在今天的數碼時代,電子郵件已成為各種規模企業的通訊命脈,但同時也帶來了巨大的安全挑戰,尤其是對小型企業而言。隨著網絡威脅不斷發展和變得越來越複雜,保護敏感資訊和確保電子郵件通訊受到保密變得前所未有的重要。
近年,透過企業電子郵件伺服器發動的網絡攻擊呈全面上升趨勢。考慮到過去幾年全球都轉向以遙距方式辦公,出現這個情況並不令人感到太過意外。然而,在遙距辦公大行其道的今天,大多數網絡安全專家感到驚訝的是很多企業(尤其是最容易受到此類攻擊的小型企業)還沒有推行基本的網絡安全措施,以確保其系統免受商業電子郵件入侵(BEC)和其他更傳統形式的電子郵件網絡攻擊所侵害。
商業電子郵件入侵是一種嚴重的數碼欺詐和勒索行為,所針對的主要是利用企業間每天進行的大量電子郵件通訊。透過複雜的社交工程,網絡犯罪分子假冒員工或可信賴的業務夥伴,說服同一公司的受害者將敏感資訊或資金轉移到一個隱藏帳戶。這類攻擊的嚴重程度雖然會有差異,但通常都會對目標企業帶來巨大損失。所以,我們決定為小型企業量身定制這份電子郵件安全防護的最佳實踐方法、指引、協議和政策指南(不過,這些實踐方法同樣適用於任何規模的企業)。立即保護你的小型企業的電子郵件安全,確保任何敏感資訊不會被不懷好意的瀏覽者竊取。
小型企業電子郵件安全的最佳實踐方法
小型企業電子郵件安全的最佳實踐方法與大型企業相似;他們須防範三種主要類型的電子郵件網絡攻擊:網絡釣魚欺詐、魚叉式網絡釣魚攻擊和虛假發票。我們從基本的電子郵件安全措施開始探討:
公司電子郵件帳戶應只用於業務
雖然這一點看似簡單易明,但還是值得指出以防萬一。工作是每個人生活中的重要組成部分,而使用你的公司電子郵件註冊或登入某些個人帳戶無法獲得的服務可能具有很大的吸引力。但是,使用公司的電子郵件進行個人網上活動會讓騙子更容易掌握你的個人背景,從而發動更有針對性的網絡攻擊。同樣,如果你使用的是個人電腦或家用 Wi-Fi 連接(這兩種連接通常都不如企業連接或工作場所使用的專用機器安全),你就會為黑客提供更多機會竊取你的商務憑證。針對這點,我們會介紹下一個最佳實踐方法。
不要在公共 Wi-Fi 使用你的公司電郵地址
即使你使用公司的安全機器存取你的公司電子郵件帳戶,公共 Wi-Fi也是黑客和網絡罪犯滲透你的機器並竊取你的敏感數據的完美渠道。如果無法避免使用公共連接,我們建議使用 VPN 來連接到重要的業務伺服器,從而提高整體端點安全防護能力。虛擬專用網絡(VPN)的運作原理是在用戶的遠端電腦和公司的專用伺服器之間建立一種加密的專用隧道。VPN 可透過實時加密來保護你在不安全網絡上傳送的任何數據。要瞭解有關 VPN 及其運作原理的更多資訊,請參閱我們的「甚麽是 VPN」一文?
強密碼和密碼片語
關於黑客攻擊企業電子郵件帳戶,他們所採取的第一步就是對帳戶進行暴力攻擊,嘗試猜測你的密碼或密碼片語。因此,我們建議所有員工都使用「強密碼和密碼片語」。如果密碼有足夠長度(12-14 個字符),並包含特殊字符、數字、大寫和小寫字母,則被視為「強」密碼。同樣,「強」密碼片語也遵循大致相同的規則,只是長度應在 15-20 個字符之間,並盡可能使用其他語言的字母。
對於每一個密碼,最重要的是要記住其必須是獨一無二的,並且只能用於一個應用程式。這意味著你需要很多這樣的密碼或密碼片語,而這將取決於你在工作場所使用的系統數量。因此,我們建議使用密碼管理器或密碼保管庫來儲存你所有唯一的密碼和密碼片語,而這些工具還提供可產生強密碼的密碼產生器。雖然密碼管理器也有可能被黑客入侵,但是你的密碼始終能確保安全,因為這些密碼屬於加密密碼(要破解 256 位 AES(進階加密標準)等工業標準加密技術幾乎是不可能的)。因此,即使黑客侵「入」密碼庫,也不意味著他們就能夠在裡面為所欲為。
網絡釣魚欺詐和附件認知培訓
保護貴公司最簡單的方法之一就是為所有員工進行投資並提供簡單的網絡安全培訓。如果貴公司無法選擇這種方式,我們建議你向員工講授網絡釣魚欺詐和電子郵件附件攻擊(又稱惡意附件或 HTML 走私)的危險性。培訓重點如下:
- 瞭解常見的網絡釣魚騙局,例如欺詐性網站和登入視窗,這些網站和視窗會獲取用戶的登入憑據並模仿常見的彈出視窗,如 Microsoft Outlook 登入視窗。
- 瞭解隱藏惡意軟件的最常見電子郵件附件載體,例如 .DOCX、.HTML 和 .EXE。此外,還包括一種最近流行的電子郵件網絡攻擊形式,即 HTML 走私。
- 警告你的員工切勿點擊任何看起來可疑或來自不明發件人的連結。惡意連結是騙子成功對員工和企業發動網絡攻擊的最簡單方法,通常是透過某種釣魚欺詐網站。
啟用多因素身份驗證
多因素身份驗證是一種因其有效性而越來越受歡迎的安全措施。多因素身份驗證有時也被稱為 MFA、雙因素身份驗證或 2FA,而員工在存取其郵件之前,多因素身份驗證會對公司電子郵件帳戶進行多層的安全檢查。例如,必須提供額外的密碼、發送到短訊的保安代碼或對預先確定的安全問題的答案。
不要忘記登出
同樣,當你使用工作電郵帳戶時,這樣做似乎是必然的事情,但必須記住,大量網絡安全攻擊都是從心懷不滿的員工開始的,而他們的目的是要破壞前僱主的業務。共用他人帳戶並偽裝成另一名員工是進行網絡犯罪行為並逃避偵測的最簡單方法之一。因此,為了防止自己或員工在不知情的情況下成為嫌疑人,請確保公司內的每個人都記得在每次會話結束後登出,並且永遠不要互相共用登入資料。
電子郵件掃描和保護系統
隨著社交工程威脅和電子郵件相關的網絡攻擊變得越來越複雜,專門的電子郵件掃描和防護系統已成為抵擋進階惡意電子郵件附件和嵌入式指令碼攻擊的最佳防御手段。我們推薦使用包含機器學習和靜態程式分析的自動防毒解決方案,它可以評估電子郵件的實際內容,而不僅是附件文件類型。若需要進階的網絡安全解決方案,我們推薦適用於 Microsoft Office 365 的 Kaspersky Security 。該系統屢獲殊榮,適用於企業和個人用戶,我們的高級軟件包提供遙距協助和 24 小時全天候支援。
電子郵件安全協議和標準
保護貴公司電子郵件系統的最重要方法之一是實施適當的電子郵件安全協議。電子郵件協議通常被認為是抵擋電子郵件相關網絡攻擊的第一道防線,其設計目的是確保你的訊息通過網絡電子郵件伺服器時的安全。簡單而言,郵件伺服器使用郵件協議在收件人的郵件客戶端之間傳遞電子郵件訊息。協議會告訴伺服器如何處理和傳遞訊息。安全協議對這一過程進行驗證和認證。
有很多不同的協議可用於確保貴公司的電子郵件安全:
- SPF - 允許電子郵件域名所有者在發送電子郵件時識別和驗證誰有權使用其域名。
- DMARC - 允許域名所有者在訊息驗證失敗時收到通知並作出回應。
- SMTPS 和 STARTTLS - 加密客戶端與伺服器之間的電子郵件交換。
- DKIM - 可將用戶與數碼簽名連結起來進行身份驗證。
- S/MIME - 定義如何加密和驗證 MIME 格式的數據。
- OpenPGP - 以 Pretty Good Privacy 框架為基礎,是電子郵件的加密和驗證標準。
- 數碼證書 - 透過公開金鑰所有權驗證發件人資料的一種方式。
- SSL/TLS - 不會直接用於電子郵件安全防護,但它能加密伺服器之間的網絡通訊(包括網絡郵件訊息),因為它用於 HTTPS。
很多流行的電子郵件客戶端提供商使用 SPF、DKIM 和 DMARC(透過 DNS 記錄配置)來保護用戶私隱。我們建議貴公司的電子郵件系統至少使用這三種方法。
電子郵件安全策略、指引和合規性
電子郵件安全政策、指引和合規性界定了在工作場所使用公司電子郵件帳戶的規則和規例。上述每一點都應成為貴公司的電子郵件安全政策的重要組成部分。此外,這些指引還應包括以下各方面的規則:
- 用戶存取和使用設備。
- 數據處理和儲存。
- 有關電子郵件轉發、刪除和保留的規則。
- 政策範圍的廣度,包括網絡和系統使用。
- 道德操守和適當行為。
- 密碼加密和電子郵件客戶端所使用的其他安全工具。
- 有關電子郵件惡意軟件以及如何識別欺詐性附件、連結或郵件的網絡安全培訓材料。
- 貴公司採用的電子郵件監控和員工記錄實踐方法。
- 向哪處及如何報告透過電子郵件收到的惡意軟件、威脅或非法內容。
簡單而言,從小型企業到大型企業,每間公司都應制定一個安全合規模型(SCN),明確列出並定義上述主題。這些指引將作為一個法律框架(可由國家政府強制執行),確保公司電子郵件中所有內容的私隱和安全。考慮到客戶和合作夥伴對違反數碼通訊規定的企業的警惕越來越高,這一點尤為重要。
在今天的數碼環境中,電子郵件已成為大小企業不可或缺的工具,但同時也是網絡攻擊的首要目標。隨著遙距辦公越來越普遍,與電子郵件相關的網絡攻擊風險也不斷上升。Kaspersky’s Small Business Security 專為滿足小型企業需要而設計,可讓你毫不費力地保護你的小型企業。
推薦產品:
