如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之九:电子邮件和浏览器的防护

作者:Sender Su  来源:原创内容  发布日期:2022-04-08  最后修改日期:2022-04-08

  CIS关键安全控制措施集(CIS Critical Security Controls,CIS Controls)系列介绍文章,本期介绍控制措施09:电子邮件和浏览器的防护

article banner

笔者:国际认证信息系统审计师、软考系统分析师

  控制措施09:电子邮件和浏览器的防护

  包含有7个细项,IG1前2项,IG2前6项,IG3全7项。

  这7项分别是:

  9.1 确保在企业中只允许运行使用完全受开发商支持的浏览器和电子邮件客户端,且只允许使用通过供应商提供的最新版本的浏览器和电子邮件客户端。

  9.2 在所有企业资产上使用DNS过滤服务来阻止对已知恶意域的访问。

  9.3 良好维护和强制实施嵌入到网络的URL过滤设备。此类设备又称为上网行为管理设备,且通常此类设备也不仅仅只具备URL过滤功能。设备需要经常更新其规则库,才能有效地限制企业内部资产连接到潜在的恶意网站或未经授权访问的网站。过滤方法一般包括基于网站分类的过滤、基于网站声誉的过滤,或直接定义拦截清单。要对所有企业资产强制执行URL过滤。

  9.4 卸载或禁用任何未经授权的或不必要的浏览器或电子邮件客户端的插件、扩展和附加应用程序。首先是可以通过URL过滤去限制软件访问其扩展程序商店,其次是需要通过软件的企业部署功能实现限制。

  9.5 实现DMARC,即基于网域的邮件认证、报告和一致性协议,Domain-based Message Authentication, Reporting & Conformance。

为了降低来自有效域的欺骗邮件或篡改过的电子邮件的机会,需要实现DMARC策略和验证,且要从实现发件人策略框架(Sender Policy Framework, SPF)和域密钥识别邮件(DomainKeys Identified Mail, DKIM)标准开始。

  启用DMARC的邮件收发双方建立了邮件反馈机制,便于邮件发送方和邮件接收方共同对域名的管理进行完善和监督。对于未通过前述检查的邮件,接收方则按照发送方指定的策略进行处理,如直接投入垃圾箱或拒收。从而有效识别并拦截欺诈邮件和钓鱼邮件,保障用户个人信息安全。

  9.6 如果电子邮件的附件文件是企业不需要的文件类型,应能拦截其进入企业的电子邮件网关。

  9.7 部署和维护电子邮件服务器的反恶意软件保护,比如对附件的扫描和沙箱处理。

  控制措施09的目的是使企业能改善对来自电子邮件或网络的威胁的防护和检测能力。因为这些都是攻击者通过人与人之间的互动,来实现操纵被攻击者的行为的机会。

浏览器

  网络罪犯可以通过多种方式利用浏览器。如果他们可以接触到浏览器的漏洞,他们就可以通过创建恶意网页,使使用人在使用不安全或未打补丁的浏览器上网浏览时利用这些漏洞。

  另外,他们也可以尝试把目标对准任意数量的web浏览器的第三方插件,这些插件可能允许他们能远程连接到浏览器中,甚至直接连接到操作系统或应用程序中。

  这些插件,就像企业内部环境中的任何其他软件一样,需要检查漏洞,保持最新的补丁或版本,并进行控制。

  插件的来源有可能是不受信任的,有些插件甚至就本来是专门开发的恶意软件。因此,最好防止用户有意或无意地安装可能隐藏在这些插件、扩展插件和附加插件中的恶意软件。

  简单地对浏览器的配置进行修改,降低浏览器安装插件或扩展的能力,就可以使恶意软件的安装变得比较困难,并阻止特定类型的内容自动执行。

  大多数流行的浏览器都使用钓鱼网站和恶意软件网站的数据库来抵御最常见的威胁。最佳实践当然是启用这些内容过滤器,并启用弹出窗口拦截器。弹出窗口不仅让人讨厌,还有机会直接托管嵌入的恶意软件,或者使用社交工程技巧引诱用户点击链接,实现进一步的攻击行为。

  为了能强制阻止已知的恶意网站,还可以通过部署DNS查询过滤服务,在网络层阻止使用人尝试访问这些网站。这通常也是包括在上网行为管理设备中。

电子邮件

  电子邮件代表了人类与企业资产之间最具互动性的方式之一。因此,培训和鼓励正确的电子邮件使用行为与技术设置一样重要。

  电子邮件是通过网络钓鱼和商业电子邮件妥协(Business Email Compromise, BEC)等策略对企业实施的威胁的最常见的手段。

  使用垃圾邮件过滤工具和在电子邮件网关上实现恶意软件扫描,可以减少进入企业网络的恶意电子邮件和附件的数量。启用DMARC可以进一步有助于减少垃圾邮件和网络钓鱼活动。

  安装加密工具来保护电子邮件和通信内容,这样就再增加了一层对用户和网络的安全性。

  除了基于发件人进行拦截之外,还可以通过只允许用户的工作所需要的某些文件类型去拦截。

  但这需要与不同的业务部门进行协调,以了解他们通过电子邮件接收的类型的文件,以确保他们的业务流程不会中断。

  由于钓鱼邮件技术不断发展,尝试能通过垃圾邮件过滤规则,所以,培训用户如何识别钓鱼邮件,并在看到钓鱼邮件时通知网络安全人员是很重要的事。

  有许多平台可以对用户进行网络钓鱼测试,以帮助他们了解各种实例,并跟踪他们随着时间推移而出现的行为改进情况。

  广泛获取这些知识,告知网络安全人员钓鱼情况,可以有助于提高对基于电子邮件的威胁的防护和检测。

本栏目相关
  •  2024-11-13 挖深网络安全的兔子洞:CPU 微码补丁管理
  •  2024-11-10 安全加固基准搅合国产操作系统上下游关系
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2023-02-27 注意:TightVNC 2.8.75 释出,修补 zlib 漏洞 CVE-2022-37434
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码: