根據知名國際資安廠商 Cyren 自全球 50 萬個收集點統計的資料,偽造通知欲騙取帳號密碼的「釣魚信件」,每季以 22% 的成長率增加,更驚人的是,夾帶惡意程式的電子郵件,每季正以 59% 的速率快速成長、散播到世界各地。Email 仍是多數人在商務及公務上主要的溝通管道,因為它具有發展悠久、世界共通的格式,所有裝置、所有主機都充份支援,加上既有的工作流程及組織文化都已建立,一時之間並不會被其它通訊方式取代。尤其是重要資訊,溝通時,總是會以 Email 為正式的提供管道。也因此在躲在暗處的駭客及敵對的政府間,總是以「滲入信箱」為獲取情報或牟得不法利益的重要手段。
各國政府,自然是對資訊安全最為敏感的單位,近年面臨前所未有的郵件安全威脅,也紛紛開始應對。以日本政府為例,自 2017 年起,地方政府機關導入「郵件無害化」:所有由外寄至的信件,不能直接進入政府內部而需要經過特殊機制處理過所有可能有害的內容如:JavaScript、HTML 及所有網址,每一個附檔也一律轉為純文字或圖片方式顯示,徹底避免使用者誤觸或無意間啟動惡意程式。如此嚴格的規定,甚至犧牲了原本 Email 可容納多媒體格式及附檔的方便性,以換取絕對的安全,由此可見日本政府對電郵資安嚴陣以對的態度。
台灣的各政府單位也十分積極因應來自網路的資安威脅,以教育部為例,日前已行文要求各單位及所轄學校,除依據「教育體系資通安全暨個人資料管理規範」訂定資安管理辦法之外,並應盤點其郵件服務作業與管理現況回報。該項要求即是以目前最常見的郵件資安問題為出發點,提醒各單位重視幾項要點,有效地先就重點項目提升資安防禦等級。
網擎資訊除了肩負郵件防護系統研發原廠的責任之外,也同時營運政府郵件雲 (EaaS, Email as a Service) 與教育部校園雲端電子郵件,連同台灣與日本的企業郵件信箱服務合併計算,共需要保護超過數百萬的信箱帳戶,因此參考各國政府單位近期的規範,以及網擎以高資安標準提供雲端信箱的經驗,整理以下電子郵件相關的防禦對策分享給讀者:
(1)保護帳號避免被盜用是首要任務,且人人有責:
目前資訊安全最大的問題就是攻擊方與防禦方的實力差異太大,這不是說資安廠商沒有專業、沒有機制能防止駭客攻擊,而是因為很多攻擊其實發生在每個帳號、也就是終端使用者身上。雙方實力的概況,就如同脆弱的平民對上神出鬼沒的忍者。由於 Email 是溝通的工具,總不能要平民都不出城、都不對外溝通,因此防禦格外困難。如同所有網路服務,帳號保護就是電郵資安的第一步,相關的機制其實已準備俱足,只要終端使用者配合使用即能大幅提高資安等級,例如:應用「圖形驗證」及「虛擬鍵盤」功能防止密碼被側錄,並定時檢查密碼強度是否足夠。尤其是系統管理者或持有敏感資料的帳號,登入時應要求使用「雙重認證」也就是「多因子」或「One-Time Password 」的方式,以確保只有帳號擁有者能登入存取。最根本更應從組織政策面就規定密碼強度及更換頻率,並提供充份的教育訓練、讓每位使用者具有資安意識之後,定期稽核確保所有人都重視並執行好保護自己帳號的責任。
(2)制定規範後,啟動對應的違常監控及警示機制:
很多好的規定,最後若不能落實到每一處,對資安而言就是不及格;因為整體的資安防禦效果,只會被最脆弱的一環拉低。因此,除了制定規範很重要之外,也應該建立自動稽查異常、不符規定的警示機制。「監控」的機制除了能確保資安政策落實之外,更重要的是能縮短資安事件發生後的反應速度。比如說當帳號突然自異常的地區登入,系統即時發出通知,就可以立刻處理盜用狀況、減少損失。定期清查自動轉寄、管理者帳號等清單,並在其異動時發出通知,也能提早掌握可能的資安狀況,避免事件損害範圍擴大。「監控」其實是資安控制措施中普遍有效的最後防線。
(3)全面請用戶改採加密連線,機密資料更應額外加密:
加密已是現代的基礎設施,管理者應盤點組織內使用的各系統連線狀況,重要的網路服務,即使位於內網,也都應改採HTTPS 連線,以避免駭客獲取內網少數主機的控制權後,進一步側錄到更多機敏資訊及帳號密碼。電子郵件系統在 Webmail 或 SMTP、POP3 及 IMAP4 連線上,都可以在主機端設定好 TLS 加密環境,並要求所有用戶修改設定強制以加密方式連線。另外,如同在公共場合不應討論機密資訊,當網路世界已危機四伏時,使用加密機制保護重要資訊應納入基本規範。應教育使用者,每當寄送較機密的資訊或個人資料時,應主動將附檔加密,並以其它管道傳遞密碼,避免信件落入他人手中時洩密。
(4)部署多面向的偵測機制,包括病毒、惡意檔案與 APT:
在郵件資安議題中,如前所述,應先建立「政策」讓管理者有準備方向、也給使用者明確的規範。但也有些重要的「系統機制」是即使沒有政策規範,也一定要優先考慮導入的,那就是各種偵測及防禦機制。不僅是沙箱 (Sandbox),也包括病毒偵測、廣告信防制 (Anti-SPAM)、與附檔無害化…等機制,這些組合起來才能儘可能降低漏判惡意內容及APT攻擊的機率。這些由專業廠商日夜打造的城牆,將會是保護手無寸鐵的平民免於威脅的基本設施。除了部署不同過濾機制以攔阻不同類型之威脅外,更應注意時常更新各過濾系統至最新版,才能讓防禦機制的效果充份發揮。
(5)完整保存信件收發軌跡記錄並備份信件:
保存記錄不僅用於定時確認是否有異常狀況,當有需要於事後追溯資安事件時,更是必要的資料。資安防護若有百密一疏,事先定期備份、歸檔所有重要的知識資產如電子郵件,將可確保資料能復原、組織的業務能繼續運作。
(6)導入資訊安全管理制度 (ISMS):
不論是委外給通過 ISO27001 國際 ISMS 驗證的單位管理電子郵件系統,或是組織自行施行導入,兼顧所有資安面向的ISMS 將是能長久、持續提升組織每個層面之資訊安全的治本作法。ISMS 當中涵蓋資訊安全所有應注意的內容,包括:安全政策、資產、風險、事故管理、營運持續、內外部人力與組織、設備與環境安全、資訊系統、通訊、存取控制以及法規遵循。藉由 ISMS 完整的框架以及 ISO27000 系列所提供的安全控制措施建議、實作典範等內容,組織才能全面地提升資訊安全。例如有關風險管理及資訊系統的建議中,即會提到應定期以弱點掃描等技術,驗證系統安全性並依結果修補;因為軟體及作業系統不免會有瑕疵,有些是因為硬體效能進步而讓過往機制顯得不夠安全。定時使用最新的驗證或掃描工具檢測並修正漏洞,便能減少駭客能利用的空隙。
以上各項對策,分屬於政策、組織流程以及機制面,不論何者,都需要組織投入人力、物力,才能即時因應並長期關注、持續改善資訊安全。尤其多數的系統機制都來自於外部廠商,在資安議題上,廠商是否投入足夠的決心和資源,協助客戶抵禦最新的資安威脅,各廠商的彈性、配合度,都是郵件系統管理者與組織管理階層能否達成資安防禦目標的重要因素。有些國外廠商可能不受本地法規限制,或甚至部分教育或政府組織採用廠商的免費服務,便無法要求廠商提供諸如調閱記錄、資安問題的諮詢,更遑論配合組織需求去調整其系統機制,這都可能是潛在的資安風險。公務、商務用的信箱,若選擇委外給值得信任的雲端服務,因專業廠商已有豐富的攻防經驗並配置大量資源不斷快速因應,同時又承諾可以提供客戶諮詢、調閱以及依據需求調整機制的彈性,將能提供用戶足夠的安全,這可能也是快速提升組織資安的作法之一。