|
|
|
|
移动端
创建专栏

都知道电子邮件是重大威胁 如何阻止和应对?

电子邮件由于其成本低、效率高的特性,已经成为企业通信最重要的形式之一。如今,我们习惯咨询的问题也已经从“你有电子邮件吗”转变成“你的电子邮件地址是什么?”

作者:Jasmine|2018-08-05 07:04

技术沙龙 | 邀您于8月25日与国美/AWS/转转三位专家共同探讨小程序电商实战

电子邮件由于其成本低、效率高的特性,已经成为企业通信最重要的形式之一。如今,我们习惯咨询的问题也已经从“你有电子邮件吗”转变成“你的电子邮件地址是什么?”

电子邮件是重大威胁

不过,电子邮件也是其自身成功的受害者。助力电子邮件成为企业通信最重要形式的特性,也同样吸引了那些将其用作非法目的的犯罪分子。如今的企业电子邮件系统必须与日益增长的垃圾信息、病毒、网络欺诈或网络钓鱼邮件,以及邮件中所包含的间谍软件作斗争。

面对日益严峻的安全挑战,无论是目前的技术,还是安全意识培训统统表现的不尽人意,如何阻止电子邮件威胁成为如今企业亟待解决的重要挑战之一。

近日,在一项针对295名专业人士(大多数但不是完全是IT专业人员)的调查中,85%的受访者表示,他们发现电子邮件威胁可以绕过电子邮件安全控制机制进入收件箱;40%的受访者发现,威胁频率高达每周多起;20%的受访者表示,每周必须采取重大的补救措施来防止电子邮件威胁。

电子邮件安全公司GreatHorn希望在电子邮件首次开发近50年后,对电子邮件安全状况进行一次全面检查。而其调查结果显然并未出乎安全专业人士预料。根据定期泄露分析结果显示,超过90%的泄露行为始于电子邮件攻击。实际上,GreatHorn研究还表明,大多数(54.4%)的企业安全领导者(即担任CISO角色的人员)认为,电子邮件安全是目前的TOP 3安全优先事项。

令人惊讶的数据并不是电子邮件安全现状糟糕得一塌糊涂——在所有受访者中,46.1%的人表示他们对目前的电子邮件安全解决方案不满意——而是安全专业受访者和非安全受访者之间的威胁感知差异——其中61%的安全专业受访者感知到了这种威胁;而非安全受访者所占比例只有39%。

调查指出,在接受访问的所有人中有66%的人表示,他们在收件箱中发现的唯一威胁就是垃圾邮件。当然,对于他们所说的“垃圾邮件”,我们认为可能存在一些不同的含义,而不仅仅是意味着未经请求的营销类电子邮件。不过,如此大比例的数字也表明,他们对电子邮件所带来的风险严重性缺乏明确认知。

当问及受访者中的安全专业人士同一问题时,这个数字发生了巨大的变化。只有不到16%的受访者表示,垃圾邮件是他们面临的主要威胁。因为对于其余85%左右的安全专业人士来说,每天通过电子邮件传播的威胁种类繁多;但对于非专业用户来说,唯一面临的威胁就是收到了一些自己并不想要的垃圾电子邮件。

此外,据Gartner电子邮件专家Neil Wynne的统计数据显示,在工作电子邮件范围内,普通白领专业人员的电子邮件开放率为100%。无论您是否采取任何行动来响应它,您都将会打开电子邮件。

你可能认为,只是打开恶意电子邮件,并没有进行任何操作,所以你还是安全的。但这显然并不是事实。根据GreatHorn的数据显示,20%的安全专业受访者被迫从电子邮件威胁中直接进行补救(例如暂停受感染的帐户,PowerShell脚本,重置受感染的第三方帐户等)。

在简单的层面上,这意味着普通的非安全工作人员极有可能打开所有电子邮件;因为在他们看来,不太可能出现除垃圾邮件以外的任何其他威胁——31%的非安全人士表示,他们从未看到除垃圾邮件之外的任何其他电子邮件威胁;而且,根据以往数据和经验显示,这些非安全人士显然更容易点击恶意链接或打开武器化附件。

当被问及这些数据是否进一步暗示“安全意识培训失败”时,安全专家的回答是肯定的!当然,之所以给出如此肯定的回答是有依据的,根据网络钓鱼培训公司提供的内置指标清楚地表明,利用他们的系统培训的用户,在识别恶意链接方面的能力有所提升。网络钓鱼成功率从30%减少至10%的情况也并不少见。

但是,据Verizon进行的一项报道指出,每25个人中就有1个会点击任何特定的网络钓鱼攻击链接。这也就表明,对于网络钓鱼邮件所针对的每100名员工中,就有4名将成为受害者,而只需要通过这4个人中的其中1个就能顺利实现攻击。

防止电子邮件威胁的困难之处,在于现代电子邮件攻击的本质。许多现代电子邮件攻击活动会涉及某种形式的冒充,包括商业电子邮件攻击(BEC)、商业欺诈攻击,以及为获取登录凭据而进行的纯粹的社会工程攻击等。当用户看不到有关该威胁的信息时,你将无法培训他们了解这些电子邮件威胁。此外,用于训练用户区分来自同事的电子邮件,和来自窃取同事凭证的恶意行为者的电子邮件的有效方法非常少。因此,我们形成了一个安全意识市场,认为电子邮件安全是一个意识问题,是人自身的问题,是可以通过训练来避免的问题。

此外,安全意识培训公司之所以能够成功,是因为意识培训代表了合规框架中的一个重要因素,如果他们遭受了数据泄露,就将会面临重大的成本损失。所以,即便安全意识培训实际上并非真的有效,人们仍然会争先恐后地这样做。

电子邮件安全公司GreatHorn对该问题的看法是,电子邮件安全解决方案不仅仅需要依赖技术和个人意识训练,还需要使用技术来对抗社会工程方面的威胁——即采用先进的电子邮件内容过滤系统和机制。

据悉,GreatHorn公司创立于2015年,总部位于美国马萨诸塞州贝尔蒙特。2017年6月,该公司宣布获得了由Techstars风险投资基金和.406 Ventures领投的630万美元A轮融资。该公司主要通过将机器学习技术应用于解决目标鱼叉式网络钓鱼,以及BEC威胁等相关问题上。根据联邦调查局2016年5月发布的报告显示,后者(BEC威胁)如今总计造成了超过30亿美元的经济损失。

报告原文下载:

https://info.greathorn.com/hubfs/Content%20for%20Resources%20Page/2018%20Email%20Security-FINAL.pdf

【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

【编辑推荐】

  1. 网络钓鱼系列—钓鱼工具及技术
  2. 赛门铁克发布2018年安全威胁趋势预测
  3. 2018年医疗机构面临的五大安全威胁
  4. 你的邮件安全吗? ——电子邮件威胁与防御剖析
  5. 竟在音频中暗藏指令?语音助手的5大安全威胁
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢