IT服務(wù)器運(yùn)維中警惕新型惡意軟件侵入郵箱

2020-04-06 21:11 作者：艾銻無限 瀏覽量：

IT服務(wù)器運(yùn)維：警惕新型惡意軟件侵入郵箱
 

如果你在使用微軟的Exchange Online，不管是獨(dú)立的產(chǎn)品還是只是Office 365租戶的一部分功能，任何入站的郵件都會經(jīng)過Exchange Online Protection的過濾。EOP是微軟在云端部署的大量前端服務(wù)器用以攔截并移除垃圾郵件在它們到達(dá)用戶郵箱之前。當(dāng)然使用內(nèi)部部署的Exchange企業(yè)也可以購買EOP反垃圾郵件服務(wù)。

很早的時(shí)候就有人意識到自己的郵件有可能被惡意的植入代碼控制，從而發(fā)送到黑客的服務(wù)器上，也是打那時(shí)起，與垃圾郵件，病毒，惡意軟件的斗爭就從未停息過。期間著名的案例有2000年五月的“我愛你”病毒，通過各種郵件通告?zhèn)鞑?，聲稱某人去世或者饋贈，收件人可以得到一大筆錢。這些郵件都是從尼日利亞發(fā)出來的，所以也叫419詐騙，因?yàn)樵谀崛绽麃?19是欺詐的犯罪代碼。

近年來，盡管企業(yè)花大資金在外圍網(wǎng)絡(luò)上設(shè)置重重設(shè)卡，仍然有非常多的垃圾郵件進(jìn)入組織內(nèi)部，并且數(shù)量成增長趨勢。有報(bào)告顯示全球每天垃圾郵件的數(shù)量在1千億以上，其中10億以上的垃圾郵件含惡意軟件。垃圾郵件占日常郵件的70%。

由安全公司Sophos發(fā)布的研究顯示，網(wǎng)絡(luò)的快速發(fā)展和計(jì)算機(jī)的愈加低廉也給垃圾制造者帶來了便捷，他們可以更快更大范圍地散布垃圾郵件，而由于他們有大量的肉機(jī)，我們根本找不到他們。這些垃圾商業(yè)郵件已被視為互聯(lián)網(wǎng)的污染，并且在短時(shí)間內(nèi)無法解決。

回到EOP，作為標(biāo)準(zhǔn)的反垃圾處理程序，它可以在垃圾郵件到達(dá)Office 365的邊緣網(wǎng)絡(luò)時(shí)清除之。只不過隨著公網(wǎng)上垃圾郵件的不斷增多，以及垃圾郵件制造者的不斷“進(jìn)取”以圖繞開反垃圾郵件的策略比如EOP，所以一些垃圾郵件還是會進(jìn)入O365，我每周大約會收到3到4封這樣的郵件，然后我會把這些郵件轉(zhuǎn)發(fā)到微軟以期他們分析其特征以完善EOP的反垃圾功能。

月初微軟發(fā)布了EOP的ATP（高級威脅保護(hù)）功能。作為一項(xiàng)附加服務(wù)，ATP收取每用戶每月2美元的功能費(fèi)。ATP目前對一部分選定的O365租戶試運(yùn)行，今夏會開放通用功能。

作為有一個(gè)龐大用戶群的平臺（O365目前估計(jì)有10,000用戶），2美元的價(jià)格會給運(yùn)營方帶來每年240,000美元的收入。所以租戶一定想知道ATP的功能能為他們帶來什么，微軟總結(jié)了以下3點(diǎn)：

1. 更好的對歷史垃圾郵件及惡意軟件的清理。一些歷史的病毒往往很難被反病毒軟件所發(fā)現(xiàn)。每一封進(jìn)入O365的郵件都通過EOP即好幾道反垃圾和反病毒引擎的過濾，許多郵件在被認(rèn)定含有病毒或其他有害內(nèi)容時(shí)立即被丟棄，而一些可能存在安全隱患的郵件（比如含有常見惡意軟件的某些特征字符），由于其未匹配任何惡意軟件的簽名，EOP無法判斷郵件好還是不好，就通過一個(gè)特殊通道將其放置在一個(gè)沙盒環(huán)境中（應(yīng)該是某個(gè)Azure的虛機(jī)上），然后將其可疑內(nèi)容分解以決定其可靠性。比如說任何含有可執(zhí)行文件附件的郵件都將被視為可疑郵件，至少需要用戶人為干預(yù)。

理論上來說，如果用戶可以破譯出新型的威脅從而手動刪除掉惡意軟件與借助EOP來干這件事沒有任何區(qū)別，但ATP的好處在于可以同時(shí)處理大量的郵件，并且有強(qiáng)大的自動學(xué)習(xí)功能，可以與惡意軟件代碼”一起進(jìn)步”。需要討論的問題就是ATP分析并處理一封可以郵件需要多長時(shí)間，尤其是在高峰時(shí)間，但目前的情況是處理速度還停留在分鐘級別，未進(jìn)入秒級。如果內(nèi)容沒有問題，ATP就會放行；如果可疑，用戶可以選擇將其阻止或者是將其惡意內(nèi)容移除后再發(fā)給用戶。這些可疑郵件即便被阻止，用戶也可以日后拿來查看分析。

2. 對惡意URL的實(shí)時(shí)保護(hù)。攻擊者有時(shí)會將惡意URL隱藏在正常的網(wǎng)址后。當(dāng)你點(diǎn)開這些正常的網(wǎng)站鏈接后，瀏覽器實(shí)際上跳轉(zhuǎn)到一個(gè)惡意URL。這就是所謂的釣魚行為，用戶往往會被界面所欺騙而把個(gè)人重要信息（比如銀行賬號密碼）提交上去，而這些信息就落到了攻擊者的手中。ATP會檢查這些URL跳轉(zhuǎn)，然后跟公網(wǎng)上最新的URL信譽(yù)列表比較，如果信譽(yù)很低，就會阻止此郵件。

上述檢查發(fā)生在用戶閱讀這些郵件的時(shí)候，而不是在郵件到達(dá)O365時(shí)。這樣就保證了用戶在每次企圖打開這些站點(diǎn)時(shí)，收到的提示信息是根據(jù)最新的信譽(yù)列表獲得的。

3. 報(bào)告URL跟蹤。顯然EOP會向組織管理員匯報(bào)誰收到了惡意軟件或垃圾郵件，這些郵件的內(nèi)容是怎樣的。這些信息足以用來分析攻擊的類型和方式。只是針對某個(gè)人的還是整個(gè)組織的？哪些新型的攻擊目前正流行？等等。
 
對于像ATP這樣一項(xiàng)增值功能來說很難定義它究竟有多大的價(jià)值，可能對于安全要求比較高的企業(yè)來說會非常有價(jià)值.
 
 以上文章由IT外包服務(wù)商北京艾銻無限科技發(fā)展公司整理