在当今数字时代,电子邮件已成为各种规模企业的沟通命脉,但同时也带来了巨大的安全挑战,尤其是对小型企业而言。随着网络威胁不断演变并日益复杂,保护敏感信息并确保电子邮件通信的机密性从未如此至关重要。
近年来,通过企业的电子邮件服务器发起的网络攻击呈全面上升趋势。考虑到过去几年全球范围内向远程办公的转变,这也就不足为奇了。然而,随着远程办公成为常态,令大多数网络安全专家感到惊讶的是,许多组织(尤其是最易遭受此类攻击的小型企业)尚未实施基本的网络安全实践来保护其系统免受商业电子邮件入侵 (BEC) 和其他更传统的电子邮件网络攻击。
商业电子邮件入侵是一种严重的数字欺诈和勒索行为,意图利用企业之间的日常电子邮件通信牟取不当利益。通过复杂的社会工程学过程,网络犯罪分子冒充员工或可信的业务伙伴,说服同一公司的受害者将敏感信息或资金转移到隐藏账户。这些类型的攻击在严重程度上各不相同,但通常会给目标企业造成代价高昂的损失。因此,我们决定编写这份专门为小型企业量身定制的电子邮件安全最佳实践、准则、协议和策略的指南(不过,这些实践同样适用于任何规模的组织)。是时候确保您的小型企业电子邮件安全无虞,并且任何敏感信息都免遭恶意窥探了。
小型企业电子邮件安全最佳实践
小型企业电子邮件安全的最佳实践与大型组织所采用的安全实践类似;可防范三种主要类型的电子邮件网络攻击:网络钓鱼诈骗、鱼叉式网络钓鱼攻击和欺诈性发票。让我们从基本的电子邮件安全措施开始:
企业电子邮件账户专用于企业
虽然这看起来可能相当简单直接,但还是强调一下,以防万一。工作是每个人生活中的重要组成部分,使用企业电子邮件注册或登录某些使用个人账户无法访问的服务是很有诱惑力的。然而,使用公司的电子邮件进行个人在线活动会让诈骗者更容易对您进行画像分析,这可能导致更有针对性的网络攻击。同样,如果使用个人计算机或家庭 Wi-Fi 连接(两者的安全性通常都不如企业连接或工作场所使用的定制机器),黑客更有机会窃取企业凭据。这也引出了下一个最佳实践。
不要在公共 Wi-Fi 上使用企业电子邮件
即使使用公司的安全机器访问企业电子邮件账户,公共 Wi-Fi 也是黑客和网络犯罪分子渗透机器并窃取敏感数据的完美途径。当无法避免使用公共连接时,建议使用 VPN 来连接重要的企业服务器,并提高整体端点安全性。虚拟专用网络 (VPN) 的工作原理是在用户的远程计算机和组织的专用服务器之间创建一种加密的专用隧道。这样,它将通过实时加密来保护您在不安全网络上发送的任何数据。要详细了解 VPN 及其工作原理,请参阅我们的文章“什么是 VPN?”。
强密码和密码短语
对企业电子邮件账户进行黑客攻击时,第一步就是对账户进行暴力攻击,尝试猜测密码或密码短语。这就是我们建议所有员工都使用“强”密码或密码短语的原因。当密码足够长(12-14 个字符)并且包含特殊字符、数字、大写和小写字母的组合时,被认为是“强”密码。同样,“强”密码短语也遵循大致相同的规则,只是长度应在 15-20 个字符之间,并使用其他语言的字母(如果可能)。
对于每一个密码,最重要的是要记住,密码必须是唯一的,并且只能用于一个应用。这意味着您需要多个这样的密码或密码短语,具体取决于您在工作场所使用的系统数量。因此,我们建议使用密码管理器或密码保管库(它还提供密码生成器来生成强密码)存储所有的唯一密码和短语。尽管密码保管库和管理器可能会被黑客入侵,但您的密码仍然是安全的,因为它们是加密的;破译 256 位 AES(高级加密标准)之类的行业标准加密几乎是不可能的。因此,即使黑客“进入”了保管库本身,也并不意味着他们可以对您的加密数据为所欲为。
网络钓鱼诈骗和附件意识培训
保护企业的最简单方法之一是为所有员工提供简单的网络安全培训。如果这不适合您的企业,我们建议让您的员工了解网络钓鱼诈骗和电子邮件附件攻击(也称为恶意附件或 HTML 走私)的危险。主要涵盖点包括:
- 了解常见的网络钓鱼诈骗,例如欺诈性网站和登录窗口,这些网站和窗口会收集用户的登录凭据,并模仿常见的弹出窗口,如 Microsoft Outlook 登录窗口。
- 了解最常见的可能隐藏恶意软件的电子邮件附件载体,如 .DOCX、.HTML 和 .EXE。这也包括最近流行的一种称为 HTML 走私的电子邮件网络攻击形式。
- 提醒员工切勿点击任何看起来可疑或来自未知发件人的链接。恶意链接是诈骗者对员工和企业成功发起网络攻击的最简单方式,通常是通过某种网络钓鱼诈骗网站。
启用多重身份验证
多重身份验证是一个越来越流行的安全实践,因为其非常有效。多重身份验证有时称为 MFA、双重身份验证或 2FA,可为企业电子邮件账户提供多层安全检查,员工必须通过这些检查才能访问其邮件。例如,附加密码、安全短信中的代码或对预定安全问题的回答。
不要忘记注销
这可能同样是使用工作电子邮件时最显而易见的做法,但重要的是要记住,大量网络安全攻击始于心怀不满的员工,他们希望破坏前雇主的业务。利用某人的账户并伪装成另一名员工是实施网络犯罪和逃避侦查的最简单方式之一。因此,为了防止您自己或您的员工成为不知情的嫌疑人,请确保企业中的每个人都记得在每次会话后注销,并且永远不要互相分享登录详细信息。
电子邮件扫描和保护系统
随着社会工程威胁和电子邮件相关网络攻击日益复杂,专用的电子邮件扫描和保护系统是抵御高级恶意电子邮件附件和嵌入式脚本攻击的最佳防御手段。我们推荐包含机器学习和静态代码分析的自动化反病毒解决方案,该方案可以评估电子邮件的实际内容,而不仅仅评估附件文件类型。对于高级在线网络安全解决方案,我们推荐 Kaspersky Security for Microsoft Office 365。一个屡获殊荣的面向企业和个人用户的系统,我们的高级套餐附带远程协助和全天候支持。
电子邮件安全协议和标准
保护企业电子邮件系统的最重要方法之一是实施适当的电子邮件安全协议。电子邮件协议通常被视为抵御电子邮件相关网络攻击的第一道防线,旨在保护通信在通过网页邮件服务时免受侵害。需要说明的是,邮件服务器使用电子邮件协议在收件人的邮件客户端之间传递电子邮件。协议告诉服务器如何处理和传递邮件。安全协议对这一过程进行验证和认证。
有许多不同的协议可用于保护企业电子邮件:
- SPF – 允许电子邮件域所有者识别和验证谁有权在发送电子邮件时使用其域名。
- DMARC – 允许域所有者在邮件认证失败时收到通知并做出响应。
- SMTPS 和 STARTTLS – 加密客户端和服务器之间的电子邮件交换。
- DKIM – 使用户能够链接到数字签名以进行身份验证。
- S/MIME – 定义如何加密和验证 MIME 格式的数据。
- OpenPGP – 基于优良保密协议 (Pretty Good Privacy) 框架,是电子邮件的加密和身份验证标准。
- 数字证书 – 是一种通过公钥所有权验证发件人详细信息的方法。
- SSL/TLS – 不直接用于电子邮件安全,但会加密服务器之间的网络流量(包括网页邮件),因为它用于 HTTPS。
许多流行的电子邮件客户端提供商使用 SPF、DKIM 和 DMARC(通过 DNS 记录配置)保护用户的隐私。我们建议至少为企业电子邮件系统实施这三种协议。
电子邮件安全策略、准则和合规性
电子邮件安全策略、准则和合规性定义了在工作场所使用企业电子邮件账户的规章制度。上面列出的每一点都应该是组织电子邮件安全策略的重要组成部分。此外,这些准则还应包括关于以下方面的规则:
- 用户访问和设备使用。
- 数据处理和存储。
- 有关电子邮件转发、删除和保留的规则。
- 策略范围的广度,包括网络和系统的使用。
- 道德操守和适当行为。
- 密码加密和电子邮件客户端使用的其他安全工具。
- 有关电子邮件恶意软件以及如何发现欺诈性附件、链接或邮件的网络安全培训材料。
- 企业实施的电子邮件监控和员工记录实践。
- 在何处以及如何报告通过电子邮件收到的恶意软件、威胁或非法内容。
简而言之,从小型企业到大型企业,每个组织都应该有一个安全合规模型 (SCN),明确阐述并定义上述主题。这些准则将作为一个法律框架(由国家政府强制执行),可以确保公司电子邮件中包含的所有内容的私密和安全。考虑到客户和合作伙伴对违反数字通信规范的企业日益警惕,这一点尤其重要。
在当今的数字环境中,电子邮件已成为小型和大型企业不可或缺的一部分,但也成为网络攻击的主要目标。随着远程办公越来越普遍,电子邮件相关网络攻击的风险也在上升。使用专为满足小型企业需求而设计的卡巴斯基小型企业安全解决方案,轻松保护您的小型企业。
相关文章:
推荐的产品:
