IT服務(wù)器運(yùn)維中警惕新型惡意軟件侵入郵箱

2020-04-06 21:11 作者：艾銻無(wú)限 瀏覽量：

IT服務(wù)器運(yùn)維：警惕新型惡意軟件侵入郵箱
 

如果你在使用微軟的Exchange Online，不管是獨(dú)立的產(chǎn)品還是只是Office 365租戶的一部分功能，任何入站的郵件都會(huì)經(jīng)過(guò)Exchange Online Protection的過(guò)濾。EOP是微軟在云端部署的大量前端服務(wù)器用以攔截并移除垃圾郵件在它們到達(dá)用戶郵箱之前。當(dāng)然使用內(nèi)部部署的Exchange企業(yè)也可以購(gòu)買EOP反垃圾郵件服務(wù)。

很早的時(shí)候就有人意識(shí)到自己的郵件有可能被惡意的植入代碼控制，從而發(fā)送到黑客的服務(wù)器上，也是打那時(shí)起，與垃圾郵件，病毒，惡意軟件的斗爭(zhēng)就從未停息過(guò)。期間著名的案例有2000年五月的“我愛(ài)你”病毒，通過(guò)各種郵件通告?zhèn)鞑ィ暦Q某人去世或者饋贈(zèng)，收件人可以得到一大筆錢。這些郵件都是從尼日利亞發(fā)出來(lái)的，所以也叫419詐騙，因?yàn)樵谀崛绽麃?19是欺詐的犯罪代碼。

近年來(lái)，盡管企業(yè)花大資金在外圍網(wǎng)絡(luò)上設(shè)置重重設(shè)卡，仍然有非常多的垃圾郵件進(jìn)入組織內(nèi)部，并且數(shù)量成增長(zhǎng)趨勢(shì)。有報(bào)告顯示全球每天垃圾郵件的數(shù)量在1千億以上，其中10億以上的垃圾郵件含惡意軟件。垃圾郵件占日常郵件的70%。

由安全公司Sophos發(fā)布的研究顯示，網(wǎng)絡(luò)的快速發(fā)展和計(jì)算機(jī)的愈加低廉也給垃圾制造者帶來(lái)了便捷，他們可以更快更大范圍地散布垃圾郵件，而由于他們有大量的肉機(jī)，我們根本找不到他們。這些垃圾商業(yè)郵件已被視為互聯(lián)網(wǎng)的污染，并且在短時(shí)間內(nèi)無(wú)法解決。

回到EOP，作為標(biāo)準(zhǔn)的反垃圾處理程序，它可以在垃圾郵件到達(dá)Office 365的邊緣網(wǎng)絡(luò)時(shí)清除之。只不過(guò)隨著公網(wǎng)上垃圾郵件的不斷增多，以及垃圾郵件制造者的不斷“進(jìn)取”以圖繞開(kāi)反垃圾郵件的策略比如EOP，所以一些垃圾郵件還是會(huì)進(jìn)入O365，我每周大約會(huì)收到3到4封這樣的郵件，然后我會(huì)把這些郵件轉(zhuǎn)發(fā)到微軟以期他們分析其特征以完善EOP的反垃圾功能。

月初微軟發(fā)布了EOP的ATP（高級(jí)威脅保護(hù)）功能。作為一項(xiàng)附加服務(wù)，ATP收取每用戶每月2美元的功能費(fèi)。ATP目前對(duì)一部分選定的O365租戶試運(yùn)行，今夏會(huì)開(kāi)放通用功能。

作為有一個(gè)龐大用戶群的平臺(tái)（O365目前估計(jì)有10,000用戶），2美元的價(jià)格會(huì)給運(yùn)營(yíng)方帶來(lái)每年240,000美元的收入。所以租戶一定想知道ATP的功能能為他們帶來(lái)什么，微軟總結(jié)了以下3點(diǎn)：

1. 更好的對(duì)歷史垃圾郵件及惡意軟件的清理。一些歷史的病毒往往很難被反病毒軟件所發(fā)現(xiàn)。每一封進(jìn)入O365的郵件都通過(guò)EOP即好幾道反垃圾和反病毒引擎的過(guò)濾，許多郵件在被認(rèn)定含有病毒或其他有害內(nèi)容時(shí)立即被丟棄，而一些可能存在安全隱患的郵件（比如含有常見(jiàn)惡意軟件的某些特征字符），由于其未匹配任何惡意軟件的簽名，EOP無(wú)法判斷郵件好還是不好，就通過(guò)一個(gè)特殊通道將其放置在一個(gè)沙盒環(huán)境中（應(yīng)該是某個(gè)Azure的虛機(jī)上），然后將其可疑內(nèi)容分解以決定其可靠性。比如說(shuō)任何含有可執(zhí)行文件附件的郵件都將被視為可疑郵件，至少需要用戶人為干預(yù)。

理論上來(lái)說(shuō)，如果用戶可以破譯出新型的威脅從而手動(dòng)刪除掉惡意軟件與借助EOP來(lái)干這件事沒(méi)有任何區(qū)別，但ATP的好處在于可以同時(shí)處理大量的郵件，并且有強(qiáng)大的自動(dòng)學(xué)習(xí)功能，可以與惡意軟件代碼”一起進(jìn)步”。需要討論的問(wèn)題就是ATP分析并處理一封可以郵件需要多長(zhǎng)時(shí)間，尤其是在高峰時(shí)間，但目前的情況是處理速度還停留在分鐘級(jí)別，未進(jìn)入秒級(jí)。如果內(nèi)容沒(méi)有問(wèn)題，ATP就會(huì)放行；如果可疑，用戶可以選擇將其阻止或者是將其惡意內(nèi)容移除后再發(fā)給用戶。這些可疑郵件即便被阻止，用戶也可以日后拿來(lái)查看分析。

2. 對(duì)惡意URL的實(shí)時(shí)保護(hù)。攻擊者有時(shí)會(huì)將惡意URL隱藏在正常的網(wǎng)址后。當(dāng)你點(diǎn)開(kāi)這些正常的網(wǎng)站鏈接后，瀏覽器實(shí)際上跳轉(zhuǎn)到一個(gè)惡意URL。這就是所謂的釣魚(yú)行為，用戶往往會(huì)被界面所欺騙而把個(gè)人重要信息（比如銀行賬號(hào)密碼）提交上去，而這些信息就落到了攻擊者的手中。ATP會(huì)檢查這些URL跳轉(zhuǎn)，然后跟公網(wǎng)上最新的URL信譽(yù)列表比較，如果信譽(yù)很低，就會(huì)阻止此郵件。

上述檢查發(fā)生在用戶閱讀這些郵件的時(shí)候，而不是在郵件到達(dá)O365時(shí)。這樣就保證了用戶在每次企圖打開(kāi)這些站點(diǎn)時(shí)，收到的提示信息是根據(jù)最新的信譽(yù)列表獲得的。

3. 報(bào)告URL跟蹤。顯然EOP會(huì)向組織管理員匯報(bào)誰(shuí)收到了惡意軟件或垃圾郵件，這些郵件的內(nèi)容是怎樣的。這些信息足以用來(lái)分析攻擊的類型和方式。只是針對(duì)某個(gè)人的還是整個(gè)組織的？哪些新型的攻擊目前正流行？等等。
 
對(duì)于像ATP這樣一項(xiàng)增值功能來(lái)說(shuō)很難定義它究竟有多大的價(jià)值，可能對(duì)于安全要求比較高的企業(yè)來(lái)說(shuō)會(huì)非常有價(jià)值.
 
 以上文章由IT外包服務(wù)商北京艾銻無(wú)限科技發(fā)展公司整理