天天微動態丨直播回顧：HVV 經驗分享與重保整體解決方案

6 月 15 日，Coremail 聯合北京鈦星數安科技有限公司舉辦【HVV 經驗分享與重保整體解決方案發布】直播分享會。直播會上 Coremail 安全團隊和鈦星數安的劉平平老師為大家帶來重保時期的防御實戰經驗，幫助企業充分做好重保的安全準備工作，安穩度過重保時期。

在面對多樣化的攻擊手段、持續化的攻擊行為、劇增化的攻擊危害，各行業應該如何應對重保大考？

重保下的郵件攻防場景（含 HVV 加減分事項）

(相關資料圖)

Coremail 信息安全專家雷燦強在本次直播分享會上為大家分享了 HVV 行動概述、郵件系統攻擊場景和 Coremail 郵件安全措施和安全防護體系這三個方面。

重保期間防守方能夠得分的方面一般為監測發現，應急處置和協助處置與追蹤溯源。防守方扣分是根據攻擊者攻破防守方郵件系統程度進行扣分。當防守方發現攻擊事件時，及時提供具有邏輯性和必要證明的攻擊報告，也可以作為防守方的加分事項。

郵件服務器是承載信息最豐富的服務器資源，因此郵件服務器是黑客向內網滲透的第一攻擊目標，也是 HVV 行動中攻擊方的攻擊對象。

黑客攻擊郵件服務器主要三大手法有暴力破解弱密碼、釣魚病毒郵件和郵件系統未進行加固的歷史漏洞，這都會成為黑客攻擊郵件服務器的著手點。

針對上述三種攻擊手法，企業應該在重保期間進行重點防護。在賬號安全上，建議在重保期間臨時開啟客戶端專用密碼 / 二次驗證，或在內部進行一次強度較大的密碼整改活動，關注信任設備 / 客戶端專用密碼有無異常新增，信任設備是否為自身常用設備。在釣魚、惡意郵件防護上，應當將正在使用的反垃圾模塊的級別調整至最高。在系統安全上，應及時聯系 Coremail 售后團隊進行系統安全巡檢，并安裝最新的補丁包。

Coremail 特別提醒大家，今年還應該重點關注谷歌新發布的域名以及針對運維人員的微信釣魚手法。謹防釣魚，不應聽信網絡謠言，如涉及安全問題應關注官方公告或聯系官方售后。關于重保下的郵件攻防場景的詳細講解，請上 Coremail 管理員社區觀看直播回放視頻進行了解。

迎戰 HVV，Coremail 重保整體解決方案為您保駕護航

Coremail 高級安全解決方案專家劉騫針對前面提到的黑客攻擊郵件服務器的三種攻擊手法，制定了針對 HVV 重保的郵件安全整體解決方案。

01、漏洞利用

1、掃描和嗅探防范

攻擊者在攻擊前期進行信息收集時會利用常規的 web 攻擊掃描，對 webmail 進行掃描，wmserver 會產生大量的日志。之前是通過人工手段對日志進行分析和判斷，這種手段耗時且效率低。現在日志被做成一個系統界面，監控、分析、防護和追溯自動化，方便管理員發現掃描和嗅探行為，進行反向溯源。

2、已知（Nday）漏洞利用防范

已經升級郵件系統版本、更新 Coremail 提供的 CV1.7 補丁包的企業，Nday 漏洞已經被修復了。對于 Nday 漏洞的攻擊，可以使用安全管理中心 SMC2 輸出對應的日志分析，識別歷史漏洞利用行為、攔截、記錄、追溯。

3、未知（0day）漏洞利用防范

對于未知漏洞利用攻擊手法是目前是無法進行監控，Coremail 與北京鈦星數安科技有限公司進行安全聯動，采用鈦星數安的安全產品補充完善我們的重保防護方案，對 0day 漏洞利用攻擊進行防范。

4、郵件服務器行為監控

前面介紹的防護手段是基于攻擊成功前就被攔截告警。假設服務器已經被攻擊，Coremail 重保防護方案可以監控到郵件服務器的異常行為，并進行及時告警，收到告警后對訪問權限進行處置，形成相應的應急處置報告。

02、郵件釣魚

1、附件釣魚（加密壓縮）

攻擊者常使用加密壓縮過的惡意程序，以釣魚郵件的形式進行傳播。歷年重保期間，我們受到客戶反饋的釣魚郵件案例基本是加密附件釣魚。

攻擊者經常采用該方式的原因有兩個。

第一，惡意程序經過加密壓縮后，可以繞過反病毒引擎在靜態特征上的查殺，動態查殺也很難檢查出來。以往是靠反垃圾特征將其歸為垃圾郵件并進行攔截，今年 Coremail 重保整體解決方案增加了加密附件監測模塊，由本地的郵件安全網關進行實現。

第二，惡意程序傳播成功后，可作為突破口實行橫向滲透擴大戰果。人是網絡安全防護最薄弱的一環，容易被攻擊者作為突破口。

2、鏈接釣魚（常規方案和增強方案）

重保期間，攻擊者會采用常規的鏈接型釣魚郵件形式進行釣魚，目的是為了獲取到用戶賬號密碼和誘導用戶到專門的網站下載惡意附件進行橫向滲透。對此，Coremail 有兩種防護解決方案。

第一種是常規解決方案，通過對鏈接進行標記，放行已知的安全鏈接，攔截被威脅情報庫標記為惡意鏈接的鏈接，對未知鏈接進行提醒記錄以及二次檢測。

第二種是增強解決方案，放行被威脅情報庫標記為白名單的安全鏈接，攔截被威脅情報庫標記為惡意鏈接的鏈接，對未知鏈接進行遠程瀏覽器隔離，用戶如果想訪問未知鏈接，就會跳轉至遠程瀏覽器進行訪問，遠程瀏覽器會限制用戶在未知鏈接操作的權限。

03、賬號盜取和潛伏

1、暴力破解

重保期間，郵箱每天都會遭遇多次暴力破解，對于暴力破解最快最有效的解決方案是開啟客戶端專用密碼，間接防護方案為修改強密碼，使用防暴衛士 2.0 監控賬號狀態，封禁可疑的登錄 IP、風險標記，進行全網聯動。

2、異常賬號處置

作為云端模塊的防暴衛士 2.0，可對異常賬號進行監控，對異常賬號的處置還需管理員手動進行。而 SMC2 部署在本地，比部署在云端的防暴衛士具有更高的賬號處置權限，SMC2 檢測到異常賬號后，會對異常賬號進行自動鎖定。

04、重保防護方案總結

重保期間需要防護的重點為漏洞防護、郵件釣魚（惡意附件）、郵件釣魚（惡意鏈接）、賬號盜取，企業需針對這 4 個重點進行安全防護，利用 SMC2 進行日志自動化監控，自動生成對應的界面，方便安全專家對日志進行分析獲取關鍵信息，實現反向溯源。

威脅隔離技術筑起郵件系統安全屏障

本次【HVV 經驗分享與重保整體解決方案發布】直播分享會上，北京鈦星數安科技有限公司技術經理劉平平為大家分享《威脅隔離技術筑起郵件系統安全屏障》。

威脅隔離技術原理是以 " 隔離技術 " 為核心，樹立 " 預防 " 的安全理念，幫助客戶建立有效的安全預防體系以應對復雜的網絡攻擊。

在 Webmail 系統隔離防護中，基于 " 虛擬瀏覽器技術 "，在用戶端與 Webmail 服務器之間，構建一個安全隔離層，隱藏 Web 服務器攻擊面信息（比如隱藏網頁源代碼、API 的接口、第三方框架等信息，隔離暴力破解、" 撞庫攻擊 "、自動化掃描隔離以及 Web 攻擊安全風險），隔離自動化攻擊和手工滲透，保障服務器的安全。

在郵件鏈接隔離防護方面，通過將惡意鏈接、腳本和終端設備隔離開，本地瀏覽器不執行任意腳本代碼和插件，用戶端通過虛擬瀏覽器訪問互聯網，阻斷釣魚鏈接、惡意鏈接、風險文檔等威脅。

了解更多

關于本次直播更多精彩內容和資料，請上 Coremail 管理員社區進行觀看下載。

社區還有郵件安全產品交流貼和 2023 重保 HVV 行動資料，歡迎各位老客戶上社區進行交流討論和資料領取！

各位新客戶可以關注【CACTER 郵件安全】公眾號獲取更多郵件安全干貨。