在2020年10月的資安警訊中,CISA指出Emotet的新攻擊手法,會在郵件中附加密碼保護的ZIP檔,而他們後續在減緩Emotet威脅的建議事項裡面,也提到:應封鎖無法被防毒軟體掃描的電子郵件附件,例如ZIP檔。

近年日本出現廢除PPAP的聲浪,也就是電子郵件附檔不要使用ZIP壓縮加密碼方式傳送,同時,美國國土安全部網路安全暨基礎安全局(CISA)近年時常提醒,面對勒索軟體或Emotet惡意程式的威脅,警告企業與使用者,對於郵件中的密碼壓縮檔要謹慎開啟甚至封鎖,在這樣的情形下,現在企業郵件安全產品是否有所轉變?或是有哪些替代方式?

國內郵件安全業者網擎資訊產品行銷副總李孟秋指出,目前觀察日本客戶採用的新作法,都是改以「連結」的方式傳送附檔。

也就是說,將檔案放在郵件主機、郵件閘道,或是專屬的企業檔案雲或平臺(EFSS)上,利用平臺的權限及安全機制,限制可讀取的對象、期間,甚至只能觀看、無法下載,或是浮水印機制等等,解決分享機密檔案的問題。

在過去的附件加密機制上,除了ZIP密碼加密傳送,其實也就有超連結方式傳送,供企業選擇,讓郵件附檔保留至郵件閘道上,並可設定加密。

而在廢除PPAP的議題下,網擎資訊也提出對策,在產品中加入自動檢查郵件附檔,若偵測到加密壓縮檔,該信件會留滯在郵件防護系統的隔離區中,如此一來,當使用者收到通知信登入隔離區檢視信件時,可在平臺上將加密壓縮檔解開,此時防毒引擎會立即掃描惡意,若判定為可疑檔案,再提交至沙箱環境進行分析,不像早期系統無法打開就放棄掃描。不過,機制也需要使用者的配合,若選擇直接放行隔離區的郵件,就無法在隔離區內開啟加密壓縮檔。

基本上,從 ZIP 加密附檔改為寄送連結,由於可以確認收件方是否下載,若是寄錯時也可以立刻停止分享,因此比以往更能掌控狀況。但普遍而言,規模較小的企業若沒有更新郵件系統,又沒有採用新的SaaS服務,將無法馬上轉換到新作法。

當然,連結的衍生風險也不少,過去微軟發展出網址自動改寫的防護機制,近年網擎資訊也開始提供。

另外,網擎很早推出了SecuShare企業檔案雲平臺(現名為SecuShare Pro),針對資料分享提供專門的應用。他們並指出,現有企業檔案雲少有審核機制,未來將把如同郵件稽核產品中的審核機制放入,提供更多元管控能力。

另一家郵件安全雲端業者HENNGE Taiwan表示,日本市面上有許多企業使用Box或Google Drive等檔案雲平臺, 他們之前也有推出Secure Transfer,提供檔案傳送與接收。

以郵件附檔ZIP密碼加密機制而言,最大效益,就是對於使用者很方便,不用改變使用習慣,後續,他們也有提供Secure Download的功能,讓使用者將沒加密的檔案直接拖拉到郵件附件,寄出去時,系統後臺會將附件分離並上傳到雲端平臺,而收件者則會收到信附檔是PDF檔,檔案中則有連結可連至雲端平臺。等於是將附檔上傳到雲端平臺這一段自動化,這與上述提到附檔轉超連結的機制,其實都很相似。

另外,可保護電子郵件端到端安全的電子郵件加密技術,像是PGP與S/MIME等,也是一種更進階的選擇。趨勢科技資深經理劉家麟表示,如果企業組織需要透過郵件來傳送機密資訊,也可利用PGP加密軟體,能連結使用者名稱或郵件位址進行郵件加密,而在他們的自家郵件閘道產品中,還有提供身分導向(IBE)方式來進行郵件加密。基本上,許多重視郵件安全的企業會使用這種方式,只是一直未能大量普及應用

美國CISA已警告應封鎖無法掃描的郵件附檔
對於郵件附件ZIP密碼加密的風險,近年CISA多次提出警告,指出企業員工需謹慎開啟電子郵件中的附件,即使認為是自己認識的寄件者,特別是要當心附件是壓縮檔或ZIP文件。
例如,在2020年10月的資安警訊中,CISA指出Emotet的新攻擊手法,會在郵件中附加密碼保護的ZIP檔,而他們後續在減緩Emotet威脅的建議事項裡面,也提到:應封鎖無法被防毒軟體掃描的電子郵件附件,例如ZIP檔。

能提供文件安全共享功能的解決方案,均可支援這類型應用需求

另一方面,上述提到的企業檔案雲的應用發展,也已至少六七年之久,多年前我們介紹過不少這類產品服務。除上述兩家業者,國際上有名的雲端業者,包括Box、Dropbox,微軟、Google、Amazon也都提供,國內也有不少廠商,如華碩雲端、群暉等,有這類產品。

對於使用者而言,原本要上傳到郵件中的文件,則是要上傳到企業檔案雲平臺,但以現在的趨勢而言,多家業者均認為這是不錯的方式。

奧義智慧科技資深資安研究員陳仲寬表示,透過雲端平臺可以做到集中管理,安全性較高。例如,可以做到集中身分驗證、密碼認證的管理,可以統一管理分享的檔案,並可稽核暴力破解密碼的狀況,或是容易做到限制密碼嘗試。此外,雲端平臺也可以提供防毒與惡意掃描於下載或上傳。

而且,服務業者可在平臺上持續強化安全性。當然,就威脅面來看,雲端平臺本身的安全性將是考量。

不只業者要做好安全,使用者本身同樣要注意幾項設定,TeamT5執行長蔡松廷給出三項基本的建議,例如:第一,應限制分享對象,注意是不是所有人都可以存取;第二,應設定密碼保護,但也仍是要注意密碼需用不同的方式傳送給對方;第三,應管控檔案或連結的有效期限,避免檔案未來被存取。

另外,關於檔案傳送管理(MFT)的產品應用方式,精品科技子公司FineArt Japan部長尾高功恭表示,由於這樣的方案可解決認證與伺服器加密的要求,因此,有些大企業已經開始使用這樣的方式來替代PPAP,但要注意的是,這種做法需大幅變更郵件的使用習慣,可能較難以普及。

 網際網路交換檔案的安全事項 
提升網路傳檔安全該注意什麼?NIST提供建議

對於在網路上安全傳送檔案,美國NIST旗下資訊科技實驗室(ITL)在2020年8月曾提出相關文件,著重於不同檔案傳輸方式的資安注意事項,這將是企業可以參考的資源。

為了文件傳送或交換的需求,不管對象是同事或合作夥伴等其他人,過去企業員工最直接的做法,就是將文件附加電子郵件中傳給對方,此時,有些人可能會將文件放在一個有密碼保護的壓縮檔中,有些人會將文件上傳到免費雲端硬碟服務來分享,特別是檔案太大的時候,無法使用電子郵件附檔直接寄送。

只是,許多文件傳送方法都有安全疑慮,像是沒有加密,存在竊聽與中間人攻擊風險,或是將文件儲存到不受信任的第三方雲端硬碟,以及文件分享權限設置失當等不同狀況。

此外,雖然有些文件傳送方法可以提供所需的安全性,但操作上可能較麻煩而難以普遍運用。這也導致員工最終可能臨時以自己的傳送方式,分享給同事、合作夥伴、供應商與客戶,這對於企業來說,就等於存在風險。

從五大基本行動做起

若要提高文件傳送的安全性,可採取哪些基本措施?

對於企業而言,美國國家標準局NIST旗下資訊科技實驗室(Information Technology Laboratory,ITL)有提出相關建議,或許可成為企業參考資源,該單位在2020年8月,發布了文件傳送的資安注意事項的建議指南。

以下5點是他們認為,企業可以考慮採行的基本行動:

(一)企業組織應確定用戶對於文件傳送與交換的需求,這包含企業內部與外部的發送與接受。在識別需求上,包含文件交換對象,也就是發送者與接收者,以及資料的性質,例如公開資訊、個人身分資訊或受保護的健康資訊。

(二)企業針對文件傳送與交換需求,應提供相應解決方案,並考慮安全性與可用性。同時,導入應用時也要進行充分的教育訓練,使企業員工了解適合其需求的解決方案。否則,用戶很可能使用自己選擇的各式臨時手段,而繞過企業認可的解決方案。此外,多數企業組織可能需要一個以上的解決方案,以滿足不同的文件傳送或交換需求。

(三)當使用密碼學保護文件與文件交換的機密性與完整性,企業應該只使用NIST允許的密碼學演算法,相關資料可參考NIST FIPS或NIST SP文件。

(四)為確保使用認可的解決方案來保護文件,企業組織需要做到監控。一旦偵測到保護不足的文件時,企業需識別出根本原因。

(五)企業需要先為機敏資料外洩做好因應上的準備,例如員工無意間透過電子郵件發送含有個資卻未受保護的文件。

當然,上述只是基本原則,而在這份文件中,其實也有對於不同的檔案傳送方式提供建議。特別的是,在此當中,也有闡述郵件附檔壓縮加密碼傳送方式,並特別指出,這種方法只有在密碼不容易被猜到時,以及發送者使用安全的方法將密碼發送給對方,才可以接受。

整體而言,安全檔案交換,在郵件的面向,就畫分有4種類型,附檔壓縮加密碼傳送只是一種,其他三種是:使用郵件解決方案內建郵件加密機制、使用公開金鑰加密標準,以及使用第三方郵件加密服務或產品。 關於其他檔案交換的機制,這裡也列出企業檔案分享服務、檔案傳輸管理(MFT)解決方案,以及客製網頁與應用程式的方式。

 相關報導 


熱門新聞

Advertisement