邮件安全:从 安全网关 到 基于图建模的数据运营
对企业安全建设来说,人是最大的安全威胁因素,系统再牢固、资产再收缩,也架不住内部员工被社工、被骗后轻而易举的进行破坏。
而社工的主要方式,就是钓鱼邮件了,今年早期搜狐公司的事情大家都听说过,9月份中科大做了一次模拟钓鱼邮件的演练,近10%的人在跳转的钓鱼页面中提交了自己的个人信息。最近,钓鱼邮件攻击似乎又来一波高潮,不断升级的手法、标题、套路。
钓鱼 和 0-day,是每年大型攻防演练中最令人闻风丧胆的事情。钓鱼的风险点取决于内部员工的安全意识水平,这谁能吃的准呢,况且攻击者的套路还在不断变异。中招的人可能是财务,可能是行政,也可能是手握重要权限的系统管理员。
本文结合笔者经验,聊一聊邮件安全体系的建设,从安全设备、暴露面收缩和安全配置、基于数据的安全运营,到安全管理: 一、邮件攻击的主要套路
二、邮件安全建设
1. 安全设备
(1)邮件安全网关
(2)沙箱
(3)流量和主机安全设备
2. 安全配置和暴露面收缩
(1)安全配置
(2)暴露面收缩
3. 数据驱动的安全运营
(1)分析环境
(2)基本分析
(3)一网打尽——聚类分析挖掘攻击团伙
(4)顺藤摸瓜——用黑标签传播出隐藏的坏人
(5)专家运营和协同处置
4. 安全管理:制度、意识培训和钓鱼邮件演练
(1)制度
(2)安全培训
(3)钓鱼邮件演练
一、邮件攻击的主要套路
在现在的邮件安全对抗中,攻击者的攻击手法是不断升级,我们先来盘一盘钓鱼套路:
- 直接发、大量发,钓不到大鱼,邮件网关和沙箱基本直接滤掉;
- 批量注册一些邮箱地址,变换地址的发,由于具有明显的批量性特点,基本也会被滤掉;
- 自己搭建一台服务器,安装个开源的钓鱼邮件框架,然后仿冒域名大量发送,因为邮箱的信誉度低,加上有些邮件头中都会带上钓鱼框架的信息,现在也比较难成功了。 重点来了——
- 逐步渗透。通过以上各种办法,先拿下一些邮件安全基础比较薄弱的企业邮箱,一般是中小制造业、学校居多。拿下后,用他们的地址给目标公司的员工群发钓鱼邮件,但不会发太多,通常是先钓个人密码等信息,目标公司也不会是一家,邮件内容尽可能避开安全策略。 一个正常的、可信的邮箱地址,给公司员工发邮件,内容再做一些伪装,成功的概率会提高很多,哪怕有一份钓鱼成功、获取了个人密码,那么再用这个地址给内部所有员工群发,基本畅行无阻。是植入病毒,还是骗取钱财,亦或是拿下权限,只是时间问题了。
二、邮件安全建设
如何去构建防御体系,让狡猾的邮件攻击者没有可趁之机呢?以笔者从业经验来看,大致有四个环节:
安全设备 - 暴露面收缩和安全配置 - 数据驱动的安全运营 - 安全意识培训。
其中安全设备是第一道硬门,由于设备大多数是采购的,好坏依赖厂商的能力,而安全意识培训是长期的事情。真正可玩又可控、也决定企业安全防御能力高低的,一是暴露面收缩和安全配置,二是是安全运营环节,在基础措施比较薄弱、人员意识水平又不高的情况下,通过数据分析和运营机制,可以有效弥补。
下面分别说说,其中 重点是 数据驱动的安全运营。
- 安全设备
邮件安全的专用设备一般有网关和沙箱。
(1)邮件安全网关
邮件安全网关通过其反垃圾和反病毒引擎对邮件进行一道过滤,此外邮件网关还会根据发件方的IP和地址信誉进行分析,对SPF、DKIM、DMARC等配置进行监测。
- SPF:发送方策略框架(Sender Policy Framework),主要是为了防止随意伪造发件人。SPF 是一个记录,它的内容写在DNS的txt类型里面。当接受了一份邮件,接收方会把 发送邮件的服务器 IP 与 SPF 记录内的 IP 地址 进行对比,如果不匹配,则认为是伪造邮件。 spf的记录格式是,CMD中的查询语句: nslookup -q=txt 要查询的地址,比如查询163的SPF:
注意返回中的 v-spf1 include:xxxx -all,xxx 为记录中的发件服务器地址,-all 表示硬拒绝,邮件直接被丢弃或者隔离,~all表示软拒绝,它会标记IP非法,但不采取强硬措施。
- DKIM:加密邮件验证系统(DomainKeys Identified Mail),它使用私钥将电子邮件加密,并在接受时用公钥进行解密,以验证电子邮件是否由授权服务器生成,且中间没有被篡改。DKIM的工作原理如下图所示:
(网图,来源:https://www.altn.com.cn/5730.html)
- DMARC:基于域的消息认证,报告和一致性(Domain-based Message Authentication, Reporting and Conformance),是一种邮件认证协议。它是根据SPF或DKIM来做验证(所以开启DMARC必须要开启SPF或DKIM),验证策略为:SPF 的 Return-Path 或者 DKIM 的 DKIM-Signature: d= 二者至少需有其一与 From 头对应。DMARC还可以设置当有人仿造了发件地址的时候,将邮件的发送结果发送给指定的邮箱。
(2)沙箱
沙箱是对威胁更深入的分析,它基于机器学习、全文语义、威胁情报、杀毒引擎等对可疑邮件的附件、链接做更加深入的扫描和判断。
(3)流量和主机安全设备
前面两个设备一般是串联在邮件服务器前面的,需要实时对邮件的安全性进行风险决策,这绝对它不能做更丰富、耗时更长的分析。因此,有些公司会对邮件的流量旁路一份下来,结合EDR做多维度更丰富的分析和排查,比如可疑的出站外联捕获,加密通信的应用和主机排查,以及敏感数据的外发等。
2. 安全配置和暴露面收缩
安全设备怼上之后,下面就是完善安全配置,以及尽可能收缩邮件暴露面。
(1)安全配置
这包括前面所说的SPF、DKIM、DMARC设置(有些要依赖邮件系统是否支持),以及发、收行为做安全设置,包括:
关闭匿名发送功能;对登录和收发的频率做限制;网关上的安全规则,在不影响业务的情况下能开启尽量开启,等等。
(2)暴露面收缩
此外,邮件的服务尽可能减少对外暴露,比如web端登录服务、外部通过SMTP、POP3、IMAP直接登录服务。应将关闭这些服务对外的暴露,如果怕影响到业务,可以接入到 VPN 或 零信任 后面。这样,即使攻击者拿到了员工的邮件账号,也没有地方登录。
此外,邮件系统和客户端自身的漏洞也要特别关注。
3. 数据驱动的安全运营
碓完安全设备,开启了检测规则,做完安全配置,也收缩了暴露面,至此,能把大部分威胁邮件过滤掉,也可以避免大规模的沦陷,因为至少给我们这个环节的工作争取了时间——“安全运营”。
但回顾前面的攻击套路,攻击者会先拿下一个正常的企业邮件,通过文本变换、内容混淆、附件加密/加壳/远程加载宏等方式,还是有极可能绕过设备和规则检测。尽管网关和沙箱每天可以帮我们过滤大量的威胁邮件,但只要有一份漏过投递成功,那就超出了我们的控制。
所以安全运营工作的目的就是利用已知的信息,通过数据分析挖掘,找出漏过的威胁邮件,并及时进行处置。
(1)分析环境
安全运营的首先前提,各安全设备上的数据已经经过清洗,接入到了一个运营分析平台,这个平台上可以通过SQL、Python对数据做一些分析。
如果企业内有成熟的日志采集机制、日志分析中心,或者数据中台(至少包括 数据集市+数据分析平台),那么可以直接做分析。如果没有,其实搭建一个分析平台也挺简单。参考:
- 首先有一个ES,将相关日志发送到ES中(现在的安全设备应该都支持日志的发送),然后在内网找一台服务器搭建 Python 分析环境,与ES网络相通。
- Python 的 Elasticsearch 库,支持读取ES中一定时间范围内某个索引的数据。在 Python 中可以对数据进行各种处理、清洗、分析、建模,以及可视化展示。
- 分析完了之后,也再通过 Elasticsearch 库送回 ES 中的专门的索引中,这个索引可以专门存放分析之后的数据,包括一些指标、趋势值、挖掘出来的高危告警等,Kibana 对这个索引可以做一些dashboard或者Canvas展示。
- 对以上 Python 程序做定时任务,每天处理。 一个简易的 ELK + Python 分析环境搭建的具体指南见 这里 。
(2)基本分析
包括,
- 投递量最大的发件地址Top10:快速扫一眼有没有大规模的恶意邮件;
- 投递量最大的邮件主题Top10,以及每一个主题涉及的发件地址数:看是否有利用大量地址聚集性的攻击;
- 过去7天威胁邮件趋势:判断近期的攻击趋势;
- 近期主要风险邮件来源地:判断主要攻击来源;
- 被投递威胁邮件最多的收件地址:审查被频繁攻击的内部邮件,进行特殊关注和审计;
- 特殊关注邮件地址的收、发情况:历史上发威胁邮件较多(但又不能封)的邮箱后缀的近期投递情况,以及历史上经常被攻击的或有中招的内部邮箱的近期收件情况;
- ......
这些基本分析可以直接在kibana里面通过ES SQL写成canvas的表,作为每日风险面板的一部分。
(3)一网打尽——聚类分析挖掘攻击团伙
在 从 AI 到 信息安全 里面说过,攻击者一个特点是 变,为了不被规则稽核,攻击者对邮件的内容、标题做各种变换,让网关和沙箱认为这不是同一份邮件。
推荐做的一个分析,是 T+1 或者 H+1,对投递成功的邮件进行聚类分析,找出一些批量性、聚集性的恶意邮件,分析流程参考:
- 分析维度应主要是标题,其他可以加上发件地址后缀
- 数据是文本格式,需要进行一些NLP处理,包括分词、合并、向量化
- 选择聚类分析算法,推荐密度聚类的算法(不要用K-means这种方法,需要指定类数),比如 DBSCAN,相似度可以用余弦相似度,然后开始聚类。 DBSCAN+余弦相似度,是简单靠谱的方法,结果也非常好,但问题是性能比较低,如果文本量大,耗时会非常久。此时可以考虑用simhash对文本进行降维量化,然后用 hamming distance 来做相似度,聚类还是用DBSCAN。
一个真实的聚类结果如下,因为相似性,这些主题的邮件被聚在了一起。
一个真实的邮件主题聚类结果
实战中,被聚出来的类会非常的多,而且绝大部分是正常的邮件,为了加快人工研判的效率,快速找出异常的类簇,可以结合一些统计指标。比如:
类簇中发件地址历史上被拦截的次数、历史上被判断为风险邮件的数量、涉及的发件地址数等。这些可以帮助判断这个类中邮件的威胁性。
(4)顺藤摸瓜——用黑标签传播出隐藏的坏人
另一个找出漏过的威胁邮件的思路,是充分利用已知的威胁邮件,给他们打上恶意的标签,然后用恶意邮件的发件地址、发件地址域名、发件IP、主题等作为介质,关联出这些介质的其他邮件,重点是已经投递成功的邮件。
一个方法是简单的关联分析,通过 SQL 不断的用去 join,但是简单关联容易把很多正常邮件关联进来,比如攻击者喜欢用的某邮箱后缀 @xxxx,可能正常人也经常用。
另外还可以考虑基于图的 标签传播算法 LPA(Label Propagation Algorithm),它从已知标签出发,通过一些介质和设定的权重,按照一定算法去不断传播、关联,直到形成一个比较合理的群组。
它的好处是不是简单粗暴的join,而是按照一定的策略去传播,所得到的群组更加自然合理。
在邮件安全这个场景,可以用的算法和模型很多,因为 ① 它有足够的训练样本,② 有丰富的多维变量(发件地址、域名、IP、时间行为、文本等),③ 也有上游的网关和沙箱给我们输送黑白标签。因此我们可以还可以用有监督的深度学习去,用基于图的最大连通图挖掘、Fast Unfolding等。
上面的聚类、最大连通图挖掘、标签传播算法,是笔者在邮件安全或相似场景使用过,效果不错的方法。
(5)专家运营和协同处置
以上分析结果,可以汇总在一个面板中,比如kibana 或者 grafana,安全运营人员根据每日面板的高危推送,来进行跟进处理。参照以上分析,一个丰富的运营面板大概是这样的:
对于研判为漏过的威胁邮件,需要及时与邮件管理员进行联动,对尚未读取的邮件进行撤回。如果员工已经读取威胁邮件,则要第一时间与其联系,询问是否打开链接、附件,是否有异常,对有进一步高危操作的员工,应该及时进行杀毒、隔离、改密。
按照以上流程,可以以较快时效、较广覆盖的发现漏过的风险邮件,大部分可以在第一时间,未读的状态下及时处理掉。
4. 安全管理:制度、意识培训和钓鱼邮件演练
在前面“暴露面收缩”中,其实漏了一个最大的暴露面,那就是——人。人始终是最大的不确定项,因此,除了设备、系统的安全管理、数据的安全运营外,还需要搭配安全管理手段。
(1)制度
安全的相关制度应该不断完善,这使得后续的安全管理手段“师出有名”。
(2)培训
应该组织定期的和专项的安全意识培训。定期的通过邮件、内部公众号进行持续宣贯;专项的可以在国家安全宣传周、保密周、重保前期等进行专题宣贯,并且要在新人培训、关键岗位人员的培训中,嵌入安全意识培训。
(3)钓鱼邮件演练
没有什么比真正中过一次招更能加深印象的了,因此企业应该定期组织钓鱼邮件演练。搭配不同的主题、套路。有预算的可以选用专门的厂商,做更加定制化、更加逼真的钓鱼模拟,预算紧张也可以直接用GoFish开源钓鱼框架。
对钓鱼的结果,应该做好分析,对中招的同事进行针对性的强化培训,而且进行多轮次的培训,对结果进行追踪。