電子郵件由于其成本低、效率高的特性，已經(jīng)成為企業(yè)通信最重要的形式之一。如今，我們習慣咨詢的問題也已經(jīng)從“你有電子郵件嗎”轉(zhuǎn)變成“你的電子郵件地址是什么?”

[[238960]]

不過，電子郵件也是其自身成功的受害者。助力電子郵件成為企業(yè)通信最重要形式的特性，也同樣吸引了那些將其用作非法目的的犯罪分子。如今的企業(yè)電子郵件系統(tǒng)必須與日益增長的垃圾信息、病毒、網(wǎng)絡(luò)欺詐或網(wǎng)絡(luò)釣魚郵件，以及郵件中所包含的間諜軟件作斗爭。

面對日益嚴峻的安全挑戰(zhàn)，無論是目前的技術(shù)，還是安全意識培訓統(tǒng)統(tǒng)表現(xiàn)的不盡人意，如何阻止電子郵件威脅成為如今企業(yè)亟待解決的重要挑戰(zhàn)之一。

近日，在一項針對295名專業(yè)人士(大多數(shù)但不是完全是IT專業(yè)人員)的調(diào)查中，85%的受訪者表示，他們發(fā)現(xiàn)電子郵件威脅可以繞過電子郵件安全控制機制進入收件箱;40%的受訪者發(fā)現(xiàn)，威脅頻率高達每周多起;20%的受訪者表示，每周必須采取重大的補救措施來防止電子郵件威脅。

電子郵件安全公司GreatHorn希望在電子郵件首次開發(fā)近50年后，對電子郵件安全狀況進行一次全面檢查。而其調(diào)查結(jié)果顯然并未出乎安全專業(yè)人士預料。根據(jù)定期泄露分析結(jié)果顯示，超過90%的泄露行為始于電子郵件攻擊。實際上，GreatHorn研究還表明，大多數(shù)(54.4%)的企業(yè)安全領(lǐng)導者(即擔任CISO角色的人員)認為，電子郵件安全是目前的TOP 3安全優(yōu)先事項。

令人驚訝的數(shù)據(jù)并不是電子郵件安全現(xiàn)狀糟糕得一塌糊涂——在所有受訪者中，46.1%的人表示他們對目前的電子郵件安全解決方案不滿意——而是安全專業(yè)受訪者和非安全受訪者之間的威脅感知差異——其中61%的安全專業(yè)受訪者感知到了這種威脅;而非安全受訪者所占比例只有39%。

調(diào)查指出，在接受訪問的所有人中有66%的人表示，他們在收件箱中發(fā)現(xiàn)的唯一威脅就是垃圾郵件。當然，對于他們所說的“垃圾郵件”，我們認為可能存在一些不同的含義，而不僅僅是意味著未經(jīng)請求的營銷類電子郵件。不過，如此大比例的數(shù)字也表明，他們對電子郵件所帶來的風險嚴重性缺乏明確認知。

當問及受訪者中的安全專業(yè)人士同一問題時，這個數(shù)字發(fā)生了巨大的變化。只有不到16%的受訪者表示，垃圾郵件是他們面臨的主要威脅。因為對于其余85%左右的安全專業(yè)人士來說，每天通過電子郵件傳播的威脅種類繁多;但對于非專業(yè)用戶來說，唯一面臨的威脅就是收到了一些自己并不想要的垃圾電子郵件。

此外，據(jù)Gartner電子郵件專家Neil Wynne的統(tǒng)計數(shù)據(jù)顯示，在工作電子郵件范圍內(nèi)，普通白領(lǐng)專業(yè)人員的電子郵件開放率為100%。無論您是否采取任何行動來響應它，您都將會打開電子郵件。

你可能認為，只是打開惡意電子郵件，并沒有進行任何操作，所以你還是安全的。但這顯然并不是事實。根據(jù)GreatHorn的數(shù)據(jù)顯示，20%的安全專業(yè)受訪者被迫從電子郵件威脅中直接進行補救(例如暫停受感染的帳戶，PowerShell腳本，重置受感染的第三方帳戶等)。

在簡單的層面上，這意味著普通的非安全工作人員極有可能打開所有電子郵件;因為在他們看來，不太可能出現(xiàn)除垃圾郵件以外的任何其他威脅——31%的非安全人士表示，他們從未看到除垃圾郵件之外的任何其他電子郵件威脅;而且，根據(jù)以往數(shù)據(jù)和經(jīng)驗顯示，這些非安全人士顯然更容易點擊惡意鏈接或打開武器化附件。

當被問及這些數(shù)據(jù)是否進一步暗示“安全意識培訓失敗”時，安全專家的回答是肯定的!當然，之所以給出如此肯定的回答是有依據(jù)的，根據(jù)網(wǎng)絡(luò)釣魚培訓公司提供的內(nèi)置指標清楚地表明，利用他們的系統(tǒng)培訓的用戶，在識別惡意鏈接方面的能力有所提升。網(wǎng)絡(luò)釣魚成功率從30%減少至10%的情況也并不少見。

但是，據(jù)Verizon進行的一項報道指出，每25個人中就有1個會點擊任何特定的網(wǎng)絡(luò)釣魚攻擊鏈接。這也就表明，對于網(wǎng)絡(luò)釣魚郵件所針對的每100名員工中，就有4名將成為受害者，而只需要通過這4個人中的其中1個就能順利實現(xiàn)攻擊。

防止電子郵件威脅的困難之處，在于現(xiàn)代電子郵件攻擊的本質(zhì)。許多現(xiàn)代電子郵件攻擊活動會涉及某種形式的冒充，包括商業(yè)電子郵件攻擊(BEC)、商業(yè)欺詐攻擊，以及為獲取登錄憑據(jù)而進行的純粹的社會工程攻擊等。當用戶看不到有關(guān)該威脅的信息時，你將無法培訓他們了解這些電子郵件威脅。此外，用于訓練用戶區(qū)分來自同事的電子郵件，和來自竊取同事憑證的惡意行為者的電子郵件的有效方法非常少。因此，我們形成了一個安全意識市場，認為電子郵件安全是一個意識問題，是人自身的問題，是可以通過訓練來避免的問題。

此外，安全意識培訓公司之所以能夠成功，是因為意識培訓代表了合規(guī)框架中的一個重要因素，如果他們遭受了數(shù)據(jù)泄露，就將會面臨重大的成本損失。所以，即便安全意識培訓實際上并非真的有效，人們?nèi)匀粫幭瓤趾蟮剡@樣做。

電子郵件安全公司GreatHorn對該問題的看法是，電子郵件安全解決方案不僅僅需要依賴技術(shù)和個人意識訓練，還需要使用技術(shù)來對抗社會工程方面的威脅——即采用先進的電子郵件內(nèi)容過濾系統(tǒng)和機制。

據(jù)悉，GreatHorn公司創(chuàng)立于2015年，總部位于美國馬薩諸塞州貝爾蒙特。2017年6月，該公司宣布獲得了由Techstars風險投資基金和.406 Ventures領(lǐng)投的630萬美元A輪融資。該公司主要通過將機器學習技術(shù)應用于解決目標魚叉式網(wǎng)絡(luò)釣魚，以及BEC威脅等相關(guān)問題上。根據(jù)聯(lián)邦調(diào)查局2016年5月發(fā)布的報告顯示，后者(BEC威脅)如今總計造成了超過30億美元的經(jīng)濟損失。

報告原文下載：

https://info.greathorn.com/hubfs/Content%20for%20Resources%20Page/2018%20Email%20Security-FINAL.pdf

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文