11月23日,Coremail校园邮件安全防护交流会暨新技术应用分享直播举办。
Coremail作为国内TOP级邮件系统厂商,服务上百家高校,特邀以下重磅嘉宾参与了本次圆桌讨论。
本次圆桌会主要探讨校园典型钓鱼邮件防范与新技术在校园邮件中的应用。
高校大咖们都分享了哪些精彩内容?
下拉查看!
校园钓鱼邮件威胁探讨与防范
1、2022年校园典型钓鱼邮件
Coremail在本次圆桌会上披露了2022年校园TOP20钓鱼主题。
主要攻击方式有两种,第一是利用大量IP资源攻击;第二则是盗号外发钓鱼提高可信度。而主题也集中在“系统通知/升级”“工资补贴申领”“快递到货通知(DHL)”。
其中,CAC邮件安全大数据中心监测到“补贴主题诈骗邮件”自2021年底活跃至今。
黑产组织通过大量冒充财务部、税务局、人社部等部门发送《关于发布2022最新补贴通知》主题的钓鱼邮件,诱导师生输入银行卡账密敏感信息进行诈骗,影响非常恶劣。
面对以上恶意邮件的防范,高校技术专家们有何看法?
2、高校专家精彩观点分享
观点1:除了加大对安全技术及产品的投入,也要重视提升师生安全意识
分享专家:马云龙 清华大学 信息化技术中心高级工程师
针对诈骗邮件防范,清华大学信息化技术中心高级工程师马云龙指出,除了需要加大对安全技术和产品的投入,从易被忽视的师生安全意识着手,定期进行反钓鱼演练也是有必要的。
马云龙老师表示,清华最近半年来,发现钓鱼邮件基本是被盗邮箱向域内通讯录发送,也就是域内对域内发送钓鱼邮件,令人非常头疼。
甚至一个月以前就发生过用户完美地按照钓鱼邮件指示输入银行账号密码,最终导致银行卡内3000多余额被转走的事件,尽管最后报案处理,但追回损失可能性渺茫。
清华大学之前有尝试过某其他品牌厂商的开源钓鱼演练系统,但在实际演练过程中才发现,发送过程极其不顺畅。
当有师生在阅读“演练邮件”时,后续发送的钓鱼邮件就会卡顿,无法发出,经过复盘发现与厂商使用的数据库有关。
由于发送过程不顺利,慢慢地有师生意识到在做钓鱼演练,围观看热闹的人比较多,导致最后意识提升效果就不太好。
Coremail解决方案专家刘骞补充道“这也提醒我们,对于反钓鱼演练平台,平台的易用性和可靠性是很重要的,对于体量高达十万+的客户而言,发送演练邮件的时间太长,会降低演练的效果。”
观点2:治理盗号问题,推进双因素认证是关键
分享专家 :辛 毅 哈尔滨工业大学 网信办高级工程师
关于防范域内盗号群发的钓鱼邮件,哈尔滨工业大学辛毅老师也从安全的角度出发分享了自己观点。
辛老师提到,“有一个比较悲观的看法,就是在高校多主体低治理的环境下,钓鱼邮件肯定是会成功的”。
圆桌会上,辛老师分享了一个钓鱼邮件的溯源报告。
报告显示,黑客在盗取邮箱账号时,变换不同的IP对特定账号进行高达千次的爆破,给封堵造成了很大的难度。除了常见的暴力破解,报告显示,高校用户被钓鱼后泄露账号密码的行为也很常见。
为了治理盗号问题,哈尔滨工业大学下决心将邮件系统登录换成了双因素认证登陆,推进完成后,尽管哈工大有10万+用户的体量,但盗号问题大有改善。
辛老师也强调,如果上了双因素认证还是存在盗号问题,黑客就只剩下两种途径了,第一种是感染终端用户的主机;第二种则采用SIM卡交换攻击,来获取你的认证码。
两种途径难度都很大,黑客做到这个程度,基本上是不会去针对普通师生,所以还是建议上双因素认证治理盗号问题,是比较合适的措施。
观点3:利用社区加快情报共享利用,一键举报形成快速通道
分享专家:夏正伟 武汉大学 信息中心副主任
对于Coremail披露的2022年钓鱼邮件TOP20主题及攻击手法,武汉大学信息中心副主任夏正伟提出了三点防范方向。
第一,在防范钓鱼邮件上,可以加强Coremail社区、微信群的情报共享利用,对钓鱼邮件的关键词、钓鱼发送源IP形成更快地共享,便于管理员进行封控等操作。
第二,在防范钓鱼邮件上,高校应有众包思想来加快安全情报的迭代,可以考虑借鉴微信的一键式举报功能,鼓励用户举报可疑邮件至集中的情报平台,从举报到封控处理形成快速通道,促使邮件安全数据库高频更新。
第三,夏主任强调,除了提升用户意识及使用邮件安全产品,保护终端用户避免成为黑客的攻击傀儡也是非常重要的,需要规避师生邮箱账号被爆破成功后被劫持发送钓鱼邮件。
这种情况下,可以利用邮件系统的本地日志,如登录频次、发送频次、接收频次等异常特征进行识别处置。对此,Coremail微信群及社区有老师贡献了一些高质量的脚本,也可以提高处置的效率。
最后,夏主任提到,高校邮件系统在科研领域中是非常重要的应用,除了加大对安全设备的购置投入,也需要高校与邮件安全厂商加强协同合作,形成良性循环,促进邮件安全生态环境的良好发展。
观点4:可疑邮件交由用户判断,对自动锁定仍有疑虑
分享专家:李凯 华中科技大学 网络与计算中心工程师
圆桌会上,各高校技术专家畅所欲言,华中科技大学 网络与计算中心工程师李凯也提出了自己的疑虑
“华中科技大学在2017年的时候也购置了某其他品牌邮件安全网关,将可疑邮件归类到缓冲隔离区,但基本交由老师进行判断和放行。
如果由管理员进行审核,遇到的很大一个难点在于,用户会觉得管理员在窥探他的邮件信息,这样会导致我们接到一些投诉。”
基于使用其他品牌网关的经验,李凯老师也建议Coremail邮件网关做一个大类标记功能,比如对于可疑邮件交由老师判断,明确是典型诈骗或病毒的才进行拒收。
对于这个建议,目前Coremail已推出针对教育行业的订阅过滤解决方案。
高校师生普遍有订阅学术期刊的习惯,而订阅类邮件等具有“轻量”垃圾邮件特征。
如果担心订阅类邮件被CACTER邮件安全网关“误拦”,可选择将订阅类邮件打上垃圾邮件的标签直接投递至【邮件系统的垃圾邮件文件夹】。
师生可随时在【邮件系统的垃圾邮件文件夹】找回订阅邮件。
李凯老师的第二个疑虑则是关于异常账号自动锁定,主要担心准确率问题,万一误判自动锁定了高层领导的账号,影响是很大的。
为了规避这类情况,目前华中科技大学采用人工审核的手段。
比如,在监控到某账号每小时外发超过100+,华科大则会单独提取该账号日志,人工审核外发记录,确定有问题才会进行锁定操作。
对于李凯老师提出的疑虑,高校技术专家们进行了更为深入的措施讨论,有兴趣可登录Coremail云服务中心,查看圆桌会完整回放
二、校园邮件暨新技术应用分享
1、Pv6新技术分享
在《新技术在高校安全邮件系统的探索》中,清华大学马云龙老师为观众朋友们介绍了关于邮件系统IPv6的改造经验。
为了更好地分享,马云龙老师后续也将在Coremail管理员社区上传《电子邮件系统IPv6改造客户端测试》的方案。
武汉大学夏主任则为观众们介绍了IPv6的两种技术路线。
第一种是将其理解为外挂的实现,通过反代理在外围进行实现IPv6改造。第二种则是原生的Coremail邮件系统实现不同组件对IPv6进行支持,从而完成整体邮件系统IPv6改造。
关于两位专家的更多技术细节,欢迎各位有兴趣的朋友登录Coremail管理员社区,观看完整回顾。
2、Coremail SOAR新技术分享
本次圆桌会多次谈及盗号问题导致的衍生威胁事件,Coremail也分享了对其最新的课题研究SOAR(安全编排、自动化及响应)。
Gartner在2017年将SOAR 定义为一系列技术的集合,它使组织能够收集不同来源的安全威胁数据和告警,并借助人工与机器的组合操作进行事件分析和分诊,进而按照某种标准的工作流去帮助定义、确定优先级并推动标准化的事件响应活动。
目前Coremail邮件安全实验室正对SOAR的四个细分方向,威胁分析本地化、条件式自动处置、云情报本地应用及安全问题事件进行研究攻关。
结合当前研究成果,Coremail拟推出SMC 2.0,它是一款具备自动处置(锁定账号、邮件召回、告警、审计等)、 云端情报赋能的内网安全产品。
SMC 2.0 即将在2023年与客户朋友们见面,成为Coremail邮件安全防护体系新成员!
更多圆桌会精彩内容,欢迎登录Coremail云服务中心社区查看完整回放。