在當今數位時代,電子郵件已成為各種規模企業的通訊命脈,但也因此帶來了重大的安全挑戰,特別是對於小型企業而言。隨著網路威脅不斷演變且日益複雜,保護敏感資訊和確保電子郵件通訊的機密性具有前所未有的重要性。
近年來,透過企業電子郵件伺服器進行的網路攻擊急遽增加。但這也不足為奇,因為過去幾年全球大幅改採遠端工作。然而,隨著遠端工作的持續存在,讓大多數網路安全專家感到驚訝的是,許多組織(尤其是最容易受到此類攻擊的小型企業)尚未實施基本的網路安全實務來保護其安全性並避免商業電子郵件詐騙(Business Email Compromise)或其他更傳統形式的電子郵件網路攻擊。
商業電子郵件詐騙(Business Email Compromise)是一種嚴重的數位詐騙和勒索行為,其利用企業彼此間的日常電子郵件通訊進行。透過複雜的社會工程手法,網路犯罪者冒充員工或值得信賴的業務合作夥伴,說服公司內的人員將敏感資訊或資金轉移到不明帳戶。此類攻擊的嚴重程度各不相同,但通常對受害的企業來說是高昂的代價。為此我們決定製作此份指南,專門為小型企業設想的電子郵件安全最佳實務、建議、協定和策略(也同等適用於任何規模的組織)。請盡快確保您的小型企業電子郵件的安全性,確保有心人士無法查看任何敏感資訊。
小型企業電子郵件安全最佳實務
小型企業電子郵件安全的最佳實務與大型組織的最佳實務相似,能防範三種主要類型的電子郵件網路攻擊:網路釣魚詐騙、魚叉式網路釣魚攻擊和報價單詐騙。讓我們從基本的電子郵件安全措施開始:
業務活動應使用企業的電子郵件帳號
儘管看似相當簡單,為保險起見還是值得討論。工作佔據了生活中的很大部分,因此有些人可能會想使用企業的電子郵件來註冊或登入個人帳戶無法存取的某些服務。然而,使用公司的電子郵件進行個人線上活動可能讓詐騙者能更輕鬆獲取個人資料,並進而導致更具針對性的網路攻擊。同樣,如果您使用個人電腦或家庭 Wi-Fi 連線,而其通常不像企業連線或工作場所中使用的特殊裝置那麼安全,駭客因此更有可能竊取到企業的憑證。這也牽涉到下一個最佳實務。
不要在公共 Wi-Fi 上使用企業電子郵件
即使使用公司的安全裝置存取企業電子郵件帳戶,公共 Wi-Fi 也是駭客和網路犯罪者滲透裝置並竊取敏感資料的完美入口。非得要使用公共連線時,我們建議使用 VPN 來連接到重要的業務伺服器並提高端點的整體安全性。虛擬私人網路(VPN)的運作原理是在使用者的遠端電腦和組織的專用伺服器之間建立加密的專用隧道,如此一來便能進行即時加密來保護使用非安全網路時所傳送的資料。如要了解 VPN 及其運作原理的更多相關資訊,請查看我們的文章「什麼是 VPN?」。
高強度密碼和密碼片語
有心人士嘗試駭入企業的電子郵件帳戶時,第一步是嘗試暴力破解帳戶並猜測密碼或密碼片語。因此我們建議所有員工使用高強度密碼或密碼片語。密碼足夠長(12-14 個字元)並且包含特殊字元、數字、大寫和小寫字母的組合時則為高強度密碼。高強度密碼片語也適用同樣的原則,只不過長度應在 15-20 個字元之間並且如果可行的話應使用其他語言的字母。
最重要的是,無論是密碼還是密碼片語都應獨一無二且僅用於一個應用程式。這也表示會有相當多的密碼或密碼片語,具體取決在工作場所使用的系統數量。為此,我們建議使用密碼管理器或密碼保險箱(也提供用於建立高強度密碼的密碼產生器)來儲存您所有的密碼和片語。儘管密碼管理器和保險箱也可能會被駭客攻擊,但您的密碼仍能保持安全,因為這些密碼受到加密,要破解 256 位元 AES(高階加密標準)等業界標準的加密幾乎是不可能的。因此,即便駭客成功駭入保險箱,也不代表他們就能隨心所欲使用加密後的資料。
網路釣魚詐騙與附件危機意識訓練
保護企業最簡單的方法之一是投資員工,提供簡單的網路安全培訓。如果企業不適合使用此方式,我們仍建議讓員工了解網路釣魚詐騙和電子郵件附件攻擊(或稱為惡意附件或 HTML 挾帶)的危險。員工所需了解的重點包括:
- 了解常見的網路釣魚詐騙,例如:詐騙網站和詐騙登入視窗,其會收集使用者的登入憑證並模仿常見的彈出視窗(例如 Microsoft Outlook 登入視窗)。
- 了解可能隱藏惡意軟體的最常見電子郵件附件載體,例如 .DOCX、.HTML 和 .EXE,並包括最近常見的電子郵件網路攻擊形式 - HTML 挾帶。
- 提醒員工切勿點擊任何看起來可疑或來自未知寄件者的連結。惡意連結是詐騙者成功對員工和企業進行網路攻擊的最簡單方法,通常會藉由某種網路釣魚詐騙網站進行。
啟用多因素身份驗證
多因素身份驗證因其非有效而成為越來越流行的安全實務。多因素驗證也稱為 MFA 並包括雙因素認證(也稱為 2FA),能在員工存取其郵件前為企業電子郵件帳戶提供多個層級的安全檢查。例如:額外密碼、安全簡訊密碼或預設安全問題答案。
不要忘記登出
同樣,這也是使用工作用電子郵件時最理所當然的事情,但卻很容易忘記。很多的網路安全攻擊來自心懷不滿而希望能藉此損害前雇主業務的前員工。盜用某人員工的帳戶並偽裝成另一名員工也是進行網路犯罪和逃避偵測的最簡單方法之一。因此,為了防止自己或員工莫名成為嫌疑人,請確保企業中的每個人都記得在每次使用後退出,並且永遠不要互相分享登入詳細資訊。
電子郵件掃描與保護系統
隨著社會工程威脅和與電子郵件相關的網路攻擊日益複雜,專用的電子郵件掃描和保護系統是抵禦進階惡意電子郵件附件和嵌入式腳本攻擊的最佳防禦措施。我們推薦一種具有機器學習和靜態程式碼分析的自動化防毒解決方案,它能評估電子郵件的實際內容,而不單只是附件的檔案類型。對於高階線上網路安全解決方案,我們推薦 Microsoft Office 365 版 Kaspersky Security。我們的高階套裝能保護企業和個人使用者,其屢獲獎項的系統配備遠端協助和全天候支援。
電子郵件安全協定與標準
保護企業電子郵件系統最重要的方法之一是實施適當的電子郵件安全協定。電子郵件協定通常被認為是抵禦與電子郵件相關的網路攻擊的第一道防線,其能確保透過網路郵件服務進行的通訊安全。具體而言,電子郵件伺服器依據電子郵件協定在收件者的郵件用戶端之間傳遞電子郵件訊息,而協定會告訴伺服器如何處理和傳遞訊息,安全協定則確認並驗證此過程。
有許多不同的協定可用於保護企業電子郵件:
- SPF 能讓電子郵件網域擁有者在傳送電子郵件時識別並驗證誰有權使用其網域名稱。
- DMARC 能讓網域擁有者在訊息驗證失敗時收到通知並因應。
- SMTPS 和 STARTTLS 能加密用戶端和伺服器之間的電子郵件交換。
- DKIM 能讓使用者連結到數位簽章以進行身份驗證。
- S/MIME 能定義如何加密和驗證 MIME 格式的資料。
- OpenPGP 基於 Pretty Good Privacy 框架,為電子郵件的加密和身份驗證標準。
- 數位證書是一種透過公鑰所有權驗證傳送者詳細資訊的方法。
- SSL/TLS 不會直接用於電子郵件安全,但會加密伺服器之間的網路流量(包括網路郵件訊息),因為其用於 HTTPS。
許多流行的電子郵件用戶端供應商使用 SPF、DKIM 和 DMARC(透過 DNS 記錄配置)來保護使用者的隱私。我們建議至少為企業電子郵件系統實施這三項。
電子郵件安全政策、準則和合規性
電子郵件安全性策略、指南和合規性定義了在工作場所使用企業電子郵件帳戶的規則和規定。以上列出的每一點都應該是組織電子郵件安全策略的主要部分。此外,準則中還應包括下列規定:
- 使用者存取和裝備使用。
- 資料處理和儲存。
- 電子郵件轉寄、刪除和保留的相關規定。
- 政策範圍的廣度,包括網路和系統的使用。
- 道德行為和正當使用行為。
- 電子郵件用戶端中使用的密碼加密和其他安全工具。
- 針對電子郵件惡意軟體以及如何發現詐騙附件、連結或訊息網路安全的培訓資料。
- 企業採用的電子郵件監控和員工記錄實務。
- 電子郵件收到惡意軟體、威脅或非法內容時的通報單位和處理方式。
簡而言之,無論是小型企業還是大型企業,每個組織都應該有一個安全合規模型(SCN),清楚闡述和定義上述內容。這些準則將作為一個法律框架(由國家政府強制執行),能確保公司電子郵件中包含的所有內容的隱私和安全。考慮到客戶和合作夥伴對數位通訊違規的企業變得更加警惕,這一點尤其重要。
在當今的數位環境中,電子郵件已成為小型和大型企業不可或缺的一部分,也因此成為網路攻擊的主要目標。隨著遠端工作變得越來越普遍,與電子郵件相關的網路攻擊風險日益增加。卡巴斯基小型企業安全軟體專為滿足小型企業的需求而設計,可輕鬆保護小型企業。
推薦產品
