电子邮件安全保密技术的应用

随着互联网生活的普及，信息技术的快速发展以及便捷、高效、多样化的信息传输手段和电子办公的普及，已成为国际网络黑客、窃取秘密手段和网络犯罪的平台，给国家、企事业单位的信息保密安全带来了巨大的困难和挑战。

与传统的信息传输模式相比，电子邮件具有很强的及时性和方便性。随着电子邮件在社会上的广泛应用，随之而来的安全保密问题日益突出，如机密泄露、信息篡改、假地址、垃圾邮件等，相应的安全保密需求越来越迫切。国家在保密工作中颁布了各种保密法律，发展保密技术，运用高端技术手段保护国家和企事业单位机密安全，特别是加强邮件安全保密技术的应用，已成为当前安全保密工作的重要组成部分之一。为了更好地了解电子邮件攻击，我们需要分析威胁，了解其复杂性，并与攻击者的技术和方法相匹配，并采取有效的防御措施。

电子邮件是机会主义和针对性攻击客户端点最常用的通道。调查显示：

邮件是针对客户终端和用户无针对性攻击的首选渠道。

BEC(BusinessEmailCheat,商业邮件欺诈)已经成为攻击者的摇钱树。对于许多测试技术来说，这是不可预测的，但他们检测异常电子邮件流量和身份欺诈技术的能力正在提高。

针对入境邮件的威胁，电子邮件安全网关是主要的保护和控制点。它们结合了普通和先进的攻击检测和预防技术。

DMARC(Domain-basedMessageAuthentication,ReportingandConformance，统一的域认证协议基于信息和报告)，DKIM(DomainKeysIdentifiedMail，域名密钥识别邮件标准和SPF(SenderPolicyFramework发送方政策框架)的应用正在改进，但必须进一步增加。实现仍然存在一些挑战，但解决方案提供商可以提供帮助。

电子邮件的五个攻击阶段：

目标识别：在这个阶段，攻击者的目标决定了攻击者。即使通道仅限于电子邮件，攻击者也可以搜索大量的内部用户和特定的内部目标，甚至通过外部电子邮件中的伪造领域来组织外部目标用户。

基础设施/准备：目标识别后，攻击者需要设置攻击所需的基础设施。对于大规模分发，攻击者可以租用僵尸网络，并将其与开发工具包或恶意附件相结合。

身份欺骗：最简单的攻击不使用身份欺骗来隐藏恶意消息的实际发送者。为了获得更高的成功率，攻击者可能会尝试一些简单的技巧，让接收者相信消息来自内部用户。在最简单的形式中，攻击者使用内部用户的名称或响应地址，这与可见发件人的地址不同。更复杂的攻击者使用近邻域、滥用妥协电子邮件或电子邮件服务器作为发送者。

信息：在大多数情况下，攻击者要求接收者采取行动，因此几乎所有的电子邮件攻击都会构建一个相对可信的信息系统。拼写错误泄露垃圾邮件的时代已经过去，大多数攻击都使用令人信服的正确文本和语法。简单的自定义，包括收件人的名字，变得越来越自动化和普遍。电子邮件信息的真实恶性通常隐藏在附件或URL中。例如，使用宏连接到互联网下载恶意软件。

目标：目标不是攻击阶段，而是理解攻击者并设计对策。如果所有其他阶段都没有被阻止，安全专业人员必须建模攻击者的目标。攻击者最常见的目标是在机器上安装恶意软件。恶意软件可用于许多不可告人的目的，包括发送垃圾邮件、窃取银行信息和勒索。攻击者的另一个共同目标是窃取企业凭证，通常是欺诈或进一步渗透组织。更难以捉摸的攻击不使用URL（统一资源定位符）或附件。收件人电汇或泄露敏感信息，然后可用于欺诈。最后，勒索可能被攻击者使用后妥协的电子邮件或电子邮件服务器。受害者必须付费，否则敏感信息将泄露给公众。

图1的上半部分包括攻击者工具箱中的标准技术。这些技术大多需要很少的开发时间和特殊知识。这些方法通常用于完全自动欺诈。攻击者的目标是从最终用户或端点获得相对较低的勒索。图1的下半部分包含了更复杂的技术。为了获得更高的成功回报，攻击者使用的技术和方法更有针对性，但必须在较小的规模内实施。这些方法通常需要更多的准备和开发时间。

攻击者不仅选择上下技术之间的攻击，而且通常使用混合和匹配技术来实现他们的目标。额外的复杂性需要额外的成本、时间和精力，只有在达到目标时才能完成。在采取更多对策的情况下，复杂性增加了。随着AV在许多安全电子邮件网关中的使用(SEGS)例如，我们可以看到，恶意软件的复杂性已经提高到了一个更有效的对策，如沙箱和文件类型白名单。

安全专业人员可能会受益于解剖电子邮件的威胁，因为它提供了设计分层防御的结构化方法。

即使许多攻击需要其他渠道（通常是Web）来完全折衷于客户端点，但在大多数情况下，电子邮件是第一个提供以下内容：

初始URL形式的链接或钓鱼网站攻击工具包

附件包含恶意程序脚本或跨站攻击的载荷

行为攻击的起点，如BEC或网络钓鱼攻击

一般来说，根据攻击的针对性，我们大致可以将电子邮件攻击分为以下几个层次：垃圾邮件、个人攻击、商业欺诈和APT(AdvancedPersistentThrea,高级持续威胁)攻击。

综上所述，邮件主要受病毒、木马、网上钓鱼/鲸鱼、垃圾邮件、邮件炸弹、监控、密码破解、脚本漏洞、邮箱拖库、撞库等威胁的侵害。涉及的安全技术主要包括基础设施(存储、安全邮件网关等)。)、安全技术(安全中间件、邮件身份认证技术、端口和协议技术、沙箱、病毒预防、DLP(Dataleakageprevention,)等)数据防泄漏)、管理技术（审计分级管理、智能监控等技术）等技术。

目前国外安全邮件产品主要包括BAE系统、梭鱼网络、微软等公司，包括SEG(包括高级威胁防御)、安全网关(SWG)、Web应用防火墙(WAF)、防火墙和SSL、VPN和高级威胁保护(ATP)等。