到保护,以应对这类攻击手段。

作为现在最主流的邮件安全解决方案,邮件安全网关的反垃圾邮件技术已经非常成熟,在阻止垃圾信息的实现上也基本上已经标准化。下列标准手段已经可以将大约 95% 的垃圾邮件成功拦截。

  • 实时地址黑名单 (RBL)
  • 域名黑名单 (DBL)
  • 发件人策略框架 (SPF)
  • 域名密钥识别邮件标准 (DKIM)
  • 基于域的邮件身份验证
  • 基于域的消息身份验证/报告及一致性协议 (DMARC)
  • 关键字过滤、反垃圾过滤、反病毒过滤
  • 发送限制等

然而,道高一尺,魔高一丈,随着垃圾邮件制造者对反垃圾技术了解程度的不断深入,他们也“与时俱进”地找出了很多绕过检测的巧妙新方法: 例如临时注册新域名然后通过 DNS TXT 发布自己的 SPF 策略,使这个新域名符合 SPF 检查标准,可以绕过 SPF 检查;再比如像是利用同音异字,发送包含垃圾信息的图片;或者以看似收件人本身来发送邮件,在标题栏添加使人们以为邮件是来自朋友的信息等。因此反垃圾邮件技术并不仅仅是去关闭邮件转发功能、控制每次发送数量,增加关键字过滤就可以解决的。

一个更严重的问题是:对企业威胁最严重,造成伤害最大的 BEC 攻击和以窃取商业秘密为目的的钓鱼邮件,大多数是经过精心设计、会伪装成正常邮件,悄悄渗透到企业内部。之前描述的各种反垃圾邮件技术,对这 5% 的邮件无能为力。如何减少“最后 5%”的长尾问题,成为各家邮件安全网关技术攻坚的决胜手。

2. 增强型邮件安全网关技术

为了彻底阻截这 5% 的漏网之鱼,需采用更高级、综合的技术优势,以内外双方向防护为基础,对于入向邮件从邮件内容入手,通过硬核的技术手段来提升企业邮件系统攻击防护能力。

  • 恶链识别
  • 0-Day钓鱼防护
  • 图像内容识别
  • 深度学习
  • 出向内容分析

为了系统地保证邮件外发的安全性,企业邮件系统还应具备以下能力:

  • 对于出向邮件分析发送邮件用户的行为
  • 对于高风险的用户发送邮件行为进行阻止或审计
  • 结合深层次内容分析技术,对不同敏感度的邮件执行不同级别的审核流程

邮件恶链防护 (Malicious Link Protection)

典型的 BEC 攻击在以下过程中执行。

  1. BEC 攻击的第一步是钓鱼,通常钓鱼邮件都会包含有一个或多个恶意的 Web 链接,用来诱骗邮件接收者点击。
  2. 将收件人重定向到攻击者控制的网站。
  3. 这些恶意的 Web 链接指向的网站为攻击者所操纵,这些网站一般含有可感染用户电脑的木马,或者被攻击者伪装成合法网站的登录界面,借此套取用户名密码等登录信息。

邮件恶链防护技术通过本地与云端的 URL 查询,实时检测邮件里嵌入的 URL 链接的安全性,阻隔含有恶意代码、钓鱼信息、木马等有安全风险的网站链接的邮件,防范已知的恶链威胁。同时云端维护拥有海量的 URL 分类和 URL 安全信息,并保持实时更新的数据库,可以帮助邮件安全网关准确快速地识别邮件里包含的已知的高风险网站链接,在攻击链的最早期将威胁挡于门外。

  • 0 Day 钓鱼网站识别技术 (0 Day Fishing Site Recognition):基于内容识别和 URL 分类的反钓鱼技术

恶链防护技术可以提供准实时的钓鱼邮件防护,但只对已知并收录到恶意 URL 数据库中的恶意链接有效。很多高级的钓鱼攻击往往会针对特定企业中的特定人员,使用拥有全新域名的新注册网站或攻击者新控制的肉鸡网站来发起攻击,试图获取这些特定人员的敏感登录信息。由于这些网站还没有来得及被爬虫或者威胁情报交换收录到任何恶链数据库中,基于数据库的恶链防护技术往往对此类钓鱼攻击无能为力。

例如下图所示,攻击者通过临时购买的域名 www.b-of-america.co.cc 来架设一个全新的假冒银行网站作为攻击主体(实际银行的真实域名应该是 www.bankofamerica.com),并模仿真实的银行通知向特定用户发送钓鱼邮件。这类型的钓鱼邮件中经常包含真实的Logo、图片、背景等信息,达到以假乱真的效果。当用户点击这些钓鱼邮件中的链接时,会被重定向到这个假冒的网银页面,要求用户输入自己的登录凭证。一旦用户输入了自己的登录信息,攻击者可以将用户名和密码在暗网上贩卖,或者登录该用户网银并施行更多诈骗步骤: 例如将用户的资金买成理财(很多银行网银只要资金不转出个人账户就不需要U盾或者手机动态密码验证),然后冒充银行安全人员联系用户获取手机动态密码,并将用户资金真正转出去。

注:图片来自于 FAKE BANK OF AMERICAN WEBSITE by Frank Jovine https://techjaws.com/fake-bank-of-america-website/

检测此类攻击的关键在于如何分辨假冒的网站,ASEG 增强型安全邮件网关的 0-Day 反钓鱼技术通过提取邮件中的 URL,分析比对其分类属性和实际内容来判断是否是假冒网站。该技术基于强大的数据防泄漏 (DLP) 的内容识别引擎,建立了可识别多类网站(例如网银类和 Web 邮件类)的登录页面的内容识别模板。 如果发现某个链接所包含的内容匹配某类模板,但其 URL 的分类结果并不是在该类别里,则基本可以判定这个网站是假冒网站。

对于上述举例的假冒银行的网站,ASEG 将邮件中提取的链接 (www.b-of-america.co.cc) 发送给云端数据库做查询,云端的 0 天反钓鱼技术发现该网站所显示的登录内容能够匹配网银类的内容识别模板,但其 URL (www.b-of-america.co.cc) 是属于新注册网站的类别,并不是银行类网站,因此判定该网站是假冒的网上银行系统。ASEG 根据返回结果及时阻断了这封邮件,真正做到了实时的 0 天反钓鱼防护。

以上智能检测的功能的有效性取决于是否有强大的数据支持,经过多年的技术和经验积累,天空卫士后台数据库已经拥有了超过 2 亿条站点分类信息,结合 20 余种内容识别模版,并且该模板可以根据企业的应用系统进行定制,以防止伪造企业应用系统实现钓鱼的目的,天空卫士云端 0 Day 钓鱼网站识别技术对于这种精准伪装的钓鱼类邮件的检出率可以达到 90% 以上。

  • 基于图像文字识别技术 (OCR) 和 DLP 引擎的垃圾邮件识别 (DLP based Anti-spam)

为了规避基于内容和恶链的反垃圾扫描,很多垃圾邮件发送者将垃圾广告以图片的方式嵌入邮件中,并渐渐地成为传播垃圾邮件的又一个趋势。天空卫士邮件运营团队对漏报的垃圾邮件进行了仔细的分析,分析的结果发现有相当比例的漏报情况是由于攻击者将垃圾信息嵌入图片中,导致传统过滤引擎的关键字和内容检测无法正确识别造成的。

以上垃圾邮件的图片示例来自于维基百科,https://en.wikipedia.org/wiki/Image_spam

如何有效识别并过滤这些披着图片外衣的恶意邮件呢?ASEG 增强型邮件安全网关产品将 OCR 技术、DLP 内容识别技术,同基于内容的反垃圾技术结合起来,把传统的基于关键字和正则表达式的反垃圾规则转化为相应的可更新的 DLP 反垃圾策略;通过功能强大的 DLP 引擎和成熟的 OCR 技术,将图片中的文本信息提取出来进行检测,大大提高了对图片类垃圾邮件的检出率。该技术在减轻了垃圾邮件对终端用户造成的骚扰的同时,也保障了企业业务不会因为图片垃圾邮件造成的大量带宽消耗而受到影响。

  • 基于 AI 的垃圾邮件识别模型(Spam Modeling)

机器学习在网络安全中的应用场景已经非常广泛,增强型邮件安全网关已经将机器学习技术应用到反垃圾邮件场景中。天空卫士的邮件运营团队采用了循环神经网络 (RNN)——深度学习的代表技术之一,通过海量的邮件样本,训练出了能够精准识别垃圾邮件的垃圾邮件识别模型 (Spam Model)。RNN 是一种接受序列化输入并能有一定记忆的神经网络, 对复杂文本文件的分类效果要优于支持向量机 (SVM) 等传统机器学习模型,而且不需要对原始文本输入做去停词等前期处理。天空卫士后台 URL 分类库一直在使用自主培训的 RNN 模型对爬虫抓取的未分类网站进行分类预测,取得了较好的自动分类效果。

基于 RNN 的垃圾分类模型在不断改进的同时也将被包含在天空卫士最新的邮件安全网关 (ASEG) 中。利用机器学习模型对邮件进行垃圾识别的强大之处在于其拥有对新的垃圾内容的识别能力,可以更好地发现新出现的,其他反垃圾技术还未能检测到的垃圾邮件。当然,同其他任何基于机器学习的技术一样,该技术的缺点在于会有一定的误报率(天空卫士的模型误报率 <3%),并且预测速度会较慢。

为了克服这一缺点,需要配合其他反垃圾技术一起使用。ASEG 将天空卫士启发式反垃圾技术同垃圾邮件识别模型有机地结合起来:

  1. 启发式反垃圾技术先对进来的每一封邮件打分。
  2. 得分在预定义的临界区域的非垃圾邮件再被送到垃圾邮件识别模型中进行预测。
  3. 捕捉被启发式反垃圾模块漏掉的垃圾邮件。

这种组合在提高启发式反垃圾技术的检出覆盖率的同时大大减少了需要垃圾识别模型检测的邮件数量,保证了 ASEG 的整体邮件处理能力。

  • 出向邮件的异常发现 (Out bounding Abnormal Mail Detection)

在邮件安全体系中,多数情况下,出向邮件的安全都是围绕防止内部主动的数据泄漏而进行的。通过对邮件的内容、图片、来源、目标等进行综合分析后,判断是否是内部的数据泄漏事件。

在实际运行中,针对出向邮件的 DLP 处理能力也可以用于发现邮件的账户异常。当用户账户被成功入侵后,黑客的一个通常动作就是将内部的邮件向外进行转发,或者将从内部网络获取的数据通过邮件向外进行发送。通过适当的 DLP 策略,比如敏感内容加密发送或者敏感邮件审批策略可以成功的阻止这种不正常的外发动作,并引起邮件账号拥有者或者上级领导的注意。

在天空卫士的整体系统中,还可以结合 ITM 行为分析能力,综合分析每个内部个体的行为,动态的调整个体的安全风险评分,在高风险事件发生的时候,成功对邮件外发的通道进行实时阻断,并触发管理员报警,及时发现高危账号。

结合以上所有新技术,天空卫士 ASEG 可以有效降低企业的电子邮件安全风险。

  • 出向邮件的多级审核

向邮件的安全企业往往关注的不是垃圾、病毒,而是内部敏感数据,ASEG 提供的邮件审核工作流、审批平台、多级审批功能,为企业核心资产的保护提供流程上的安全保障。

  • 通过邮件审核工作流可以让管理层直接介入核心邮件数据审核流程,在保证企业核心资产的同时避免影响业务系统的工作。
  • 企业各部门主管可以登录审批平台查看自己待审批、已审批队列及审批历史。
  • 利用 DLP 深度内容分析技术可对不同敏感度的邮件执行不同级别的审核流程,确保通过外发邮件的安全。
  • 其他邮件安全管理与技术辅助手段

对于企业邮件安全的整体设计,绝对不能仅依靠单一技术手段来进行,需要综合多种技术、同时加以管理安全措施,才能将企业的整体安全风险降到最低。这些辅助手段包括但不限于:

  • 双因素认证:在邮件的发送、认证、访问邮件系统的设备等方面进行持续的行为分析和风险分析,及时采取双因素认证或者多种组合认证手段对使用人、设备、应用进行验证。
  • 密码管理:对邮件的密码管理进行加强,寻找对本企业合适的密码管理手段,在不影响运行效率的前提下,加强密码管理,防止特权账户被非法滥用。
  • 安全意识教育:对垃圾邮件、钓鱼邮件的识别、防范等方法进行员工安全教育,提高警惕,有效执行的安全意识防护的效果往往优于各种技术手段的防护能力。

3. 后记

垃圾邮件防护是一项持续的体系化工程。在商业市场环境愈发重视邮件高效、安全应用的今天,传统安全技术应对各类新型邮件威胁已难以为继。邮件攻击窃取与泄密相关的重大安全事件依然层见叠出,与企业在邮件安全方面持续高昂投入形成鲜明对照。

以天空卫士 ASEG 为代表的新型邮件安全解决方案,其优势与领先性既体现在邮件安全技术本身持续迭代创新,同时更体现在充分利用最新的人工智能、大数据分析技术建立邮件安全运营服务体系。安全技术与安全运营相结合,能够弥补传统邮件安全在应对新的安全威胁时的不足,最终形成企业邮件服务具备持续、自适应特性的邮件安全防护体系。

限于篇幅,本文并未罗列出所有的邮件安全相关内容,而是选择了一些重点与最佳实践进行讨论分享。攻击的手段层出不穷的创新,安全防护无论从管理和技术上都是在不断的发展。天空卫士愿意与业界同行、企业客户一起深入探讨邮件安全相关技术的创新与未来。欢迎与我们联系。

资料来源:天空卫士
返回首页
Gartner