当前位置:CIO新闻中心 → 正文

新形势下的邮件系统安全态势分析及应对

责任编辑:cres |来源:企业网D1Net  2019-01-12 16:28:11 原创文章 企业网D1Net

2019年北京部委央企及大型企业CIO年会于1月12日在北京开启。大会邀请了约150位来自北京部委、央企和知名企业的信息高管出席,围绕“数字化转型的实践落地”,共同探讨数字经济下政府部门和大型企业在政府职能转变及企业业务变革方面的全新机遇,为企业数字化转型出谋划策。
 
以下是现场速记。


论客产品研发中心总监 郝家雨
 
郝家雨:各位嘉宾,各位领导,各位同行,下午好。刚才AI对于未来这方面的演讲非常的精彩,也是我们未来的方向。我的演讲主要是基于安全,邮件安全的维度来跟大家做这方面的分享。AI可能是未来,但是现在面临着更多的,邮件安全可能是目前更痛的问题,如何在这方面应对呢?也是各位CIO同行每天都会面临的问题。
 
首先做一下公司的介绍。可能大部分的都有一些,可能还有一些不了解。论客是一个专门做邮件系统的公司,我们是网易的联营公司,主要是专注于企业邮件的服务,目前是国内最大的邮箱企业。我们的团队,中国最早的做邮件系统的专家都在我们的公司里面成长,比如我们首先推出的邮件反垃圾、海运云、多语种服务、容灾,这都是在业务领域做的创新。目前在国内来讲,邮件大数据安全平台,邮件系统部署容量超过1万台,对于安全方面也推出了国密邮件系统客户端和整体的邮件系统。这个是我们获得的资质,包括等保三级的特权,还有云安全国产化OS测评。国内大的企业在这方面我们都有支持。
 
接下来主要是看一下邮件安全。因为邮件是企业信息的门户,我们用的最频繁,数据最多,面临的安全形势最严峻的就是邮件系统,从邮件来看的话,我们来看这个数据,从正常的邮件相比,CAC监控到的以2018年为例,僵尸网络对于邮件系统的供给来看,蓝色的是正常邮件,绿色的是垃圾邮件。正常感受不到怎么会有那么多垃圾邮件,所有企业邮箱必须要设计一个反垃圾网关,暴露在域外实际的邮件安全是非常严峻的,也就是说每天受到的攻击超过几千万次。这也是我们国家11月份发现的,不仅是整个互联网的安全中心,更主要的是面临APT攻击,APT是专门的攻击,影响最多的是典型的政府,包括大的企业,关系到国际民生的,另外还有教育、金融专用的攻击,会对邮箱调用邮件,盗取帐号,获取里面的信息,危害国家安全。从这个方面来讲,国家已经意识到邮件安全面临非常严峻的形势,也出台了各种各样的措施。从国家的政策导向来看,2017年《党政机关和国有阶级有一个专项电子邮件的行动》,2018年公安部、工信部、保密局又专门出台了《党政机关事业单位等级保护扩展要求》,当时我也是参与了扩展要求的制定跟评审方面的工作。从这方面来看,国家的政策和检查的力度越来越严峻。在这种形势下,第一,我们怎么样处理越来越强的安全态势。另外,我们用什么手段来做这方面的防控来加强这方面的检查,这可能是我们面临最大的问题。我们先做一下这方面的分析,为什么安全态势会这么严峻?很简单,从协议开始,到系统-行为、泄露、威胁来看,首先从协议来看,在协议层是没有做规范的,比方登陆的时候去破解密码,以往的可以简单的集中工具把IP封了,但是现在不行了,僵尸网络的方式一般是采取什么方法呢?可能有很多台服务器采取分布式的攻击,而且这种攻击也不是高频的攻击,而是低频的攻击。不是说集中对你做攻击,而是组织多台服务器分时间段拉长时间线攻击,这种攻击方式,以往的防范手段已经失效了。为什么最近几年调用邮件形势越来越严峻,我们经常会碰到企业帐号被破了,发来一大堆垃圾邮件,这是经常的,甚至于最常见的,比方说有些党政机关的邮箱里面发了一些不适当的言论,这个是非常严重的问题。另外一个是行为,从系统管理来讲,不停的在给大家做严重的教育,但就是有一些不按照安全规范来做,这是一个方面。另外,比方说高层的领导安全意识低,防范不强,他可能就用几个密码,好记,这个时候就没有办法从技术手段做管控了。刚才听了2000多套这种系统,安全系统越来越多,也越来越复杂。当一个系统不安全的时候会蔓延到整个系统不安全。另外还有外围的攻击,针对性的ATP的攻击,这是整个态势造成安全形势比较严峻的情况。
 
从邮件这方面我们做了统计和分析。第一,一般来讲,垃圾就歼大多集中在钓鱼邮件,不是单纯的发广告了,而是聚焦于的怎么样窃取资产,造成更大的危害。假冒调用软件占66.67%,另外是病毒、勒索、普通钓鱼邮件,这些是典型案件。这是典型的垃圾邮件的案例,是针对国内的敲诈。首先黑客是从中国来的,入侵了你的系统找到了不好的东西,你要付我1500万美元。另外是冒充管理团队,帐号要切换或者安全升级等等发钓鱼软件。另外还有附件、病毒。前不久我们监控发现有些地方发了一个财务的通知,大家看一下这个文档,还有一些普通的钓鱼链接,放一个链接,让你跳转到链接以后,在访问网站的时候非常容易中木马病毒。从整体上来看,一是盗号攻击门槛比较低,另外是攻击方式,一是暴力破解,感染途径、传播方式越来越多。最核心的是造成的危害越来越大,可能会直接造成财产损失,还会导致企业邮箱发不进来。我自己有时候也会听到客户抱怨,实实在在的抱怨。去年有一个浙江的外贸企业出现了这种问题,被钓鱼了,下载了包含病毒附件的密码,整个被加密了,当时勒索了大概1万美金,感染的是几个核心高管,IT总监很尴尬,这个钱出了之后要报给老板,IT这部分要承担很大的责任,不解又是高管的资料,这种问题摆在我们面前不是马上就能碰到,但是一碰到就是非常麻烦的一件事情。这种场景下,我们作为一个邮件企业,客户马上就跟我们说这种问题怎么解决,我们典型的一个产品,比如一个企业领导收到大量垃圾邮件,发现境外IP发了钓鱼邮件,甚至于帐号、密码,这样为核心的场景,如果是系统能够很早的监测钓鱼网站,如果能够很早发现领导的账户已经不安全了,如果能够很快发现帐号已经处于不安全的状态,一天发10封邮件,突然发了100封,可以起到实时监测的作用。在这种情况下,万一发现了怎么把影响的范围降低到最低,这也是我们面临的问题。打个比方说,这都是实际的案例,有一些反动的发布了针对某些领导的反对言论,已经发到各个邮箱里面去了,该怎么处置?领导马上就会责问,这个邮件马上删掉,但是你怎么追踪溯源。第二,在运维的情况下怎么监控,面临这么恶劣的态势怎么监控,怎么把安全的形势反馈出来,这也是我们要核心解决的问题。另外是刚才提到的,从用户端的行为管理,怎么样帮助实际的用户做好安全的设置,批量的做好安全的管控,这个都是我们面临的问题。针对这些问题,我们也做了比较大的投入。安全管理中心从安全监控、审计、行为管理几个维度做好安全的威胁,包括事中、事后整个的处理处置。这个难度其实挺大的,因为牵涉到这方面的技术,之前的技术没有那么复杂,可能只要分批就行了,但是现在面临什么威胁呢?低频分布式的攻击很麻烦。另外,有些黑客只要窃取帐号不是马上就动手,半年之后才做这方面的动作,我一直监控你的行为。黑客可以监控这个行为,等到适当的时候发起低频的攻击,这种攻击可能就需要做一些关联规则的挖掘。另外是频繁序列的分析。另外我们还做了信息商的分析,包括我们对用户进行了用户画像,我们对用户做核心的分析。比如说他什么时候登陆,日常的行为模式是什么样子,我们通过这方面的分析之后形成一个整体的安全态势的智能感知。
 
事前预知风险,事中行为追踪,事后安全防控,这是整个流程。这个是登陆、用户、评估,包括帐号的情况、风险频率。比如哪个用户是VIP客户,企业里的VIP高层领导等等日常的追踪也做了专业化的服务。这是应对的整体模块,从暴力破解监控、登陆安全、收发异常、安全事件告警、系统风险监控和重点用户监控实现了整个企业基于邮件系统的安全态势分析和管控。我们可以更好的去做用户行为分类,用详细的用户行为记录,比如在邮件系统里,正常的用户行为分析,一旦发生安全的事件之后就可以很方便的措施,设置了哪些安全项,发送或者转发了哪些邮件,我们可以做总体的审计。
 
这个什么情况下会有用?很典型的一个案例,比方说保密局或者是公安局有时候会从网外监控到内部发现有一些不合适的邮件系统,发了一些邮件或者收到一些邮件,这个时候会让我们去调用户所有的信息,这个是发生过很多次的,包括我们跟一些政府的客户,包括大型的企业,还包括高校,都发生过这种情况。保密局过来调取用户的信息,要知道他收发了哪些邮件,知道发生以后事件影响多大,都要把这些信息调出来给他。通过这种方式可以很快的把信息导出来,做好这方面的配合工作,以免把整个服务器拿走,那么里面的问题就更大了。另外一个是批量的敏感字的审计,我们从用户方面的安全配置做好信息搜索、信息过滤,从而对用户,包括正常的安全配置,反垃圾、病毒,有没有做好这方面的开关,我们平常教育要把二次验证做好,他有没有做,我们也会做一些批量的设置和管理。我们这个系统是跟清华做的,厦门市政府也在用这套系统来防范安全的情况。
 
我们做这方面的研究,我们不是安全公司,但是我们要解决的是邮件安全问题,所以我们会投入更多的精力做安全的事情,我们还有自己专门的实验室,AI也是我们后续发展的重点,这方面我们会做更多的努力。因为安全需要长期谈的,不是说今天不停的在变化,以往形势不适应现在的情况,未来形势可能更加严峻,怎么做好这方面的工作也是未来我们努力的方向,也希望在这个方面跟大家共同做这方面的探索。
 
以上是我的分享。谢谢大家!

关键字:CIO数字化转型

原创文章 企业网D1Net

x 新形势下的邮件系统安全态势分析及应对 扫一扫
分享本文到朋友圈
当前位置:CIO新闻中心 → 正文

新形势下的邮件系统安全态势分析及应对

责任编辑:cres |来源:企业网D1Net  2019-01-12 16:28:11 原创文章 企业网D1Net

2019年北京部委央企及大型企业CIO年会于1月12日在北京开启。大会邀请了约150位来自北京部委、央企和知名企业的信息高管出席,围绕“数字化转型的实践落地”,共同探讨数字经济下政府部门和大型企业在政府职能转变及企业业务变革方面的全新机遇,为企业数字化转型出谋划策。
 
以下是现场速记。


论客产品研发中心总监 郝家雨
 
郝家雨:各位嘉宾,各位领导,各位同行,下午好。刚才AI对于未来这方面的演讲非常的精彩,也是我们未来的方向。我的演讲主要是基于安全,邮件安全的维度来跟大家做这方面的分享。AI可能是未来,但是现在面临着更多的,邮件安全可能是目前更痛的问题,如何在这方面应对呢?也是各位CIO同行每天都会面临的问题。
 
首先做一下公司的介绍。可能大部分的都有一些,可能还有一些不了解。论客是一个专门做邮件系统的公司,我们是网易的联营公司,主要是专注于企业邮件的服务,目前是国内最大的邮箱企业。我们的团队,中国最早的做邮件系统的专家都在我们的公司里面成长,比如我们首先推出的邮件反垃圾、海运云、多语种服务、容灾,这都是在业务领域做的创新。目前在国内来讲,邮件大数据安全平台,邮件系统部署容量超过1万台,对于安全方面也推出了国密邮件系统客户端和整体的邮件系统。这个是我们获得的资质,包括等保三级的特权,还有云安全国产化OS测评。国内大的企业在这方面我们都有支持。
 
接下来主要是看一下邮件安全。因为邮件是企业信息的门户,我们用的最频繁,数据最多,面临的安全形势最严峻的就是邮件系统,从邮件来看的话,我们来看这个数据,从正常的邮件相比,CAC监控到的以2018年为例,僵尸网络对于邮件系统的供给来看,蓝色的是正常邮件,绿色的是垃圾邮件。正常感受不到怎么会有那么多垃圾邮件,所有企业邮箱必须要设计一个反垃圾网关,暴露在域外实际的邮件安全是非常严峻的,也就是说每天受到的攻击超过几千万次。这也是我们国家11月份发现的,不仅是整个互联网的安全中心,更主要的是面临APT攻击,APT是专门的攻击,影响最多的是典型的政府,包括大的企业,关系到国际民生的,另外还有教育、金融专用的攻击,会对邮箱调用邮件,盗取帐号,获取里面的信息,危害国家安全。从这个方面来讲,国家已经意识到邮件安全面临非常严峻的形势,也出台了各种各样的措施。从国家的政策导向来看,2017年《党政机关和国有阶级有一个专项电子邮件的行动》,2018年公安部、工信部、保密局又专门出台了《党政机关事业单位等级保护扩展要求》,当时我也是参与了扩展要求的制定跟评审方面的工作。从这方面来看,国家的政策和检查的力度越来越严峻。在这种形势下,第一,我们怎么样处理越来越强的安全态势。另外,我们用什么手段来做这方面的防控来加强这方面的检查,这可能是我们面临最大的问题。我们先做一下这方面的分析,为什么安全态势会这么严峻?很简单,从协议开始,到系统-行为、泄露、威胁来看,首先从协议来看,在协议层是没有做规范的,比方登陆的时候去破解密码,以往的可以简单的集中工具把IP封了,但是现在不行了,僵尸网络的方式一般是采取什么方法呢?可能有很多台服务器采取分布式的攻击,而且这种攻击也不是高频的攻击,而是低频的攻击。不是说集中对你做攻击,而是组织多台服务器分时间段拉长时间线攻击,这种攻击方式,以往的防范手段已经失效了。为什么最近几年调用邮件形势越来越严峻,我们经常会碰到企业帐号被破了,发来一大堆垃圾邮件,这是经常的,甚至于最常见的,比方说有些党政机关的邮箱里面发了一些不适当的言论,这个是非常严重的问题。另外一个是行为,从系统管理来讲,不停的在给大家做严重的教育,但就是有一些不按照安全规范来做,这是一个方面。另外,比方说高层的领导安全意识低,防范不强,他可能就用几个密码,好记,这个时候就没有办法从技术手段做管控了。刚才听了2000多套这种系统,安全系统越来越多,也越来越复杂。当一个系统不安全的时候会蔓延到整个系统不安全。另外还有外围的攻击,针对性的ATP的攻击,这是整个态势造成安全形势比较严峻的情况。
 
从邮件这方面我们做了统计和分析。第一,一般来讲,垃圾就歼大多集中在钓鱼邮件,不是单纯的发广告了,而是聚焦于的怎么样窃取资产,造成更大的危害。假冒调用软件占66.67%,另外是病毒、勒索、普通钓鱼邮件,这些是典型案件。这是典型的垃圾邮件的案例,是针对国内的敲诈。首先黑客是从中国来的,入侵了你的系统找到了不好的东西,你要付我1500万美元。另外是冒充管理团队,帐号要切换或者安全升级等等发钓鱼软件。另外还有附件、病毒。前不久我们监控发现有些地方发了一个财务的通知,大家看一下这个文档,还有一些普通的钓鱼链接,放一个链接,让你跳转到链接以后,在访问网站的时候非常容易中木马病毒。从整体上来看,一是盗号攻击门槛比较低,另外是攻击方式,一是暴力破解,感染途径、传播方式越来越多。最核心的是造成的危害越来越大,可能会直接造成财产损失,还会导致企业邮箱发不进来。我自己有时候也会听到客户抱怨,实实在在的抱怨。去年有一个浙江的外贸企业出现了这种问题,被钓鱼了,下载了包含病毒附件的密码,整个被加密了,当时勒索了大概1万美金,感染的是几个核心高管,IT总监很尴尬,这个钱出了之后要报给老板,IT这部分要承担很大的责任,不解又是高管的资料,这种问题摆在我们面前不是马上就能碰到,但是一碰到就是非常麻烦的一件事情。这种场景下,我们作为一个邮件企业,客户马上就跟我们说这种问题怎么解决,我们典型的一个产品,比如一个企业领导收到大量垃圾邮件,发现境外IP发了钓鱼邮件,甚至于帐号、密码,这样为核心的场景,如果是系统能够很早的监测钓鱼网站,如果能够很早发现领导的账户已经不安全了,如果能够很快发现帐号已经处于不安全的状态,一天发10封邮件,突然发了100封,可以起到实时监测的作用。在这种情况下,万一发现了怎么把影响的范围降低到最低,这也是我们面临的问题。打个比方说,这都是实际的案例,有一些反动的发布了针对某些领导的反对言论,已经发到各个邮箱里面去了,该怎么处置?领导马上就会责问,这个邮件马上删掉,但是你怎么追踪溯源。第二,在运维的情况下怎么监控,面临这么恶劣的态势怎么监控,怎么把安全的形势反馈出来,这也是我们要核心解决的问题。另外是刚才提到的,从用户端的行为管理,怎么样帮助实际的用户做好安全的设置,批量的做好安全的管控,这个都是我们面临的问题。针对这些问题,我们也做了比较大的投入。安全管理中心从安全监控、审计、行为管理几个维度做好安全的威胁,包括事中、事后整个的处理处置。这个难度其实挺大的,因为牵涉到这方面的技术,之前的技术没有那么复杂,可能只要分批就行了,但是现在面临什么威胁呢?低频分布式的攻击很麻烦。另外,有些黑客只要窃取帐号不是马上就动手,半年之后才做这方面的动作,我一直监控你的行为。黑客可以监控这个行为,等到适当的时候发起低频的攻击,这种攻击可能就需要做一些关联规则的挖掘。另外是频繁序列的分析。另外我们还做了信息商的分析,包括我们对用户进行了用户画像,我们对用户做核心的分析。比如说他什么时候登陆,日常的行为模式是什么样子,我们通过这方面的分析之后形成一个整体的安全态势的智能感知。
 
事前预知风险,事中行为追踪,事后安全防控,这是整个流程。这个是登陆、用户、评估,包括帐号的情况、风险频率。比如哪个用户是VIP客户,企业里的VIP高层领导等等日常的追踪也做了专业化的服务。这是应对的整体模块,从暴力破解监控、登陆安全、收发异常、安全事件告警、系统风险监控和重点用户监控实现了整个企业基于邮件系统的安全态势分析和管控。我们可以更好的去做用户行为分类,用详细的用户行为记录,比如在邮件系统里,正常的用户行为分析,一旦发生安全的事件之后就可以很方便的措施,设置了哪些安全项,发送或者转发了哪些邮件,我们可以做总体的审计。
 
这个什么情况下会有用?很典型的一个案例,比方说保密局或者是公安局有时候会从网外监控到内部发现有一些不合适的邮件系统,发了一些邮件或者收到一些邮件,这个时候会让我们去调用户所有的信息,这个是发生过很多次的,包括我们跟一些政府的客户,包括大型的企业,还包括高校,都发生过这种情况。保密局过来调取用户的信息,要知道他收发了哪些邮件,知道发生以后事件影响多大,都要把这些信息调出来给他。通过这种方式可以很快的把信息导出来,做好这方面的配合工作,以免把整个服务器拿走,那么里面的问题就更大了。另外一个是批量的敏感字的审计,我们从用户方面的安全配置做好信息搜索、信息过滤,从而对用户,包括正常的安全配置,反垃圾、病毒,有没有做好这方面的开关,我们平常教育要把二次验证做好,他有没有做,我们也会做一些批量的设置和管理。我们这个系统是跟清华做的,厦门市政府也在用这套系统来防范安全的情况。
 
我们做这方面的研究,我们不是安全公司,但是我们要解决的是邮件安全问题,所以我们会投入更多的精力做安全的事情,我们还有自己专门的实验室,AI也是我们后续发展的重点,这方面我们会做更多的努力。因为安全需要长期谈的,不是说今天不停的在变化,以往形势不适应现在的情况,未来形势可能更加严峻,怎么做好这方面的工作也是未来我们努力的方向,也希望在这个方面跟大家共同做这方面的探索。
 
以上是我的分享。谢谢大家!

关键字:CIO数字化转型

原创文章 企业网D1Net

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^