威脅預防不僅限於阻止外部參與者,還包括將敏感資料保留在內部。大多數組織沒有意識到他們的電子郵件收件匣中存在多少機密資訊。員工每天處理大量敏感資料,例如知識產權、內部文件、個人識別資訊或付款資訊,並且經常透過電子郵件在內部分享這些資訊,這使得電子郵件成為公司內存儲機密資訊的最大位置之一。毫不奇怪,組織會擔心敏感資料的意外或惡意洩露,並通常透過制定強有力的資料丟失預防原則來解決這些問題。Cloudflare 讓客戶可以透過 Area 1 Email Security 和 Cloudflare One 輕鬆管理電子郵件收件匣中的資料。
Cloudflare One 是我們的 SASE 平台,使用原生內建的 Zero Trust 安全性提供網路即服務 (NaaS),將使用者與企業資源連接起來,並提供各種各樣的機會來保護企業流量,包括檢查傳輸到企業電子郵件的資料。Area 1 Email Security 作為我們的可組合 Cloudflare One 平台的組成部分,為您的收件匣提供最完整的資料保護,並在包含資料丟失預防 (DLP) 等附加服務時提供一致的解決方案。由於能夠輕鬆按需利用和實作 Zero Trust 服務,客戶可以根據自己最關鍵的用例,靈活實施防禦。如果結合使用 Area 1 + DLP,則可以先發制人,共同應對組織中面臨高風險的最緊迫用例。結合使用這些產品可深度保護企業資料。
防止雲端電子郵件資料透過 HTTPs 傳出
電子郵件很容易外洩企業資料,那為何一開始要在電子郵件中包含敏感資料呢?員工可能會意外地在客戶電子郵件中附加內部檔案而不是公共白皮書,或者更糟的是,將包含錯誤客戶資訊的文件附加到電子郵件中。
透過 Cloudflare 資料丟失預防 (DLP),您可以阻止將敏感資訊(例如個人識別資訊或智慧財產權)上傳到您的公司電子郵件。DLP 作為 Cloudflare One 的一部分提供,它透過 Cloudflare 網路執行來自資料中心、辦公室和遠端使用者的流量。當流量穿過 Cloudflare 時,我們提供保護,包括驗證身分和裝置狀態以及篩選公司流量。
Cloudflare One 提供 HTTP(s) 篩選,讓您能夠檢查流量並將其路由到您的公司應用程式。Cloudflare 資料丟失預防 (DLP) 利用 Cloudflare One 的 HTTP 篩選功能。您可以將規則套用至公司流量並根據 HTTP 請求中的資訊路由流量。提供多種篩選選項,例如網域、URL、應用程式、HTTP 方法等等。您可以使用這些選項來分段您想要進行 DLP 掃描的流量。所有這一切都藉助我們全球網路的效能完成,並透過一個控制平面進行管理。
您可以將 DLP 原則套用到企業電子郵件應用程式,例如 Google Suite 或 O365。當員工嘗試將附件上傳到電子郵件時,系統會檢查上傳內容是否包含敏感資料,然後根據您的原則允許或封鎖。
在您的公司電子郵件內部,透過以下方式在 Area 1 中擴展更多核心資料保護原則:
加強合作夥伴之間的資料安全
利用 Cloudflare 的 Area 1,您也可以強制實施強 TLS 標準。設定 TLS 可額外增加一個安全層,因為這可確保將電子郵件加密,防止任何攻擊者在攔截傳輸中的電子郵件後讀取敏感資訊和變更訊息(中間人攻擊)。對於在面臨被窺視風險的情況下仍將內部電子郵件傳送到整個網際網路的 G Suite 客戶,或根據合約義務使用 SSL/TLS 與合作夥伴通訊的客戶,這一功能尤其有用。
利用 Area 1 可以輕鬆實施 SSL/TLS 檢查。您可以從 Area 1 入口網站設定合作夥伴網域 TLS:在「Domains & Routing」(網域和路由)中找到「Partner Domains TLS」(合作夥伴網域 TLS),並新增您想要實作 TLS 的合作夥伴網域。如果將 TLS 設定為必需,那麼從該網域發出的所有未使用 TLS 的電子郵件都會被自動丟棄。我們的 TLS 會確保強大的 TLS,而不是盡可能確保所有流量都使用高強度密碼進行加密,防止惡意攻擊者解密任何被攔截的電子郵件。
阻止被動電子郵件資料遺失
組織常常忽略了一點,那就是即使不傳送任何電子郵件,也可能發生外洩。攻擊者如果能夠入侵公司帳戶,那麼只用袖手旁觀,就能監控所有通訊,並手動挑選資訊。
一旦攻擊者達到這個階段,就很難發現帳戶遭到了入侵以及哪些資料受到追蹤。電子郵件數量、IP 位址變更等指標不再有用,因為攻擊者並沒有採取任何可能引起懷疑的動作。Cloudflare 強烈主張在發生帳戶盜用之前就加以阻止,讓任何攻擊者無所遁形。
為了在發生帳戶盜用之前予以阻止,我們非常重視篩選有竊取員工憑證風險的電子郵件。惡意行為者最常見的攻擊手段是網路釣魚電子郵件。鑑於其成功後能夠存取機密資料並產生重大影響,因此它成為攻擊者工具組中的首選工具也就不足為奇了。網路釣魚電子郵件對 Cloudflare Area 1 產品保護的電子郵件收件匣幾乎不會構成威脅。Area 1 的模型能夠透過分析不同的中繼資料來評估郵件是否疑似網路釣魚電子郵件。利用網域近似度(一個網域與合法網域的近似程度)、電子郵件情緒等模型偵測異常,從而快速確定電子郵件是否合法。如果 Area 1 確定某封電子郵件是網路釣魚嘗試,我們會自動撤回該電子郵件,並防止收件者在其收件匣中收到該電子郵件,以確保員工的帳戶不會遭到入侵且無法被使用來竊取資料。
防範惡意連結
想要從組織中竊取資料的攻擊者通常也依賴員工點擊透過電子郵件傳送給他們的連結。這些連結可以指向線上表單,這些表單表面上看起來無害,但實際上用來收集敏感資訊。攻擊者可以使用這些網站啟動指令碼來收集有關訪客的信息,而無需與員工進行任何互動。這引起了人們的強烈關注,因為員工的錯誤點擊可能會導致敏感資訊的外流。其他惡意連結可能包含使用者經常造訪的網站的高度復刻版本。然而,這些連結是一種網路釣魚形式,員工在其中輸入的憑證將傳送給攻擊者,而不是使其登入網站。
Area 1 提供電子郵件連結隔離來應對此風險,這是我們電子郵件安全產品的組成部分。利用電子郵件連結隔離,Area 1 會檢查傳送的每個連結,並存取其網域權威性。對於可疑的連結(我們無法確信安全的連結),Area 1 會啟動無頭 Chromium 瀏覽器,在其中開啟該連結且不中斷。這樣一來,執行的任何惡意指令碼都將在遠離公司基礎架構的隔離執行個體中執行,攻擊者無法獲取企業資訊。這一切都會即時且可靠地完成。
阻止勒索軟體
攻擊者擁有許多工具來試圖入侵員工帳號。正如我們上面提到的,網路釣魚是一種常見的威脅手段,但它遠非唯一的威脅手段。Area 1 也非常注重防止勒索軟體的傳播。
攻擊者傳播勒索軟體的常見機制是透過重新命名附件來掩飾附件用途。他們可能將勒索軟體負載從 petya.7z 重新命名為 Invoice.pdf,以嘗試誘騙員工下載該檔案。如果電子郵件內容讓該發票看起來很緊急,員工就有可能輕率地試圖在電腦上開啟該附件,導致組織遭遇勒索軟體攻擊。Area 1 的模型可以偵測到這些不符情況,並阻止惡意郵件進入目標的電子郵件收件匣。
成功的勒索軟體活動不僅會阻礙公司的日常營運,而且如果加密無法反向解密,還可能導致本地資料遺失。Cloudflare 的 Area 1 產品具有專用的負載模型,不僅可以分析附件副檔名,還可以分析附件的雜湊值,以便將其與已知的勒索軟體活動進行比較。一旦 Area 1 發現被視為勒索軟體的附件,我們將禁止該電子郵件繼續投遞。
Cloudflare 的 DLP 願景
我們的目標是透過 Cloudflare 產品為您提供所需的分層安全性,保護您的組織防範外部闖入的惡意企圖以及敏感資料外洩。隨著電子郵件繼續作為最大的企業資料面,對於公司來說,實施強有力的 DLP 原則來防止資料遺失至關重要。透過 Area 1 與 Cloudflare One 的緊密合作,Cloudflare 讓組織更信任其 DLP 原則。
如果您對這些電子郵件安全或 DLP 服務感興趣,請聯絡我們進行會談,討論您的安全和資料保護需求。
或者,如果您目前訂閱了 Cloudflare 服務,請考慮聯絡您的 Cloudflare Customer Success 經理,討論新增額外的電子郵件安全或 DLP 保護。