6 月 15 日，Coremail 聯(lián)合北京鈦星數(shù)安科技有限公司舉辦【HVV 經(jīng)驗(yàn)分享與重保整體解決方案發(fā)布】直播分享會(huì)。直播會(huì)上 Coremail 安全團(tuán)隊(duì)和鈦星數(shù)安的劉平平老師為大家?guī)碇乇r(shí)期的防御實(shí)戰(zhàn)經(jīng)驗(yàn)，幫助企業(yè)充分做好重保的安全準(zhǔn)備工作，安穩(wěn)度過重保時(shí)期。

在面對(duì)多樣化的攻擊手段、持續(xù)化的攻擊行為、劇增化的攻擊危害，各行業(yè)應(yīng)該如何應(yīng)對(duì)重保大考？

重保下的郵件攻防場(chǎng)景（含 HVV 加減分事項(xiàng)）

(相關(guān)資料圖)

Coremail 信息安全專家雷燦強(qiáng)在本次直播分享會(huì)上為大家分享了 HVV 行動(dòng)概述、郵件系統(tǒng)攻擊場(chǎng)景和 Coremail 郵件安全措施和安全防護(hù)體系這三個(gè)方面。

重保期間防守方能夠得分的方面一般為監(jiān)測(cè)發(fā)現(xiàn)，應(yīng)急處置和協(xié)助處置與追蹤溯源。防守方扣分是根據(jù)攻擊者攻破防守方郵件系統(tǒng)程度進(jìn)行扣分。當(dāng)防守方發(fā)現(xiàn)攻擊事件時(shí)，及時(shí)提供具有邏輯性和必要證明的攻擊報(bào)告，也可以作為防守方的加分事項(xiàng)。

郵件服務(wù)器是承載信息最豐富的服務(wù)器資源，因此郵件服務(wù)器是黑客向內(nèi)網(wǎng)滲透的第一攻擊目標(biāo)，也是 HVV 行動(dòng)中攻擊方的攻擊對(duì)象。

黑客攻擊郵件服務(wù)器主要三大手法有暴力破解弱密碼、釣魚病毒郵件和郵件系統(tǒng)未進(jìn)行加固的歷史漏洞，這都會(huì)成為黑客攻擊郵件服務(wù)器的著手點(diǎn)。

針對(duì)上述三種攻擊手法，企業(yè)應(yīng)該在重保期間進(jìn)行重點(diǎn)防護(hù)。在賬號(hào)安全上，建議在重保期間臨時(shí)開啟客戶端專用密碼 / 二次驗(yàn)證，或在內(nèi)部進(jìn)行一次強(qiáng)度較大的密碼整改活動(dòng)，關(guān)注信任設(shè)備 / 客戶端專用密碼有無異常新增，信任設(shè)備是否為自身常用設(shè)備。在釣魚、惡意郵件防護(hù)上，應(yīng)當(dāng)將正在使用的反垃圾模塊的級(jí)別調(diào)整至最高。在系統(tǒng)安全上，應(yīng)及時(shí)聯(lián)系 Coremail 售后團(tuán)隊(duì)進(jìn)行系統(tǒng)安全巡檢，并安裝最新的補(bǔ)丁包。

Coremail 特別提醒大家，今年還應(yīng)該重點(diǎn)關(guān)注谷歌新發(fā)布的域名以及針對(duì)運(yùn)維人員的微信釣魚手法。謹(jǐn)防釣魚，不應(yīng)聽信網(wǎng)絡(luò)謠言，如涉及安全問題應(yīng)關(guān)注官方公告或聯(lián)系官方售后。關(guān)于重保下的郵件攻防場(chǎng)景的詳細(xì)講解，請(qǐng)上 Coremail 管理員社區(qū)觀看直播回放視頻進(jìn)行了解。

迎戰(zhàn) HVV，Coremail 重保整體解決方案為您保駕護(hù)航

Coremail 高級(jí)安全解決方案專家劉騫針對(duì)前面提到的黑客攻擊郵件服務(wù)器的三種攻擊手法，制定了針對(duì) HVV 重保的郵件安全整體解決方案。

01、漏洞利用

1、掃描和嗅探防范

攻擊者在攻擊前期進(jìn)行信息收集時(shí)會(huì)利用常規(guī)的 web 攻擊掃描，對(duì) webmail 進(jìn)行掃描，wmserver 會(huì)產(chǎn)生大量的日志。之前是通過人工手段對(duì)日志進(jìn)行分析和判斷，這種手段耗時(shí)且效率低。現(xiàn)在日志被做成一個(gè)系統(tǒng)界面，監(jiān)控、分析、防護(hù)和追溯自動(dòng)化，方便管理員發(fā)現(xiàn)掃描和嗅探行為，進(jìn)行反向溯源。

2、已知（Nday）漏洞利用防范

已經(jīng)升級(jí)郵件系統(tǒng)版本、更新 Coremail 提供的 CV1.7 補(bǔ)丁包的企業(yè)，Nday 漏洞已經(jīng)被修復(fù)了。對(duì)于 Nday 漏洞的攻擊，可以使用安全管理中心 SMC2 輸出對(duì)應(yīng)的日志分析，識(shí)別歷史漏洞利用行為、攔截、記錄、追溯。

3、未知（0day）漏洞利用防范

對(duì)于未知漏洞利用攻擊手法是目前是無法進(jìn)行監(jiān)控，Coremail 與北京鈦星數(shù)安科技有限公司進(jìn)行安全聯(lián)動(dòng)，采用鈦星數(shù)安的安全產(chǎn)品補(bǔ)充完善我們的重保防護(hù)方案，對(duì) 0day 漏洞利用攻擊進(jìn)行防范。

4、郵件服務(wù)器行為監(jiān)控

前面介紹的防護(hù)手段是基于攻擊成功前就被攔截告警。假設(shè)服務(wù)器已經(jīng)被攻擊，Coremail 重保防護(hù)方案可以監(jiān)控到郵件服務(wù)器的異常行為，并進(jìn)行及時(shí)告警，收到告警后對(duì)訪問權(quán)限進(jìn)行處置，形成相應(yīng)的應(yīng)急處置報(bào)告。

02、郵件釣魚

1、附件釣魚（加密壓縮）

攻擊者常使用加密壓縮過的惡意程序，以釣魚郵件的形式進(jìn)行傳播。歷年重保期間，我們受到客戶反饋的釣魚郵件案例基本是加密附件釣魚。

攻擊者經(jīng)常采用該方式的原因有兩個(gè)。

第一，惡意程序經(jīng)過加密壓縮后，可以繞過反病毒引擎在靜態(tài)特征上的查殺，動(dòng)態(tài)查殺也很難檢查出來。以往是靠反垃圾特征將其歸為垃圾郵件并進(jìn)行攔截，今年 Coremail 重保整體解決方案增加了加密附件監(jiān)測(cè)模塊，由本地的郵件安全網(wǎng)關(guān)進(jìn)行實(shí)現(xiàn)。

第二，惡意程序傳播成功后，可作為突破口實(shí)行橫向滲透擴(kuò)大戰(zhàn)果。人是網(wǎng)絡(luò)安全防護(hù)最薄弱的一環(huán)，容易被攻擊者作為突破口。

2、鏈接釣魚（常規(guī)方案和增強(qiáng)方案）

重保期間，攻擊者會(huì)采用常規(guī)的鏈接型釣魚郵件形式進(jìn)行釣魚，目的是為了獲取到用戶賬號(hào)密碼和誘導(dǎo)用戶到專門的網(wǎng)站下載惡意附件進(jìn)行橫向滲透。對(duì)此，Coremail 有兩種防護(hù)解決方案。

第一種是常規(guī)解決方案，通過對(duì)鏈接進(jìn)行標(biāo)記，放行已知的安全鏈接，攔截被威脅情報(bào)庫標(biāo)記為惡意鏈接的鏈接，對(duì)未知鏈接進(jìn)行提醒記錄以及二次檢測(cè)。

第二種是增強(qiáng)解決方案，放行被威脅情報(bào)庫標(biāo)記為白名單的安全鏈接，攔截被威脅情報(bào)庫標(biāo)記為惡意鏈接的鏈接，對(duì)未知鏈接進(jìn)行遠(yuǎn)程瀏覽器隔離，用戶如果想訪問未知鏈接，就會(huì)跳轉(zhuǎn)至遠(yuǎn)程瀏覽器進(jìn)行訪問，遠(yuǎn)程瀏覽器會(huì)限制用戶在未知鏈接操作的權(quán)限。

03、賬號(hào)盜取和潛伏

1、暴力破解

重保期間，郵箱每天都會(huì)遭遇多次暴力破解，對(duì)于暴力破解最快最有效的解決方案是開啟客戶端專用密碼，間接防護(hù)方案為修改強(qiáng)密碼，使用防暴衛(wèi)士 2.0 監(jiān)控賬號(hào)狀態(tài)，封禁可疑的登錄 IP、風(fēng)險(xiǎn)標(biāo)記，進(jìn)行全網(wǎng)聯(lián)動(dòng)。

2、異常賬號(hào)處置

作為云端模塊的防暴衛(wèi)士 2.0，可對(duì)異常賬號(hào)進(jìn)行監(jiān)控，對(duì)異常賬號(hào)的處置還需管理員手動(dòng)進(jìn)行。而 SMC2 部署在本地，比部署在云端的防暴衛(wèi)士具有更高的賬號(hào)處置權(quán)限，SMC2 檢測(cè)到異常賬號(hào)后，會(huì)對(duì)異常賬號(hào)進(jìn)行自動(dòng)鎖定。

04、重保防護(hù)方案總結(jié)

重保期間需要防護(hù)的重點(diǎn)為漏洞防護(hù)、郵件釣魚（惡意附件）、郵件釣魚（惡意鏈接）、賬號(hào)盜取，企業(yè)需針對(duì)這 4 個(gè)重點(diǎn)進(jìn)行安全防護(hù)，利用 SMC2 進(jìn)行日志自動(dòng)化監(jiān)控，自動(dòng)生成對(duì)應(yīng)的界面，方便安全專家對(duì)日志進(jìn)行分析獲取關(guān)鍵信息，實(shí)現(xiàn)反向溯源。

威脅隔離技術(shù)筑起郵件系統(tǒng)安全屏障

本次【HVV 經(jīng)驗(yàn)分享與重保整體解決方案發(fā)布】直播分享會(huì)上，北京鈦星數(shù)安科技有限公司技術(shù)經(jīng)理劉平平為大家分享《威脅隔離技術(shù)筑起郵件系統(tǒng)安全屏障》。

威脅隔離技術(shù)原理是以 " 隔離技術(shù) " 為核心，樹立 " 預(yù)防 " 的安全理念，幫助客戶建立有效的安全預(yù)防體系以應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊。

在 Webmail 系統(tǒng)隔離防護(hù)中，基于 " 虛擬瀏覽器技術(shù) "，在用戶端與 Webmail 服務(wù)器之間，構(gòu)建一個(gè)安全隔離層，隱藏 Web 服務(wù)器攻擊面信息（比如隱藏網(wǎng)頁源代碼、API 的接口、第三方框架等信息，隔離暴力破解、" 撞庫攻擊 "、自動(dòng)化掃描隔離以及 Web 攻擊安全風(fēng)險(xiǎn)），隔離自動(dòng)化攻擊和手工滲透，保障服務(wù)器的安全。

在郵件鏈接隔離防護(hù)方面，通過將惡意鏈接、腳本和終端設(shè)備隔離開，本地瀏覽器不執(zhí)行任意腳本代碼和插件，用戶端通過虛擬瀏覽器訪問互聯(lián)網(wǎng)，阻斷釣魚鏈接、惡意鏈接、風(fēng)險(xiǎn)文檔等威脅。

了解更多

關(guān)于本次直播更多精彩內(nèi)容和資料，請(qǐng)上 Coremail 管理員社區(qū)進(jìn)行觀看下載。

社區(qū)還有郵件安全產(chǎn)品交流貼和 2023 重保 HVV 行動(dòng)資料，歡迎各位老客戶上社區(qū)進(jìn)行交流討論和資料領(lǐng)取！

各位新客戶可以關(guān)注【CACTER 郵件安全】公眾號(hào)獲取更多郵件安全干貨。