新形勢下的郵件系統(tǒng)安全態(tài)勢分析及應(yīng)對

責(zé)任編輯:cres

2019-01-12 16:28:11

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

論客產(chǎn)品研發(fā)中心總監(jiān) 郝家雨在2019北京CIO年會上的演講。

2019年北京部委央企及大型企業(yè)CIO年會于1月12日在北京開啟。大會邀請了約150位來自北京部委、央企和知名企業(yè)的信息高管出席,圍繞“數(shù)字化轉(zhuǎn)型的實踐落地”,共同探討數(shù)字經(jīng)濟下政府部門和大型企業(yè)在政府職能轉(zhuǎn)變及企業(yè)業(yè)務(wù)變革方面的全新機遇,為企業(yè)數(shù)字化轉(zhuǎn)型出謀劃策。
 
以下是現(xiàn)場速記。


論客產(chǎn)品研發(fā)中心總監(jiān) 郝家雨
 
郝家雨:各位嘉賓,各位領(lǐng)導(dǎo),各位同行,下午好。剛才AI對于未來這方面的演講非常的精彩,也是我們未來的方向。我的演講主要是基于安全,郵件安全的維度來跟大家做這方面的分享。AI可能是未來,但是現(xiàn)在面臨著更多的,郵件安全可能是目前更痛的問題,如何在這方面應(yīng)對呢?也是各位CIO同行每天都會面臨的問題。
 
首先做一下公司的介紹??赡艽蟛糠值亩加幸恍?,可能還有一些不了解。論客是一個專門做郵件系統(tǒng)的公司,我們是網(wǎng)易的聯(lián)營公司,主要是專注于企業(yè)郵件的服務(wù),目前是國內(nèi)最大的郵箱企業(yè)。我們的團隊,中國最早的做郵件系統(tǒng)的專家都在我們的公司里面成長,比如我們首先推出的郵件反垃圾、海運云、多語種服務(wù)、容災(zāi),這都是在業(yè)務(wù)領(lǐng)域做的創(chuàng)新。目前在國內(nèi)來講,郵件大數(shù)據(jù)安全平臺,郵件系統(tǒng)部署容量超過1萬臺,對于安全方面也推出了國密郵件系統(tǒng)客戶端和整體的郵件系統(tǒng)。這個是我們獲得的資質(zhì),包括等保三級的特權(quán),還有云安全國產(chǎn)化OS測評。國內(nèi)大的企業(yè)在這方面我們都有支持。
 
接下來主要是看一下郵件安全。因為郵件是企業(yè)信息的門戶,我們用的最頻繁,數(shù)據(jù)最多,面臨的安全形勢最嚴峻的就是郵件系統(tǒng),從郵件來看的話,我們來看這個數(shù)據(jù),從正常的郵件相比,CAC監(jiān)控到的以2018年為例,僵尸網(wǎng)絡(luò)對于郵件系統(tǒng)的供給來看,藍色的是正常郵件,綠色的是垃圾郵件。正常感受不到怎么會有那么多垃圾郵件,所有企業(yè)郵箱必須要設(shè)計一個反垃圾網(wǎng)關(guān),暴露在域外實際的郵件安全是非常嚴峻的,也就是說每天受到的攻擊超過幾千萬次。這也是我們國家11月份發(fā)現(xiàn)的,不僅是整個互聯(lián)網(wǎng)的安全中心,更主要的是面臨APT攻擊,APT是專門的攻擊,影響最多的是典型的政府,包括大的企業(yè),關(guān)系到國際民生的,另外還有教育、金融專用的攻擊,會對郵箱調(diào)用郵件,盜取帳號,獲取里面的信息,危害國家安全。從這個方面來講,國家已經(jīng)意識到郵件安全面臨非常嚴峻的形勢,也出臺了各種各樣的措施。從國家的政策導(dǎo)向來看,2017年《黨政機關(guān)和國有階級有一個專項電子郵件的行動》,2018年公安部、工信部、保密局又專門出臺了《黨政機關(guān)事業(yè)單位等級保護擴展要求》,當(dāng)時我也是參與了擴展要求的制定跟評審方面的工作。從這方面來看,國家的政策和檢查的力度越來越嚴峻。在這種形勢下,第一,我們怎么樣處理越來越強的安全態(tài)勢。另外,我們用什么手段來做這方面的防控來加強這方面的檢查,這可能是我們面臨最大的問題。我們先做一下這方面的分析,為什么安全態(tài)勢會這么嚴峻?很簡單,從協(xié)議開始,到系統(tǒng)-行為、泄露、威脅來看,首先從協(xié)議來看,在協(xié)議層是沒有做規(guī)范的,比方登陸的時候去破解密碼,以往的可以簡單的集中工具把IP封了,但是現(xiàn)在不行了,僵尸網(wǎng)絡(luò)的方式一般是采取什么方法呢?可能有很多臺服務(wù)器采取分布式的攻擊,而且這種攻擊也不是高頻的攻擊,而是低頻的攻擊。不是說集中對你做攻擊,而是組織多臺服務(wù)器分時間段拉長時間線攻擊,這種攻擊方式,以往的防范手段已經(jīng)失效了。為什么最近幾年調(diào)用郵件形勢越來越嚴峻,我們經(jīng)常會碰到企業(yè)帳號被破了,發(fā)來一大堆垃圾郵件,這是經(jīng)常的,甚至于最常見的,比方說有些黨政機關(guān)的郵箱里面發(fā)了一些不適當(dāng)?shù)难哉摚@個是非常嚴重的問題。另外一個是行為,從系統(tǒng)管理來講,不停的在給大家做嚴重的教育,但就是有一些不按照安全規(guī)范來做,這是一個方面。另外,比方說高層的領(lǐng)導(dǎo)安全意識低,防范不強,他可能就用幾個密碼,好記,這個時候就沒有辦法從技術(shù)手段做管控了。剛才聽了2000多套這種系統(tǒng),安全系統(tǒng)越來越多,也越來越復(fù)雜。當(dāng)一個系統(tǒng)不安全的時候會蔓延到整個系統(tǒng)不安全。另外還有外圍的攻擊,針對性的ATP的攻擊,這是整個態(tài)勢造成安全形勢比較嚴峻的情況。
 
從郵件這方面我們做了統(tǒng)計和分析。第一,一般來講,垃圾就殲大多集中在釣魚郵件,不是單純的發(fā)廣告了,而是聚焦于的怎么樣竊取資產(chǎn),造成更大的危害。假冒調(diào)用軟件占66.67%,另外是病毒、勒索、普通釣魚郵件,這些是典型案件。這是典型的垃圾郵件的案例,是針對國內(nèi)的敲詐。首先黑客是從中國來的,入侵了你的系統(tǒng)找到了不好的東西,你要付我1500萬美元。另外是冒充管理團隊,帳號要切換或者安全升級等等發(fā)釣魚軟件。另外還有附件、病毒。前不久我們監(jiān)控發(fā)現(xiàn)有些地方發(fā)了一個財務(wù)的通知,大家看一下這個文檔,還有一些普通的釣魚鏈接,放一個鏈接,讓你跳轉(zhuǎn)到鏈接以后,在訪問網(wǎng)站的時候非常容易中木馬病毒。從整體上來看,一是盜號攻擊門檻比較低,另外是攻擊方式,一是暴力破解,感染途徑、傳播方式越來越多。最核心的是造成的危害越來越大,可能會直接造成財產(chǎn)損失,還會導(dǎo)致企業(yè)郵箱發(fā)不進來。我自己有時候也會聽到客戶抱怨,實實在在的抱怨。去年有一個浙江的外貿(mào)企業(yè)出現(xiàn)了這種問題,被釣魚了,下載了包含病毒附件的密碼,整個被加密了,當(dāng)時勒索了大概1萬美金,感染的是幾個核心高管,IT總監(jiān)很尷尬,這個錢出了之后要報給老板,IT這部分要承擔(dān)很大的責(zé)任,不解又是高管的資料,這種問題擺在我們面前不是馬上就能碰到,但是一碰到就是非常麻煩的一件事情。這種場景下,我們作為一個郵件企業(yè),客戶馬上就跟我們說這種問題怎么解決,我們典型的一個產(chǎn)品,比如一個企業(yè)領(lǐng)導(dǎo)收到大量垃圾郵件,發(fā)現(xiàn)境外IP發(fā)了釣魚郵件,甚至于帳號、密碼,這樣為核心的場景,如果是系統(tǒng)能夠很早的監(jiān)測釣魚網(wǎng)站,如果能夠很早發(fā)現(xiàn)領(lǐng)導(dǎo)的賬戶已經(jīng)不安全了,如果能夠很快發(fā)現(xiàn)帳號已經(jīng)處于不安全的狀態(tài),一天發(fā)10封郵件,突然發(fā)了100封,可以起到實時監(jiān)測的作用。在這種情況下,萬一發(fā)現(xiàn)了怎么把影響的范圍降低到最低,這也是我們面臨的問題。打個比方說,這都是實際的案例,有一些反動的發(fā)布了針對某些領(lǐng)導(dǎo)的反對言論,已經(jīng)發(fā)到各個郵箱里面去了,該怎么處置?領(lǐng)導(dǎo)馬上就會責(zé)問,這個郵件馬上刪掉,但是你怎么追蹤溯源。第二,在運維的情況下怎么監(jiān)控,面臨這么惡劣的態(tài)勢怎么監(jiān)控,怎么把安全的形勢反饋出來,這也是我們要核心解決的問題。另外是剛才提到的,從用戶端的行為管理,怎么樣幫助實際的用戶做好安全的設(shè)置,批量的做好安全的管控,這個都是我們面臨的問題。針對這些問題,我們也做了比較大的投入。安全管理中心從安全監(jiān)控、審計、行為管理幾個維度做好安全的威脅,包括事中、事后整個的處理處置。這個難度其實挺大的,因為牽涉到這方面的技術(shù),之前的技術(shù)沒有那么復(fù)雜,可能只要分批就行了,但是現(xiàn)在面臨什么威脅呢?低頻分布式的攻擊很麻煩。另外,有些黑客只要竊取帳號不是馬上就動手,半年之后才做這方面的動作,我一直監(jiān)控你的行為。黑客可以監(jiān)控這個行為,等到適當(dāng)?shù)臅r候發(fā)起低頻的攻擊,這種攻擊可能就需要做一些關(guān)聯(lián)規(guī)則的挖掘。另外是頻繁序列的分析。另外我們還做了信息商的分析,包括我們對用戶進行了用戶畫像,我們對用戶做核心的分析。比如說他什么時候登陸,日常的行為模式是什么樣子,我們通過這方面的分析之后形成一個整體的安全態(tài)勢的智能感知。
 
事前預(yù)知風(fēng)險,事中行為追蹤,事后安全防控,這是整個流程。這個是登陸、用戶、評估,包括帳號的情況、風(fēng)險頻率。比如哪個用戶是VIP客戶,企業(yè)里的VIP高層領(lǐng)導(dǎo)等等日常的追蹤也做了專業(yè)化的服務(wù)。這是應(yīng)對的整體模塊,從暴力破解監(jiān)控、登陸安全、收發(fā)異常、安全事件告警、系統(tǒng)風(fēng)險監(jiān)控和重點用戶監(jiān)控實現(xiàn)了整個企業(yè)基于郵件系統(tǒng)的安全態(tài)勢分析和管控。我們可以更好的去做用戶行為分類,用詳細的用戶行為記錄,比如在郵件系統(tǒng)里,正常的用戶行為分析,一旦發(fā)生安全的事件之后就可以很方便的措施,設(shè)置了哪些安全項,發(fā)送或者轉(zhuǎn)發(fā)了哪些郵件,我們可以做總體的審計。
 
這個什么情況下會有用?很典型的一個案例,比方說保密局或者是公安局有時候會從網(wǎng)外監(jiān)控到內(nèi)部發(fā)現(xiàn)有一些不合適的郵件系統(tǒng),發(fā)了一些郵件或者收到一些郵件,這個時候會讓我們?nèi)フ{(diào)用戶所有的信息,這個是發(fā)生過很多次的,包括我們跟一些政府的客戶,包括大型的企業(yè),還包括高校,都發(fā)生過這種情況。保密局過來調(diào)取用戶的信息,要知道他收發(fā)了哪些郵件,知道發(fā)生以后事件影響多大,都要把這些信息調(diào)出來給他。通過這種方式可以很快的把信息導(dǎo)出來,做好這方面的配合工作,以免把整個服務(wù)器拿走,那么里面的問題就更大了。另外一個是批量的敏感字的審計,我們從用戶方面的安全配置做好信息搜索、信息過濾,從而對用戶,包括正常的安全配置,反垃圾、病毒,有沒有做好這方面的開關(guān),我們平常教育要把二次驗證做好,他有沒有做,我們也會做一些批量的設(shè)置和管理。我們這個系統(tǒng)是跟清華做的,廈門市政府也在用這套系統(tǒng)來防范安全的情況。
 
我們做這方面的研究,我們不是安全公司,但是我們要解決的是郵件安全問題,所以我們會投入更多的精力做安全的事情,我們還有自己專門的實驗室,AI也是我們后續(xù)發(fā)展的重點,這方面我們會做更多的努力。因為安全需要長期談的,不是說今天不停的在變化,以往形勢不適應(yīng)現(xiàn)在的情況,未來形勢可能更加嚴峻,怎么做好這方面的工作也是未來我們努力的方向,也希望在這個方面跟大家共同做這方面的探索。
 
以上是我的分享。謝謝大家!

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號