以洪荒之力,抗击网络威胁

[摘要]电子邮件安全网关用于监控企业的入站和出站电子邮件通信中不需要或恶意电子邮件。这些产品的核心功能是已经从阻止或隔离恶意软件、网络钓鱼攻击和垃圾邮件,逐渐转变到对外部网络威胁、以及内部人员管理上的威胁,另外,很多产品还提供针对出站电子邮件的数据丢失防护(DLP)和 或加密功能。

电子邮件安全网关用于监控企业的入站和出站电子邮件通信中不需要或恶意电子邮件。这些产品的核心功能是已经从阻止或隔离恶意软件、网络钓鱼攻击和垃圾邮件,逐渐转变到对外部网络威胁、以及内部人员管理上的威胁,另外,很多产品还提供针对出站电子邮件的数据丢失防护(DLP)和/或加密功能。

现在市面上有很多电子邮件安全网关产品和服务,它们几乎可以满足所有企业的需求。然而,从这么多产品中选出最合适的产品或服务并不是简单的事情。对此,企业应该制定一套标准作为电子邮件安全网关评估的一部分,例如一份问题清单,针对每个评估产品,通过研究、供应商讨论、产品测试和其他方法来回答这些问题。

这里提供了一些重要标准,以帮助企业评估电子邮件安全网关。

基本安全功能如何?

每个电子邮件安全网关都应帮助企业抵御“威胁”电子邮件:即包含恶意软件、网络钓鱼攻击和垃圾邮件的邮件。然而,这并不意味着电子邮件安全网关产品只需要提供基本的防病毒、反垃圾邮件和反钓鱼功能。毕竟,基于这种老一代反恶意软件控制的技术并不能非常有效地抵御当前的威胁。

企业应该寻找更先进的防病毒、反垃圾邮件和反钓鱼技术。例如,恶意软件检测应该使用沙箱等先进技术来评估文件的潜在恶意行为。现在,简单地使用基于签名的技术(例如防病毒签名)进行恶意软件检测已经不够。

理想情况下,这些基本的安全功能还应该利用最新威胁情报。威胁情报是指安全供应商收集的有关当前和最新威胁的信息,例如执行攻击的主机的IP地址或者恶意域名的URL等。通过整合威胁情报服务和高级检测技术,电子邮件安全网关可更有效地检测恶意电子邮件,前提是威胁情报总是保持最新状态(例如,每天实时更新的云端威胁指纹特征库)。

电子邮件安全网关提供哪些其他安全功能?

有些网关仅提供上文所提到的基本安全功能。然而,现在越来越多的网关开始提供额外的电子邮件相关的安全功能,特别是针对出站电子邮件的DLP和电子邮件加密功能。

对于很多企业而言,尤其是规模较大的企业,这些额外功能并没有什么用,因为这些企业已经有企业级DLP和电子邮件加密功能。但对于没有这些功能的企业,添加DLP和电子邮件加密功能到电子邮件安全网关(通常需支付额外费用),可符合成本效益地简单地为企业增加这些功能。

管理功能的可用性和可定制性?

可用性是电子邮件安全网关管理的重要因素;网关越容易进行日常管理,它越可能得到正确的管理,也就是说,网关会越有效。然而,可定制性的重要性也不容忽视。虽然企业可能不想花很多时间来定制化其电子邮件安全网关,但通过自定义管理员仪表板、网关报告和网关的其他方面,企业可以提高检测功能,以及加强管理流程本身。

不同企业对网关管理的可用性和可定制性有着不同的需求。有些企业(特别是中小企业)通常会寻找需要很少或根本不需要管理的解决方案,同时,这些企业通常不关心可定制性。而其他高风险企业(大型集团、跨国企业)可能需要高度可定制性,以尽可能地提高检测功能,即使这会对可用性带来负面影响。(例如,负载均衡机制+邮件巡航机制)

通常误报和漏报率怎样?

误报率是指良性邮件被错误地归类为恶意邮件的百分比。而漏报则是恶意电子邮件被错误地归类为良性邮件的百分比。理想情况下,误报和漏报率应该尽可能低,但这两个百分比不可能降到零,因为没有完美的检测技术,并且,其中一个比率降低通常会导致另一个比率增加。

由于每个电子邮件安全网关会并行使用几个检测技术,通常报告整个网关的整体误报率和漏报率并没有什么用,而是应该对每种威胁类型(垃圾邮件检测、恶意软件检测、网络钓鱼检测等)提供误报率和漏报率。企业应该能够“调整”网关的检测方法来提高或降低该比率,让网关达到所需要的平衡;例如,有的企业可能可以容忍相对较高的漏报率,以实现非常低的误报率。

电子邮件信息或附件在外部系统处理或存储吗?

有些电子邮件安全网关是基于云的服务,所以对于这些产品,很显然,企业的电子邮件将通过外部系统。而不太明显的是,一些内部部署电子邮件安全网关(硬件和虚拟设备)可能路由可疑邮件到网关供应商控制的服务器进行进一步的分析。

对于有些企业而言,传输电子邮件到外部服务器进行处理或存储可能是不可接受的风险,特别是当内部电子邮件被进行分析。这可能导致敏感数据被电子邮件安全网关供应商访问,并无意或有意地造成数据泄露事故,所以,网关的权限管理控制也需要被列入需求列表。同样地,如果供应商的服务器受到攻击,敏感数据也会受到影响。因此,对保护其未加密电子邮件的保密性有着特别高要求的企业,可能会选择内部部署的电子邮件安全网关,而不是基于云的服务。

使用外部系统的另一个考虑因素是,在不同司法管辖区域,安全和隐私法以及其他要求可能会有所不同。假如企业从云电子邮件安全网关供应商购买了服务,而如果该供应商在多个司法管辖区(特别是不同国家)有云计算设施,那么,电子邮件信息可能要遵守不同的法律,这可能需要使用额外的或不同的安全和隐私控制。这还可能带来不同的风险,例如,外国政府可能有权利访问该国家内供应商服务器中企业的电子邮件。

而对于内部系统的及时性管理,网关对于附件是否可以进行及时的搜索与调阅,比如,常用文件格式及附件类型扫描,过滤附件内容,禁止变更文件名。自定义审核条件,符合条件的邮件会被拦截,放置于邮件记录中的延迟队列,并在您指定的时间区间内,发送审核明细予您指定的收件人,是否满足简单外发邮件防泄密的功能。

做好你的功课以及评估

面对这么多的电子邮件安全网关产品和服务,企业要从中选择合适的产品并不是简单的事情。在评估产品时,为评估定义基本标准是很有帮助的步骤。并没有适合所有企业的“万能”解决方案;每个企业都有自己的安全要求、电子邮件基础设施和IT环境,以及面对着不同的威胁。

因此,非常重要的是,每个企业都需要进行自己的电子邮件安全网关评估工作。只是简单地依靠第三方评估并不能帮助企业做出最好的选择,但这种评估可以对企业自己的评估过程提供有价值的信息。

本文中介绍了几个评估标准,这些标准可以作为一个起点,帮助企业制定自己更全面的标准清单。本文中列出的标准并不全面,每个企业应该考虑其所有独特的需求,包括适用的法律、法规和其他合规需求,若有更多合规需求的用户,可与Softnext守内安对应窗口联系全方位的邮件安全防护(包括邮件DLP、邮件归档及电子举证等)




免责声明:

本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!

[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。