- 对本书的赞誉
- 序一
- 序二
- 序三
- 前言
- 第一部分 安全架构
- 第 1 章 企业信息安全建设简介
- 第 2 章 金融行业的信息安全
- 第 3 章 安全规划
- 第 4 章 内控合规管理
- 第 5 章 安全团队建设
- 第 6 章 安全培训
- 第 7 章 外包安全管理
- 第 8 章 安全考核
- 第 9 章 安全认证
- 第 10 章 安全预算、总结与汇报
- 第二部分 安全技术实战
- 第 11 章 互联网应用安全
- 第 12 章 移动应用安全
- 第 13 章 企业内网安全
- 第 14 章 数据安全
- 第 15 章 业务安全
- 第 16 章 邮件安全
- 第 17 章 活动目录安全
- 第 18 章 安全热点解决方案
- 第 19 章 安全检测
- 第 20 章 安全运营
- 第 21 章 安全运营中心
- 第 22 章 安全资产管理和矩阵式监控
- 第 23 章 应急响应
- 第 24 章 安全趋势和安全从业者的未来
- 附录
16.3 出站安全防护
站在恶意内部人员的视角,他需要将一份敏感资料拿走。这资料可能是某某系统的设计文档及源代码,也可能是从生产系统导出来的客户资料,也可能是内部的规章制度,也可能是内部员工通讯录等等,总之就是想要拿出去,而邮件外发是个很好的通道。
1.邮件外发审计与拦截
有敏感数据保护要求的企业会针对邮件外发启用 DLP 进行拦截或检测,有些企业做得更加严格,外发邮件权限还需要审批,默认不能外发邮件。
邮件外发检测,一种是基于流量的旁路检测,即将邮件流量镜像到 DLP 设备,DLP 根据相应的策略对邮件流量进行分析,此方案最大的好处是不改变网络结构,但遇到 SMTP 启用 TLS 加密就不行了。还有一种是将邮件路由到 MTA,在 MTA 上进行检测,然后再发出去。更多关于邮件 DLP 的相关技术,我们在第 14 章已经讲过,就不再赘述。
在实际运营过程中,需要关注的是敏感邮件外发的检测策略是否都能生效?是否有自动化的验证以保障有效性?敏感邮件拦截后的处理流程是走审批还是外发加密处理?DLP 事件处置如何跟进,怎么闭环?这些问题都需要细细考虑,由于各企业内部组织结构、管理方式都不一样,也没有一个统一的标准。图 16-23 是针对 DLP 模块的自动化验证事件。
图 16-23 自动化验证事件
自动化验证事件由程序自动发起,模拟发送能触发不同规则的邮件,查看邮件网关 DLP 功能是否根据所设定的正常起到拦截、审计、加密外发等功能。
而 DLP 事件的跟进、调查和处置,更多是融合了流程管理,最终目的是使事件收敛,使已有事件形成闭环。
2.TLS 通道加密
SMTP 在网络上是明文传输的,不怀好意的人可以在网络上截获并发现邮件中的秘密。主流的方案是启用 TLS 对通道进行加密,比如一些境外组织(如 VISA)会强制求邮件走 TLS 通道加密。现在主流的邮件网关都支持 TLS 通道加密了,只是在实际使用过程中,各家的方案不一样。有的需要指定域名路由;有的可以做到自适应—对方邮件服务器如果支持 TLS 则走 TLS 通道,如果不支持 TLS 则走明文,这的确不失为一个好办法。
3.禁止自动转发
邮件系统通常都提供了自动转发功能,员工为了工作方便,可能会将自己企业邮箱收到的邮件自动转发到外网邮箱(例如 QQ 邮箱)。
以常用的 exchange 为例,如果用户配置了自动转发而且没有勾选“Keep a copy of forwarded messages”之类的选项,邮件将直接转发出去,本地邮件系统是不会留档的。
为防止敏感信息泄露,我们需要禁止自动转发功能,并对其重点监控。如何禁止,微软博客上有详细的文章供读者参考 [1] 。图 16-24 展示了在 Exchange 管理控制台上的设置界面。
图 16-24 Exchange 管理控制台设置禁用自动转发
怎么确认禁止自动转发生效了?除了测试之外,还建议在网络上对 SMTP 流量进行检查,看数据包里是否包含 X-Auto-Forward 特征字样,如果有就表示还存在漏网之鱼。
4.禁用 ActiveSync 协议
移动设备自带客户端收取邮件也很普遍,但风险也很大。一方面,通过这种方式收取邮件,会因邮件系统后台记录不完善导致事后很难追查;另一方面,邮件附件直接存在设备上,基本上处于完全失控状态。
移动设备自带邮件客户端基本都要利用 ActiveSync 协议,建议有条件的企业可以自行开发 APP 对接邮件系统,这样就可以直接禁用 ActiveSync 协议了。禁用默认协议,在服务级别禁用比较省事,但有时候会遇到一些特殊场景,比如海外分支机构要按当地监管要求不允许使用总部统一开发的 APP,需要视情况而定,可以针对性地按用户进行限制,如图 16-25 所示。
图 16-25 用户级别限制 ActiveSync 协议
5.自己发给自己或存草稿
禁止了自动转发和 ActiveSync 协议,对邮件外发做了 DLP 检测与拦截,但还不够。因为聪明的员工会利用自己发给自己、存草稿等功能,在公司将文档发到邮件系统,在家通过邮件系统下载,绕过 DLP 审查。
针对此类问题,我们建议的方案是:对邮件附件进行大小限制,防止大批量泄密;对自己发给自己然后在公司外部下载的行为进行重点监控,必要时将文件提取分析。
6.出站防护体系小结
笔者建议的邮件出站防护技术体系是:首先,在邮件系统上进行配置,将一些诸如自动转发、ActiveSync 协议等禁用;其次,通过邮件网关开启 DLP 功能,对外发邮件进行拦截或审计;最后,通过对网络流量进行检测以确保策略生效。在运营上应重点关注 DLP 策略的有效性、事件处置的闭环。
[1] 链接:https://blogs.technet.microsoft.com/exovoice/2017/12/07/disable-automatic-forwarding-in-office-365-and-exchange-server-to-prevent-information-leakage/。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论