电子邮件安全的 5 项要求

五点要求

当考虑电邮安全时

由于威胁形势不断演变，所以在现代电邮安全解决方案中，发现威胁与防御变得更加密不可分。企业必须专注于内容检测、行为异常检测和高级调查分析，以了解已经存在的威胁。他们必须了解数据的所在位置、访问和共享数据的方式，以及哪些地方的哪些用户正在使用什么类型的设备来访问和共享数据。

当今组织所需的电邮安全解决方案必须：

• 在攻击前、中、后提供全程保护

• 在不断演变的威胁形势下保持领先地位

• 保护敏感数据，并防止其脱离组织的控制

• 处理形形色色的垃圾邮件和病毒

• 在新的攻击媒介出现时做出应对

挑战

根据思科2015年度安全报告，电邮是网络攻击的头号入侵载体。*通过电子邮件发送的业务敏感数据与日俱增意味着巨大的潜在泄露风险。现

在，黑客攻击已经形成一种产业，而有针对性的攻击活动更加复杂。电邮病毒攻击和鱼叉式网络钓鱼活动正在不断增多，这些攻击利用了旨在侵入高价值数据所在数据中心的恶意软件。恶意攻击者部署的高级恶意软件可以轻松逃避时间点安全解决方案，并迅速蔓延到整个网络。群发垃圾邮件广告活动和不安全的电邮附件不再是电邮安全的唯一忧虑。电邮威胁状况包括日益复杂的复合型威胁和有针对性的攻击。通过四处搜索社交媒体网站，犯罪分子现在有计划地针对受害人搜寻信息，并利用可能与全球新闻事件相联系的个人信息和社会工程技巧发起复杂且针对性很高的攻击。原本旨在增强安全性的非集成式单点解决方案和多个管理平台只会造成漏洞，网络攻击者可以利用这些漏洞发起有针对性的恶意软件攻击（这类恶意软件可以修改自身行为，并逃避检测）。

显然，扩大的攻击面为黑客提供了便利：正如思科®安全情报和研究小组(Talos) 研究人员在思科2014年度安全报告中所指出的，“安全已不再是网络会否遭到破坏的问题了。每个网络都会在某种情况下遭到破坏。”据思科 Ta los 研究人员报告，100% 的企业网络中都可以明显发现恶意流量，这意味着所有组织都应假定自己已经受到黑客攻击。**

在当今的威胁形势下，安全边界已延伸到云端，而且数据已成为攻击的主要目标，网络基本上必定会遭到威胁。这便是为什么当今的组织需要一种具备如下功能的电邮安全解决方案。

*思科2015年度安全报告，思科，2015年1月。思科年度安全报告，思科，年月。概述

要求1：在攻击前、中、后提供全程保护员工们曾经在公司防火墙后的工作站上查收文本型电子邮件。如今他们

可以随时随地从多种设备上访问丰富的 HTML 邮件。无处不在的接入创造了新的网络入口点，模糊了过去曾经清楚分明的安全层界限。

当今的电邮安全解决方案可对整个扩展网络提供持续的监控和分析，使企业有更强的能力来阻止威胁，并在攻击前、中、后的整个过程中保护用户。当攻击不可避免地发生时，安全人员将能够更好地确定破坏的范围、控制事态、进行修复，并尽快使运营恢复正常。

要求2：在不断演变的威胁形势下保持领先地位

现代网络安全要求能够在可疑和合法网站中的恶意软件接触到用户之前将其阻止。提升工作效率的业务工具可以大幅增加用户遭遇恶意软件的可能性。潜伏的恶意软件甚至可以使合法网站成为威胁。这种环境中的网络安全必须能够进行动态信誉分析和基于行为的分析。它还必须足够精细，从而支持一些策略，既能让员工自定义地访问他们所需的网站，又能有选择性地屏蔽一些不良网站和基于 Web 的文件共享等功能。要求3：处理形形色色的垃圾邮件和病毒根据思科2015年度安全报告，网络钓鱼仍在向犯罪分子证明其作为恶意软件发送和证书窃取工具的价值，因为用户仍然受常见垃圾邮件技巧之害。

其中最新的方法是“雪靴”垃圾邮件，如此命名是因为它很像雪靴，留下的脚印很大但是很模糊，攻击者在大范围地散布大量小消息，从而避开传统防御的检测。雪靴垃圾邮件制造者会快速更改正文、链接和用于发送垃圾邮件的 IP 地址，并从不重复使用相同的组合。这种可能性似乎永无止境。这些类型的各种攻击相当成功，因为它们伪装得很好、融合了不同的技巧并不断演变。

考虑电邮安全时的五点要求

1. 在攻击前、中、后提供全程保护

2. 在不断演变的威胁形势下保持领先地位

3. 处理形形色色的垃圾邮件和病毒

4. 保护敏感数据，并防止其脱离组织的控制

5. 在新的攻击媒介出现时做出应对

虽然对垃圾邮件和病毒不存在100% 的防范，但各组织还是可以通过分层和集成多种反垃圾邮件引擎和多种防病毒引擎实现大于99% 的捕获率。紧密集成多种引擎并使它们自动、透明地协作的安全架构不仅可以提升保护等级，还可降低误报率，因为它们可以相互制衡。

此外，检查发件人 IP 地址信誉的过滤器有助于防范雪靴垃圾邮件等劫持 IP 地址段的攻击。

要求4：保护敏感数据，并防止其脱离组织的控制

思科 Ta los 的研究显示，各组织可能无法阻止所有恶意软件渗入其网络。但是，现代的电邮安全解决方案有助于降低关键数据意外或故意流出网络的几率。

组织需要能够检测、阻止并管理出站电邮风险。具有内容感知、基于策略的防数据丢失 (DLP) 和加密功能的解决方案可以提供此类保护。出站反垃圾邮件和防病毒扫描以及出站速率限制可帮助各组织防止受影响的机器或帐户出现在电邮黑名单上。

要求5：在新的攻击媒介出现时做出应对要防止数据脱离网络并落入未经授权的用户手中，各组织还需要始终了解哪些用户正在尝试从什么位置以及从何种设备获得网络的访问权限。这就需要一个高度安全的移动解决方案，可以提供用户身份和位置、设备操作系统和版本以及用户访问权限等信息。然后下一代防火墙可以基于情境执行网络访问控制。

企业应当寻找能够提供灵活部署选项的电邮安全解决方案，部署选项涵盖物理设备、虚拟设备、云和混合模式。此外，解决方案还应当能够在几乎没有中断的情况下从数百用户扩展到数千用户。如果组织高度分散且移动员工数量不断扩大，则尤其需要在业务有需求时尽快将内容和数据安全扩展到所有用户，同时充分利用现有的基础设施和 IT 资源。为什么选择思科？

为了保护数据、网络和用户，当今的组织需要一种防范威胁型电邮安全模式。它们必须能够应对所有攻击媒介的整个攻击过程，并在攻击前、中、后的整个过程中随时、持续地进行应对。通过利用思科电邮安全解决方案，各组织可以监视和控制流入和流出企业的数据。思科的高级威胁防御始于 Ta los 的工作。Talos 由一流的威胁研究人员组成，是为思科综合安全情报（CSI）生态系统提供威胁信息的主要团队，它包括思科威胁响应、情报和开发（TRIAD）、思科托管威胁防御，以及思科安全情报运营中心（SIO）。思科 CSI 可在多种安全解决方案中进行共享，并提供行业领先的保护和效力。

Talos 可调用由数十亿 Web 请求和电邮、数百万恶意软件样本和开源数据集、以及数百万网络入侵组成的无可匹敌的遥测数据集，从而创建出可全盘理解威胁的情报。这种能力转换为具有行业领先效果的思科安全解决方案。我们的安全情报云可产生“大情报”并进行信誉分析，从而在各种网络、端点、移动设备、虚拟系统、Web 和电邮中跟踪威胁。