最近Hacking Team被黑导致电子邮件流出,没过多久直接导致韩国一名官员自杀。韩国国家情报院被发现曾购买间谍软件,虽然其否认用于监听国民,声称主要是用于对付朝鲜的黑客攻击,但仍不被国民谅解。HT泄漏邮件在全球范围内都引起了轩然大波,很多国家的执法机构都曾寻求购买入侵和远控工具,国内也有好几家厂商被曝光,此处就不一一列举了。
大部分组织明确要求员工不得使用工作邮箱发送任何违法或不道德的邮件,但只有少部分企业有能力付诸管理实践。使用公司邮箱与黑客组织公开讨论入侵细节有可能给公司带来监管机构的严厉惩罚,或海外巨额诉讼,降低产品和服务的可信度,对公司声誉有致命打击。HT案例中,人们很自然地会去怀疑那些被曝光的国内厂商是否在其产品中嵌入后门或黑客工具。
电子邮件是大多数组织中的主要协作工具,因此毫不奇怪地,邮件是企业信息安全中最容易发生问题的领域之一,也是内部威胁和外部威胁重点攻击和利用对象。一封善意电子邮件也可能会泄漏高度敏感信息并连累你的重要计划。邮件也是员工恶意或无意造成关键数据泄漏的最大问题源,可能会令企业丧失竞争优势,导致严重经济损失。
在信息发达国家的超大型企业中,电子邮件监控已成为必需选择,包括发送前和发送后全部环节。邮件内容保护的最佳实践包含下列要点:
1、内容触发安全策略
组织内实施邮件分类分级,会大幅提高用户对敏感信息的保护意识。Gartner也大力推荐数据分类是数据治理的基础。识别邮件正文和附件内容,文本分析引擎对邮件进行分类,根据权限比对结果,触发例如警告、启动审批工作流、禁止发送等动作,确保合规。
据华尔街日报报道,今年初,微软以2亿美元收购文本分析技术提供商Equivio。其机器学习实力被视为这次收购背后的原因之一,其软件使用机器学习算法对文本进行归类分组,适用于邮件、社交网络或者法律事务等文本内容。还可以训练系统快速识别并分类文件到特定主题,成为有效提升企业管理效率的办公工具。微软希望借助Equivio的机器学习和文本分析能力让客户更方便的进行多维度数据管理。
新技术替代摧枯拉朽。令人赞叹的机器学习和自然语言处理引擎,相比老旧沉闷的关键字和正则表达式,优势显而易见:误报降低98%以上,规则编写耗时缩短1000倍,实时识别性能提高60%,能够持续改进提升准确率。毫无意外地,国内厂商也都想赶上这波浪潮,不少宣称有机器学习能力的产品,连聚类和分类功能都不能向用户展示。
现在,邮件系统厂商可以获取专门为邮件内容识别所设计的机器学习引擎,提升为客户服务的能力。
2、广泛覆盖
在互联网出口处控制电子邮件还远远不够。最佳实践是从员工试图发送邮件时就加以监控,组织内部的邮件沟通也必须全程覆盖,这样才能充分保护敏感信息。例如,员工用私人电话与HT讨论购买黑客软件,貌似与公司没有关系,但接下来员工为了方便而在办公室内随手使用公司邮箱与领导讨论价格细节,仍会被当作有效的法庭证据。
在大型企业中,第三方合作伙伴,包括承包商和供应商等,往往与公司员工使用相同办公区,经常在移动设备上进行通信,分享对外的网络出口,也容易给公司带来意想不到的麻烦。也曾出现过外包员工发送邪教邮件导致雇主被调查的麻烦。为了有效地保护组织,很多大型企业都严格控制专有网内的电子邮件,从来源到去向,以杜绝含有不良信息或违法邮件,通过公司网络发送,即使是使用web邮箱方式或个人邮箱。例如国内最大的能源基础设施公司。使用集中管理的安全策略,控制所有内部和外部的电子邮件,可以大大降低业务风险。
因此,如果企业自有邮件系统,能与一般性邮件监控系统,实现统一安全策略,会降低管理成本,有效提升安全水平。
3、精准控制
邮件分类分级加上组织和身份权限,可以实现精准控制。精确监测员工、承包商、与合作伙伴电子邮件的内容和情景关系,并以此为根据进而采取行动。如果广泛地阻止通信,无视身份和权限,就会妨碍业务的正常开展。精准控制需要对内容的准确分类,以及与企业身份认证(如LDAP和AD等)的结合,两者缺一不可。传统的数据保护供应商,采用关键字和正则表达式技术,误报率极高,完全不能适用于大型企业场景。通过理解参与邮件通信的个人身份,与其邮件所涉及的内容,利用数据挖掘技术分析用户行为,还可以刻画更加生动的用户画像,得到反馈用于对高风险邮件实施更精确的控制。
邮件内容识别分类分级引擎,现已在国内多家大型企业成功部署,也有多家邮件系统厂商成功集成案例。