6 月 15 日，Coremail 聯(lián)合北京鈦星數(shù)安科技有限公司舉辦【HVV 經(jīng)驗分享與重保整體解決方案發(fā)布】直播分享會。直播會上 Coremail 安全團隊和鈦星數(shù)安的劉平平老師為大家?guī)碇乇r期的防御實戰(zhàn)經(jīng)驗，幫助企業(yè)充分做好重保的安全準(zhǔn)備工作，安穩(wěn)度過重保時期。

在面對多樣化的攻擊手段、持續(xù)化的攻擊行為、劇增化的攻擊危害，各行業(yè)應(yīng)該如何應(yīng)對重保大考？

重保下的郵件攻防場景（含 HVV 加減分事項）

Coremail 信息安全專家雷燦強在本次直播分享會上為大家分享了 HVV 行動概述、郵件系統(tǒng)攻擊場景和 Coremail 郵件安全措施和安全防護體系這三個方面。

(資料圖)

重保期間防守方能夠得分的方面一般為監(jiān)測發(fā)現(xiàn)，應(yīng)急處置和協(xié)助處置與追蹤溯源。防守方扣分是根據(jù)攻擊者攻破防守方郵件系統(tǒng)程度進行扣分。當(dāng)防守方發(fā)現(xiàn)攻擊事件時，及時提供具有邏輯性和必要證明的攻擊報告，也可以作為防守方的加分事項。

郵件服務(wù)器是承載信息最豐富的服務(wù)器資源，因此郵件服務(wù)器是黑客向內(nèi)網(wǎng)滲透的第一攻擊目標(biāo)，也是 HVV 行動中攻擊方的攻擊對象。

黑客攻擊郵件服務(wù)器主要三大手法有暴力破解弱密碼、釣魚病毒郵件和郵件系統(tǒng)未進行加固的歷史漏洞，這都會成為黑客攻擊郵件服務(wù)器的著手點。

針對上述三種攻擊手法，企業(yè)應(yīng)該在重保期間進行重點防護。在賬號安全上，建議在重保期間臨時開啟客戶端專用密碼 / 二次驗證，或在內(nèi)部進行一次強度較大的密碼整改活動，關(guān)注信任設(shè)備 / 客戶端專用密碼有無異常新增，信任設(shè)備是否為自身常用設(shè)備。在釣魚、惡意郵件防護上，應(yīng)當(dāng)將正在使用的反垃圾模塊的級別調(diào)整至最高。在系統(tǒng)安全上，應(yīng)及時聯(lián)系 Coremail 售后團隊進行系統(tǒng)安全巡檢，并安裝最新的補丁包。

Coremail 特別提醒大家，今年還應(yīng)該重點關(guān)注谷歌新發(fā)布的域名以及針對運維人員的微信釣魚手法。謹(jǐn)防釣魚，不應(yīng)聽信網(wǎng)絡(luò)謠言，如涉及安全問題應(yīng)關(guān)注官方公告或聯(lián)系官方售后。關(guān)于重保下的郵件攻防場景的詳細講解，請上 Coremail 管理員社區(qū)觀看直播回放視頻進行了解。

迎戰(zhàn) HVV，Coremail 重保整體解決方案為您保駕護航

Coremail 高級安全解決方案專家劉騫針對前面提到的黑客攻擊郵件服務(wù)器的三種攻擊手法，制定了針對 HVV 重保的郵件安全整體解決方案。

01、漏洞利用

1、掃描和嗅探防范

攻擊者在攻擊前期進行信息收集時會利用常規(guī)的 web 攻擊掃描，對 webmail 進行掃描，wmserver 會產(chǎn)生大量的日志。之前是通過人工手段對日志進行分析和判斷，這種手段耗時且效率低?，F(xiàn)在日志被做成一個系統(tǒng)界面，監(jiān)控、分析、防護和追溯自動化，方便管理員發(fā)現(xiàn)掃描和嗅探行為，進行反向溯源。

2、已知（Nday）漏洞利用防范

已經(jīng)升級郵件系統(tǒng)版本、更新 Coremail 提供的 CV1.7 補丁包的企業(yè)，Nday 漏洞已經(jīng)被修復(fù)了。對于 Nday 漏洞的攻擊，可以使用安全管理中心 SMC2 輸出對應(yīng)的日志分析，識別歷史漏洞利用行為、攔截、記錄、追溯。

3、未知（0day）漏洞利用防范

對于未知漏洞利用攻擊手法是目前是無法進行監(jiān)控，Coremail 與北京鈦星數(shù)安科技有限公司進行安全聯(lián)動，采用鈦星數(shù)安的安全產(chǎn)品補充完善我們的重保防護方案，對 0day 漏洞利用攻擊進行防范。

4、郵件服務(wù)器行為監(jiān)控

前面介紹的防護手段是基于攻擊成功前就被攔截告警。假設(shè)服務(wù)器已經(jīng)被攻擊，Coremail 重保防護方案可以監(jiān)控到郵件服務(wù)器的異常行為，并進行及時告警，收到告警后對訪問權(quán)限進行處置，形成相應(yīng)的應(yīng)急處置報告。

02、郵件釣魚

1、附件釣魚（加密壓縮）

攻擊者常使用加密壓縮過的惡意程序，以釣魚郵件的形式進行傳播。歷年重保期間，我們受到客戶反饋的釣魚郵件案例基本是加密附件釣魚。

攻擊者經(jīng)常采用該方式的原因有兩個。

第一，惡意程序經(jīng)過加密壓縮后，可以繞過反病毒引擎在靜態(tài)特征上的查殺，動態(tài)查殺也很難檢查出來。以往是靠反垃圾特征將其歸為垃圾郵件并進行攔截，今年 Coremail 重保整體解決方案增加了加密附件監(jiān)測模塊，由本地的郵件安全網(wǎng)關(guān)進行實現(xiàn)。

第二，惡意程序傳播成功后，可作為突破口實行橫向滲透擴大戰(zhàn)果。人是網(wǎng)絡(luò)安全防護最薄弱的一環(huán)，容易被攻擊者作為突破口。

2、鏈接釣魚（常規(guī)方案和增強方案）

重保期間，攻擊者會采用常規(guī)的鏈接型釣魚郵件形式進行釣魚，目的是為了獲取到用戶賬號密碼和誘導(dǎo)用戶到專門的網(wǎng)站下載惡意附件進行橫向滲透。對此，Coremail 有兩種防護解決方案。

第一種是常規(guī)解決方案，通過對鏈接進行標(biāo)記，放行已知的安全鏈接，攔截被威脅情報庫標(biāo)記為惡意鏈接的鏈接，對未知鏈接進行提醒記錄以及二次檢測。

第二種是增強解決方案，放行被威脅情報庫標(biāo)記為白名單的安全鏈接，攔截被威脅情報庫標(biāo)記為惡意鏈接的鏈接，對未知鏈接進行遠程瀏覽器隔離，用戶如果想訪問未知鏈接，就會跳轉(zhuǎn)至遠程瀏覽器進行訪問，遠程瀏覽器會限制用戶在未知鏈接操作的權(quán)限。

03、賬號盜取和潛伏

1、暴力破解

重保期間，郵箱每天都會遭遇多次暴力破解，對于暴力破解最快最有效的解決方案是開啟客戶端專用密碼，間接防護方案為修改強密碼，使用防暴衛(wèi)士 2.0 監(jiān)控賬號狀態(tài)，封禁可疑的登錄 IP、風(fēng)險標(biāo)記，進行全網(wǎng)聯(lián)動。

2、異常賬號處置

作為云端模塊的防暴衛(wèi)士 2.0，可對異常賬號進行監(jiān)控，對異常賬號的處置還需管理員手動進行。而 SMC2 部署在本地，比部署在云端的防暴衛(wèi)士具有更高的賬號處置權(quán)限，SMC2 檢測到異常賬號后，會對異常賬號進行自動鎖定。

04、重保防護方案總結(jié)

重保期間需要防護的重點為漏洞防護、郵件釣魚（惡意附件）、郵件釣魚（惡意鏈接）、賬號盜取，企業(yè)需針對這 4 個重點進行安全防護，利用 SMC2 進行日志自動化監(jiān)控，自動生成對應(yīng)的界面，方便安全專家對日志進行分析獲取關(guān)鍵信息，實現(xiàn)反向溯源。

威脅隔離技術(shù)筑起郵件系統(tǒng)安全屏障

本次【HVV 經(jīng)驗分享與重保整體解決方案發(fā)布】直播分享會上，北京鈦星數(shù)安科技有限公司技術(shù)經(jīng)理劉平平為大家分享《威脅隔離技術(shù)筑起郵件系統(tǒng)安全屏障》。

威脅隔離技術(shù)原理是以 " 隔離技術(shù) " 為核心，樹立 " 預(yù)防 " 的安全理念，幫助客戶建立有效的安全預(yù)防體系以應(yīng)對復(fù)雜的網(wǎng)絡(luò)攻擊。

在 Webmail 系統(tǒng)隔離防護中，基于 " 虛擬瀏覽器技術(shù) "，在用戶端與 Webmail 服務(wù)器之間，構(gòu)建一個安全隔離層，隱藏 Web 服務(wù)器攻擊面信息（比如隱藏網(wǎng)頁源代碼、API 的接口、第三方框架等信息，隔離暴力破解、" 撞庫攻擊 "、自動化掃描隔離以及 Web 攻擊安全風(fēng)險），隔離自動化攻擊和手工滲透，保障服務(wù)器的安全。

在郵件鏈接隔離防護方面，通過將惡意鏈接、腳本和終端設(shè)備隔離開，本地瀏覽器不執(zhí)行任意腳本代碼和插件，用戶端通過虛擬瀏覽器訪問互聯(lián)網(wǎng)，阻斷釣魚鏈接、惡意鏈接、風(fēng)險文檔等威脅。

了解更多

關(guān)于本次直播更多精彩內(nèi)容和資料，請上 Coremail 管理員社區(qū)進行觀看下載。

社區(qū)還有郵件安全產(chǎn)品交流貼和 2023 重保 HVV 行動資料，歡迎各位老客戶上社區(qū)進行交流討論和資料領(lǐng)?。?/p>

各位新客戶可以關(guān)注【CACTER 郵件安全】公眾號獲取更多郵件安全干貨。

關(guān)鍵詞：