2013 年

2013-08-29

---

多層防護機制，打造郵件安全
Openfind 產品經理 孫江曼

2013 年 3 月 20 日南韓爆發史上最大規模駭客攻擊事件，造成多家電視台、廣播公司、銀行與保險公司等總計 32,000 台個人電腦感染，購物無法刷卡只能支付現金，ATM 無法提款，網路服務供應商中斷網路電信服務，南韓國防部「情報作戰防禦態勢」（INFOCON）等級更從 4 級調升到 3 級。該起事件佔據各家新聞報紙頭條版面，再次敲響了全球資安警鐘。回顧近年來的資安攻擊事件， 2010 年 Google 極光行動(Operation Aurora)中內部員工屢遭攻擊造成重要人士帳戶資料被駭客竊取；2011 年動態密碼巨擘 RSA 被一封夾帶惡意程式的社交工程郵件入侵內部網路，導致部分 SecurID 演算法與關鍵資料外洩。同年，日本三菱重工等三大國防工業廠商也相繼遭到社交工程郵件入侵成功，惡意程式感染多台電腦，造成機密資料大量外洩。

上述事件均屬於APT攻擊範疇，全名 Advanced Persistent Threat (進階持續性威脅)，該型態攻擊以量身訂做，高度客製化著稱。APT 會花較長的時間規劃、蒐集資料，潛伏在入侵網路發掘目標的安全漏洞或破解密碼後進行攻擊。此類駭客並非隨機攻擊，而是先從ㄧ些公開的資料來源( Twitter、Facebook等 )搜尋並鎖定特定人員加以研究，接著駭客便開發出含有惡意程式的客製化檔案，再透過電子郵件突破防線，誘導其開啟後植入惡意程式。一旦進入受害網路，即可進一步入侵更多電腦蒐集登入資訊，提高權限掌控全局，最後將機密資料外流或癱瘓系統完成攻擊工作。如此縝密難辨的攻擊方式，目前並沒有單一的防賭措施。唯有透過多層防護機制，建立嚴謹密碼，主動稽核並事先提醒，以降低被攻擊的風險。

從小處著手，建立嚴謹的密碼機制

通常使用者為了方便記憶密碼，會將密碼設置與帳號有所關聯或密碼強度相對簡單。這樣的設置雖然對帳號持有者有較高的方便性，卻也增加了帳號被盜的風險。簡易密碼對駭客來說簡直是小菜一碟，暴力法即可秒殺破解。若電子郵件帳號被盜，輕則私人訊息被窺視，重則機密資訊外洩影響企業形象。所以，建立嚴謹的密碼是防範的第一步。建議依循密碼機制三部曲補強您的防護罩：

(一) 剷除弱密碼

弱密碼的定義為較常見且易被破解的密碼。中國人最常用的「6666」、「8888」、「5201314」等幸運或諧音的數字皆榜上有名；鍵盤鄰近排列或重複的符號「123456」、「1111」、「asdf」更不遑多讓；生日、電話號碼等個人資訊，也很容易被駭客猜測破解。為了加強系統安全度，找出系統內擁有弱密碼的使用者是當務之急。因此，透過自動化分析弱密碼功能，即可達成一次完成密碼掃描和強迫更換密碼動作，在短時間內鏟除弱密碼補強系統安全度。

(二) 關閉未使用的收發信通道

對郵件系統而言，除了透過一般帳號密碼認證登入外，駭客甚至會利用 SMTP、POP3與IMAP4 登入的方式試圖盜取密碼。為了提供完整的收發信服務，企業常常預設開放所有服務，這樣反而提供多重管道讓駭客方便下手。因此，建議依個人使用習慣將未使用的收發信通道關閉，少一個窗口多一層保護。

(三) 雙重認證

雙重認證顧名思義，除了透過帳號密碼外，還需要輸入推播至手持裝置的認證碼進行第二層身分認證，降低駭客僅透過竊取到的密碼便可入侵使用者的帳戶。另外，若未進行登入動作，卻收到雙重認證碼，表示使用者的密碼已被竊，請盡速更換密碼。

從大處著眼，主動稽查降低風險

通常在企業網域運作環境下，使用者的登入或登出都會有一定的記錄存查，然而在系統檔案的異動或權限的變更，卻沒有相對應的保護機制。許多駭客都會利用社交工程手法侵入系統後，埋下惡意程式進行長期潛伏，尋找應用程式結構漏洞並加以利用。因此，管理者可透過稽核感知服務，主動定時稽核系統檔案新增、刪除、修改與權限異動等資訊，若發現異狀便即時警示通知。管理者收到警告信件後，可根據報表判斷是否為異常程式，若為異常程式則可將其砍除並進行大範圍清查動作，預防 APT 攻擊擴散。

                               【系統異常新增的檔案資訊】

有的惡意程式會透過竊取密碼登入系統獲取有利的機密資訊。盜取密碼後，駭客可以冒名散布謠言與寄發垃圾郵件，更甚者新增轉寄名單將該帳號的信件悄然無聲轉寄至外部，達到機密資料外流的目的。因此，轉寄清單異動，對系統也是可以觀察的潛在的外洩風險之一。透過定期自動轉寄清單監控，管理者可以根據修改者、修改來源和修改時間判斷此筆轉寄清單設定是否異常，降低外洩風險。

                               【自動轉寄清單異動資訊】

結語

從小處著手可透過多種密碼防護機制加強帳戶安全，從大處著眼可利用事前主動稽核通知來降低系統風險。唯有多層面的資安交叉防護，才能在不斷演變的威脅環境中做好安全防禦工作。Mail2000 v6 SP3 即將推出上述資訊安全相關功能，未來 Mail2000 電子郵件系統更將不斷精進，致力於捍衛企業郵件安全而努力。