在企業發展運營中,郵箱密碼洩漏或郵件服務器遭到侵入,郵件信息将會被利用進行惡意攻擊、數據竊取倒賣、欺詐等現象尤其嚴重。
企業用戶郵箱賬戶密碼被盜後,通常被用于發送垃圾郵件,或向企業内部發送欺詐郵件,以盜取更多的郵箱賬戶,或被用于更加高級的商業欺詐,如誘騙财務人員彙款,給合作夥伴或客戶發送虛假信息等。
更惡劣的是侵入郵件系統,利用系統漏洞用于企業内網攻擊,黑客利用被盜郵箱所持有的企業内網訪問權限,對企業内部實施攻擊,竊取大量企業重要數據。
國内有安全團隊,針對某些企業的郵件系統的異常情況進行調查,結果發現攻擊者至少先後盜取和控制了29家企業的數千個企業郵箱。被這個攻擊者控制的企業郵箱中,有9家屬于制造業企業,7家屬于互聯網公司,另有通信企業3家,事業單位和金融證券類企業各2家。
郵件系統被攻擊,郵箱密碼洩露,内部員工疏忽大意或有意,都會将企業的機密數據洩露,造成企業巨額損失。
案例一
2014年1月24日,王華向某供應商發送郵件時,王華因操作失誤将維美德公司的所有産品報價單及客戶資料洩露給了供應商。
維美德公司認為,王華曾系維美德公司标準件采購部主管,掌管維美德公司的報價清單及全部客戶資料等商業秘密,王華應對維美德公司承擔保密義務。
王華多次将維美德公司的價格清單及全部客戶資料通過電子郵件發送至外部郵箱,洩露了公司的商業秘密。維美德公司将王華告到了西安中院,要求王華賠償公司損失50萬元。
案例二
2017年9月26日, 全球四大會計公司之一德勤被黑,大量客戶郵件遭洩露。
Deloitte(德勤)公司認為這個身份不明的攻擊者,也許早在2016年10月或11月份就已經入侵了他們的電子郵件系統。這名攻擊者通過使用一個管理員賬号成功獲取到了Deloitte(德勤)公司電子郵件服務器的訪問權,且該系統并沒有部署任何的雙因素身份認證機制(2FA),從而導緻攻擊者能夠不受任何限制地訪問Deloitte(德勤)的微軟郵箱。
緻使Deloitte(德勤)24.4萬員工與客戶之間的往來郵件都處于危險之中。在此期間,德勤内部郵件中交流的安全政策,審計日志以及各種法務和财務信息,都處于黑客監控之下。
由此可見,企業郵件存在着諸多安全隐患,造成的損失将可能是無法彌補的,因此其安全防護必須受到足夠重視,企業又該防範的呢?
随時更新操作系統在開發操作系統時,大多數組織的重點是開發高級安全功能,以保護用戶信息。谷歌,微軟和蘋果等頂級操作系統公司在軟件工程師的幫助下,保持了以前版本的安全級别。更新版本确保保護用戶的數據,并通過利用技術防止網絡犯罪分子竊取數據。因此,請确保企業的PC“正确修複和更新”以确保企業的數據安全。定期刷新企業的項目将幫助企業填補任何安全漏洞,從而按時解決潛在問題。
2.加強員工培訓讓所有新員工接受數據安全方面的培訓,并要求所有員工在每年年初參加進修課程,以确保最新的安全準則能夠讓他們牢記于心。盡管這類培訓可能很乏味,但卻是必不可少的,而且隻需很短時間即可涵蓋基本細節。例如,員工應當:要将所有設備(例如台式機、筆記本電腦、平闆電腦、電話)視為能夠借此侵入組織系統的跳闆;切勿寫下或留下密碼記錄,以防被别人尋獲;對來自未經驗證的人的電子郵件或電話進行安全驗證,要求輸入密碼或其他認證信息等等。還應包括建立一些最新的違規統計信息,以幫助員工理解威脅的嚴重程度和普遍性,以及可能對組織帶來的嚴重後果。
3.模拟網絡釣魚攻擊許多安全問題是由人為錯誤導緻的,例如員工無意間單擊惡意電子郵件中的鍊接。魚叉式網絡釣魚攻擊(即針對特定目标的網絡釣魚攻擊)導緻員工中招的可能性更高,因為它們針對的是特定人員。這些消息可能引用了與某些部門或常規工作職能高度相關的信息,例如财務部門收到來自假冒某銀行的關于組織财務方面的郵件,人力資源部門收到來自招聘網站的特定的人才招聘信息的郵件等等,更容易蒙蔽員工并誘導其點擊這類的釣魚郵件鍊接。
免費或付費的網絡釣魚模拟器可以讓組織通過發送某些特定的電子郵件來測試員工對網絡釣魚電子郵件的辨别能力,當有人點擊了這些消息時,組織将對其進行警告。通過使用這類模拟器,組織可以對員工進行積極的培訓,以幫助他們提高對網絡釣魚攻擊的應對能力。切記,要提醒員工如果遇到無法100%确保郵件絕對安全的情況下,都要慎之再慎。而如果員工遇到熟悉的發件人發來的郵件,看上去有些不正常時,那麼就要及時通知組織的IT人員來進行檢查。
4.做好基礎安全防護例如企業網站部署SSL安全證書,企業郵件部署郵件證書等等,做好最基礎的安全防護工作,避免因小失大。相比于通信方身份和數據完整性無法驗證的HTTP協議,HTTPS是一個基于HTTP的安全通信通道,它運用安全套接字層(SSL)進行信息交換,具有身份驗證、信息加密和完整性校驗的功能,可以保證傳輸數據的機密性和完整性,乃至服務器身份的真實性,進而有效避免HTTP被劫持的問題。
同樣的,郵件證書對電子郵件進行數字簽名并加密傳輸,一方面可以保證郵件發送者身份真實性,另一方面保障了郵件傳輸過程中不被他人閱讀及篡改,并由郵件接收者進行驗證,确保電子郵件内容的完整性。
聲明:本網站發布的圖片均以轉載為主,如果涉及侵權請盡快告知,我們将會在第一時間删除。本站原創内容未經允許不得轉載,或轉載時需注明出處:GDCA數安時代
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
