负责电子邮件安全的领导和从业人员每天都不得不面对一些事实。他们的电子邮件是云端传送的,包含一些内置保护,在阻止垃圾邮件和商品恶意软件方面表现不错,这很可能是事实。他们在安全电子邮件网关 (SEG) 上花费了大量的时间、资金和人力,以防网络钓鱼、恶意软件和其他电子邮件威胁,这很可能是事实。但电子邮件仍然是最频繁的互联网威胁来源,这也是事实。德勤 (Deloitte) 研究发现,91% 的网络攻击源于网络钓鱼。
既然反钓鱼和 SEG 服务都已经存在这么久了,为什么还有那么多网络钓鱼威胁?如果您同意奥卡姆剃刀定律 (Occam's razor),那就是因为 SEG 不是为保护现在的电子邮件环境设计的,不能有效、可靠地阻止现在的网络钓鱼攻击。
如果您需要更有说服力的案例,请继续阅读下文。
为什么世界已经超越了SEG
电子邮件市场中最突出的变化是向云原生电子邮件服务转变,这也导致传统的 SEG 变得多余。据 Gartner® 预计,到 2025 年,超过 85% 的组织将采用“云优先”战略。如果希望从其安全控制中获得云原生扩展、韧性和灵活性,则不能依赖 SEG 等传统设备。
具体到电子邮件,Gartner® 指出,“高级电子邮件安全功能越来越多地是部署为集成的云电子邮件安全解决方案,而不是作为一个网关”——到 2023 年,至少有 40% 的组织使用云电子邮件提供商的内置保护功能,而不是 SEG。如今,电子邮件无处不在发送,无处不在接收,在您的 Exchange 服务器前面部署 SEG 的方法已然过时;在移动和远程优先的今日,在云收件箱前面部署 SEG 也难以解决问题。现在的电子邮件安全应该跟随用户,应该靠近用户的收件箱,应该“无处不在”。
除架构过时外,SEG 在检测高级网络钓鱼和社会工程学攻击方面也存在不足。因为 SEG 最初的设计是为阻止垃圾邮件——这是一个数量问题,需要大量的攻击样本来检测和阻止。但今天的网络钓鱼攻击更像狙击手而不是机关枪。它们数量少,目标性强,利用我们对电子邮件通信的隐式信任来窃取金钱和数据。检测现代网络钓鱼攻击需要计算密集型的高级电子邮件分析和威胁检测算法,而 SEG 无法大规模执行此类计算。
当管理员需要创建和调整大量电子邮件威胁策略时,SEG 过时的检测理念便暴露无遗。不同于其他大多数网络攻击,电子邮件网络钓鱼和商业电子邮件泄露 (BEC) 有太多的“模糊”信号,不能仅通过确定性的 if-then 语句来检测。此外,即便创建了电子邮件威胁策略,攻击者也不会就此罢休——他们会快速调整,更换技术,绕过您创建的规则。依靠 SEG 调整来阻止网络钓鱼就像玩对攻击者有利的打地鼠游戏。
阻止网络钓鱼要着眼未来
传统的电子邮件安全防御系统是利用过去了解的主动攻击的特征(例如信誉数据和威胁签名)来检测下一次攻击,因此无法可靠地防御不断演变的现代网络钓鱼攻击。
我们需要前瞻性的安全技术,不仅了解过去发生的主动网络钓鱼的有效负载、网站和技术,还能洞察威胁行为者的下一步行动。他们正在破坏或建立哪些网站和账户,准备在未来发起攻击?他们准备在攻击中使用什么有效负载和技术?攻击之前,他们在哪里进行刺激探测?
Cloudflare Area 1 主动扫描互联网上的攻击者基础设施和正在准备的网络钓鱼活动。Area 1 以威胁为中心的 web 爬网程序动态分析可疑的网页和有效负载,并随攻击者战术的演变而不断更新检测模型,致力于在网络钓鱼攻击到达收件箱前阻止攻击。
再结合 Cloudflare Gateway 每日解析的 1 万亿+ DNS 请求,这一威胁情报库让客户能够在攻击周期的最早阶段阻止网络钓鱼威胁。此外,利用深入的上下文分析来了解消息的情绪、语气、主旨和线程变化,Area 1 能够理解并区分有效的业务流程消息和复杂的冒充活动。
虽然我们始终坚持分层安全防御,但不应该有多余的分层。SEG 的许多功能是重复的,因为客户现在已经将这些功能捆绑在其云电子邮件产品中。构建 Area 1 旨在加强(而非重复)原生电子邮件安全,阻止突破初始防御层的网络钓鱼攻击。
规划您的 SEG 替换项目
SEG 替换项目开始时,最好先决定是直接替换,还是先增强后替换。虽然 Cloudflare Area 1 有很多客户已经替换了他们的 SEG(详见后文),但我们也看到,有些客户一开始是在 SEG 下游运行 Cloudflare Area 1,评估两种服务的效果,然后再做最终决定。无论哪种方式,执行过程都简单明了!
项目开始时,必须让相应的利益相关者参与进来。至少应该让 IT 管理员参与进来,以确保电子邮件传送和效率不受影响,并让安全管理员监控检测效果。其他利益相关者可能包括渠道合作伙伴(如果这是您的首选采购流程),以及隐私和合规团队的成员(帮助验证数据的正确处理方式)。
接下来,您应该决定 Cloudflare Area 1 部署架构。Cloudflare Area 1 可作为 MX 记录部署,通过 API 部署,甚至可在多模式部署中运行。我们建议将 Cloudflare Area 1 部署为 MX记录,以最有效地抵御外部威胁,但该服务是根据您的业务逻辑和具体需求来适应您的环境。
最后一项准备工作涉及筹划电子邮件流程。如有多个域名,请确定每个域名的电子邮件的路径。检查不同的路由层(例如,是否有 MTA 传递了入站消息?)认真了解组织内的逻辑和物理 SMTP 层,确保消息正确路由。讨论 Cloudflare Area 1 应该扫描哪些电子邮件流量(南北流量、东西流量或两者均扫描),及其与现有电子邮件策略的契合之处。
执行过渡计划
第 1 步:实施电子邮件保护
如果将 Cloudflare Area 1 配置为 MX 记录,大致步骤如下(预计时间: ~30 分钟):
配置下游服务,以接收来自 Cloudflare Area 1 的邮件。
确保 Cloudflare Area 1 的出口 IP 没有速率限制或封锁,否则会影响消息传送。
如果电子邮件服务器在本地,请更新防火墙规则,允许 Cloudflare Area 1 向这些系统提供服务。
配置补救规则(例如隔离、添加主题或邮件正文前缀,等等)。
通过向 Cloudflare Area 1 注入消息来测试消息流,以确认正确传送。(我们的团队可以协助完成这一步)。
更新 MX 记录,使其指向 Cloudflare Area 1。
如果将 Cloudflare Area 1 部署在现有电子邮件安全解决方案的下游,则步骤如下(预计时间: ~30 分钟):
在 Cloudflare Area 1 上配置适当的回顾跃点数,以便 Cloudflare Area 1 可以检测到原始发送者的 IP 地址。
如果电子邮件服务器在本地,请更新防火墙规则,允许 Cloudflare Area 1 向电子邮件服务器传送消息。
配置补救规则(例如隔离、添加主题或邮件正文前缀,等等)。
通过向 Cloudflare Area 1 注入消息来测试消息流,以确认正确传送。(我们的团队可以协助完成这一步)。
更新 SEG 上的传送路由,将所有邮件传送到 Cloudflare Area 1,而不是电子邮件服务器。
第 2 步:集成 DNS
然后,客户最常采用的步骤是将 Cloudflare Area 1 与他们的 DNS 服务集成。如果您是 Cloudflare Gateway 的客户,好消息:Cloudflare Area 1 现在使用 Cloudflare Gateway 作为其递归 DNS,以保护终端用户通过电子邮件链接或网页浏览访问钓鱼网站和恶意网站。
第 3 步:与下游的安全监控和补救服务集成
Cloudflare Area 1 详细的可定制报告让您对威胁一目了然。通过我们强大的 API 与 SIEM 集成,您可以轻松地将 Cloudflare Area 1 检测与来自网络、端点和其他安全工具的事件关联起来,简化事件管理。
虽然 Cloudflare Area 1 提供了内置的补救和消息撤回功能,让客户能够直接在 Cloudflare Area 1 仪表板中应对威胁,但许多组织还选择与编排工具集成,以获得定制的应对手册。许多客户利用我们的 API 钩子与 SOAR 服务集成来管理整个组织的响应流程。
衡量成功的指标
如何知道自己的 SEG 替换项目是否取得成功,产生了预期的影响?我们建议衡量与检测效果和操作简易性相关的指标。
检测方面,明显需要衡量的指标是项目前和项目后阻止的网络钓鱼攻击的数量和性质。是否阻止了以前没见过的新型网络钓鱼攻击?攻击多个邮箱的活动是否可见?检测方面需要记住的另一个指标是误报数。
运营方面,关键是电子邮件效率不受影响。一个很好的示例是衡量与电子邮件传送有关的 IT 工单数。另一个需要关注的重要因素是电子邮件安全服务的可用性和正常运行时间。
最后,也许也是最重要的,衡量安全团队在电子邮件安全上花费的时间。希望比以前少得多!众所周知,SEG 需要持续维护,是一种工作繁重的服务部署。如果 Cloudflare Area 1 能让您的团队腾出时间来处理其他紧迫的安全问题,这与阻止网络钓鱼本身具有同等意义。
您有很多同伴
我们在此阐述 SEG 替换计划,是因为我们有许多客户已经这样做了,他们对结果很满意。
例如,有家为 60 多个国家的 9000 万客户提供服务的《财富》世界 50 强保险供应商,他们发现其 SEG 不足以阻止网络钓鱼攻击。具体来说,一旦“漏网之鱼”越过 SEG 到达收件箱,要搜索这些漏网的钓鱼邮件会非常麻烦。这需要一种既能捕捉这些网络钓鱼攻击,又支持具有云邮箱和本地邮箱的混合架构的电子邮件安全服务。
客户将 Cloudflare Area 1 部署到其 Microsoft 365 和 SEG 层下游后,第一个月内就获得了 14000 多次网络钓鱼威胁保护;这些网络钓鱼消息均未到达用户的收件箱。与现有电子邮件基础设施一步集成后,维护和运营出类拔萃。Cloudflare Area 1 具有自动消息撤回和送达后保护功能,该保险公司能够轻松搜索和补救任何遗漏的钓鱼邮件。
如有兴趣与任何使用 Cloudflare Area 1 增强或替换 SEG 的客户交谈,请与您的客户团队联系,了解更多信息!如果想看看 Cloudflare Area 1 的运行情况,请在此注册,参加网络钓鱼风险评估。
替换 SEG 是关于调整您的整体 Zero Trust 路线图的伟大计划。有关 Cloudflare One Week 的完整摘要和最新内容,敬请收看我们的网络研讨会回顾。
-
1Gartner 新闻稿 “《Gartner 称云将成为新数字体验的核心》”,2021 年 11 月 11 日2Gartner《电子邮件安全市场指南》,2021 年 10 月 7 日,作者:Mark Harris, Peter Firstbrook, Ravisha Chugh, Mario de BoerGARTNER 是 Gartner, Inc. 和/或其附属公司在美国和国际上的注册商标和服务标志,在此经许可使用。保留一切权利。