攻擊者總能“嚇我們一大跳”：其攻擊的目標(biāo)和手段總能出乎我們的意料之外。攻擊者總能將自己偽裝成其它東西，例如他們可以從一個(gè)可信任的源發(fā)送一份郵件，其中的鏈接卻指向被惡意軟件感染的網(wǎng)站，或是包含有被惡意軟件感染的文件附件。還有將復(fù)雜的社交工程與一些難以捉摸的方法相結(jié)合的攻擊，可以在企業(yè)網(wǎng)絡(luò)中長(zhǎng)期穩(wěn)坐“釣魚(yú)臺(tái)”并竊取數(shù)據(jù)。還有一些全新的零日攻擊，完全不同于以前的任何攻擊，且傳統(tǒng)的防御不能識(shí)別。其技術(shù)和伎倆仍在不斷改變。

其中，之前的方法如“雪鞋(snowshoe)垃圾郵件”，其如此命名的原因在于它像是一只很大的雪鞋，印跡模糊且難以看清。攻擊者在大范圍內(nèi)擴(kuò)散大量的消息，而傳統(tǒng)的防御很難檢測(cè)。這種垃圾郵件可以快速地變換文本、鏈接、發(fā)送垃圾郵件的IP地址等，但絕不重復(fù)同樣的組合。其攻擊的可能性似乎可以無(wú)休止。

這些攻擊之所以成功是因?yàn)槠渖朴趥窝b并混合了不同的技術(shù)，而且還在不斷地變化。所以，防御者需要以一種攻擊者沒(méi)有預(yù)想到的方式，使用支持組合式防御的安全架構(gòu)，并且不斷地改進(jìn)以跟上動(dòng)態(tài)攻擊的發(fā)展。傳統(tǒng)的深度防御和多層保護(hù)主要用于網(wǎng)絡(luò)，但這些方法能夠也應(yīng)當(dāng)適用于電子郵件網(wǎng)關(guān)。

電子郵件是很受歡迎的企業(yè)通信方式，所以它也是攻擊者選擇的攻擊源和手段。所以，保障電子郵件網(wǎng)關(guān)的安全日益成為任何網(wǎng)絡(luò)安全戰(zhàn)略的重要組成部分。但是，傳統(tǒng)的安全郵件網(wǎng)關(guān)是在一個(gè)時(shí)點(diǎn)上操作，即它是基于一套情報(bào)的一次性?huà)呙?，其有效性是有限的。而如今的基于電子郵件的攻擊并不是一個(gè)時(shí)點(diǎn)上發(fā)生，而是使用多種方法來(lái)逃避檢測(cè)。為實(shí)施保護(hù)，企業(yè)有可能求助于一些無(wú)法協(xié)同工作的產(chǎn)品。很明顯，這種方法并不有助于有效的安全控制。

在企業(yè)評(píng)估安全郵件網(wǎng)關(guān)技術(shù)或是利用已有的產(chǎn)品時(shí)，為了實(shí)現(xiàn)更有效的防御垃圾郵件、混合攻擊和針對(duì)性攻擊，務(wù)必考慮如下問(wèn)題：

1.如何應(yīng)對(duì)垃圾郵件和惡意軟件的多樣性問(wèn)題?

誠(chéng)然，并不存在完美的防護(hù)，但通過(guò)部署和集成多層反垃圾郵件引擎和多層反病毒引擎，企業(yè)卻可以將保護(hù)范圍擴(kuò)展到幾乎全部的范圍。一種緊密地集成多種引擎并可以使其自動(dòng)且無(wú)縫地協(xié)同工作的安全架構(gòu)，不但可以提升保護(hù)水平，而且還可以減少誤報(bào)率，因?yàn)檫@些引擎可以相互檢查和平衡。此外，信譽(yù)過(guò)濾器可以查看發(fā)送者的IP地址信譽(yù)，這有助于防護(hù)類(lèi)似于“雪鞋(snowshoe)”垃圾郵件(它劫持的是IP地址范圍)的攻擊。

2.如何應(yīng)對(duì)混合性威脅(包含有指向被惡意軟件感染的網(wǎng)站的鏈接)?

答案就在于尋求包括Web分類(lèi)和Web信譽(yù)的解決方案。借助Web分類(lèi)，安全管理員可以設(shè)置策略，只允許訪問(wèn)某些類(lèi)型的網(wǎng)站。Web信譽(yù)根據(jù)多種數(shù)據(jù)給URL一個(gè)信譽(yù)分?jǐn)?shù)，其中的一個(gè)參考數(shù)據(jù)就是域名沒(méi)有被感染惡意軟件的時(shí)間長(zhǎng)度，所以管理員可以設(shè)置是否允許訪問(wèn)一個(gè)鏈接的策略。

3.供應(yīng)商能夠提供哪些功能，可幫助企業(yè)領(lǐng)先于新出現(xiàn)的威脅

企業(yè)應(yīng)當(dāng)可以利用網(wǎng)絡(luò)社區(qū)的數(shù)據(jù)。關(guān)注網(wǎng)絡(luò)社區(qū)用戶(hù)的電子郵件和網(wǎng)絡(luò)安全信息以及其它跟蹤威脅的信息，可以使企業(yè)獲得情報(bào)和用來(lái)防御新威脅的寶貴時(shí)間。企業(yè)應(yīng)選擇的廠商應(yīng)當(dāng)：電子郵件安全架構(gòu)中包含過(guò)濾器并能可以利用所收集的安全情報(bào)實(shí)時(shí)地防御新威脅的廠商。

安全人士面臨著大量的不可預(yù)知的威脅。其中的有些威脅是新的，而其它的威脅往往混合了多種技術(shù)來(lái)逃避傳統(tǒng)防御的檢測(cè)。所以，專(zhuān)業(yè)的安全人士需要利用和集成多層防御技術(shù)，并利用新方法來(lái)實(shí)現(xiàn)更有效的保護(hù)。