威脅防護并不只是阻止外部行為者進入�����,還需要防止敏感數(shù)據(jù)外泄。大部分組織并沒有意識到其電子郵件收件箱中有多少機密信息。
威脅防護并不只是阻止外部行為者進入����,還需要防止敏感數(shù)據(jù)外泄。大部分組織并沒有意識到其電子郵件收件箱中有多少機密信息�。員工每天處理海量的敏感數(shù)據(jù)(例如知識產(chǎn)權、內部文檔�����、PII或支付信息)�,并經(jīng)常通過電子郵件在內部分享這些信息,電子郵件因此成為公司存儲機密信息的主要地方��。所以各大組織都為如何防止意外或惡意泄漏敏感數(shù)據(jù)而擔憂���,為此還經(jīng)常制定強有力的數(shù)據(jù)丟失防護策略�。Cloudflare使用Area 1電子郵件安全和Cloudflare One���,幫助客戶輕松管理電子郵件收件箱中的數(shù)據(jù)���。
Cloudflare One是我們的SASE平臺,使用原生內置的Zero Trust安全性提供網(wǎng)絡即服務(NaaS)��,將用戶與企業(yè)資源連接起來,并提供各種各樣的機會來保護企業(yè)流量���,包括檢查傳輸?shù)狡髽I(yè)電子郵箱的數(shù)據(jù)�。Area 1電子郵件安全作為我們的可組合Cloudflare One平臺的組成部分���,為您的收件箱提供最完整的數(shù)據(jù)保護�����,并在包括數(shù)據(jù)丟失防護(DLP)等其他服務時提供聚合解決方案��。憑借輕松按需利用和實施Zero Trust服務的能力��,客戶可以根據(jù)自己最關鍵的用例,靈活實施防御��。如果結合使用Area 1+DLP�,則可以先發(fā)制人,共同應對組織最緊迫的高風險暴露用例���。結合使用這些產(chǎn)品可深度防護企業(yè)數(shù)據(jù)��。
通過HTTP防止云電子郵件數(shù)據(jù)外泄
電子郵件很容易外泄企業(yè)數(shù)據(jù)���,那為何一開始要在電子郵件中包含敏感數(shù)據(jù)呢����?員工可能在客戶的電子郵件中意外附加了內部文件而非公開白皮書��,甚至可能在電子郵件附件中包含了錯誤客戶的信息����。
利用Cloudflare數(shù)據(jù)丟失防護(DLP),您可以防止將PII或知識產(chǎn)權等敏感數(shù)據(jù)上傳到企業(yè)電子郵件中�。
DLP是Cloudflare One的組成部分,而Cloudflare One通過Cloudflare網(wǎng)絡處理來自數(shù)據(jù)中心�����、辦公室和遠程用戶的流量�。隨著流量遍歷Cloudflare,我們提供各種保護�����,包括驗證身份和設備態(tài)勢����,并過濾企業(yè)流量���。
Cloudflare One提供HTTP(s)過濾,讓您可以檢查流量并將其路由到企業(yè)應用程序��。Cloudflare數(shù)據(jù)丟失防護(DLP)利用了Cloudflare One的HTTP過濾功能�����。您可以對您的企業(yè)流量應用一些規(guī)則��,并根據(jù)HTTP請求中的信息路由流量����。包括各種各樣的過濾選項,例如域���、URL�、應用程序�����、HTTP方法���,等等�。您可以使用這些選項對想要進行DLP掃描的流量分段����。所有這些都可以利用我們全球網(wǎng)絡的性能來完成,并通過一個控制平面進行管理���。
您可以將DLP策略應用于企業(yè)電子郵件應用程序��,例如Google Suite或O365���。當員工試圖將附件上傳到電子郵件時,系統(tǒng)會檢查上傳內容中是否含有敏感數(shù)據(jù)�����,然后根據(jù)您的策略允許或阻止上傳��。
使用Area 1����,通過以下方式擴展更多核心數(shù)據(jù)保護原則:
在合作伙伴之間強制實施數(shù)據(jù)安全
利用Cloudflare的Area 1,您還可以強制實施強TLS標準��。配置TLS可額外增加一個安全層����,因為這可確保將電子郵件加密���,防止任何攻擊者在攔截傳輸中的電子郵件后讀取敏感信息和更改消息(在途攻擊)。對于在面臨被窺視風險的情況下仍將內部電子郵件發(fā)送到整個互聯(lián)網(wǎng)的G Suite客戶�,或根據(jù)合約有義務使用SSL/TLS與合作伙伴通信的客戶,這一點尤其有用����。
利用Area 1可以輕松地實施SSL/TLS檢查。您可以從Area 1門戶配置合作伙伴域TLS:在“Domains&Routing”(域和路由)中找到“Partner Domains TLS”(合作伙伴域TLS)��,并添加您想實施TLS的合作伙伴域��。如果將TLS配置為必需����,那么從該域發(fā)出的所有未使用TLS的電子郵件都將自動丟棄。我們的TLS會確保強有力的TLS�,而不是盡可能確保所有流量都使用高強度密碼進行加密,防止惡意攻擊者解密任何被攔截的電子郵件����。
防止被動丟失電子郵件數(shù)據(jù)
組織常常忽略了一點����,那就是即使不發(fā)送任何電子郵件��,也可能發(fā)生外泄�。攻擊者如果能夠破壞公司賬戶��,就能監(jiān)控所有通信����,并手動挑選信息。
一旦攻擊者到達這個階段����,就極難發(fā)現(xiàn)帳戶遭到了入侵、哪些信息受到跟蹤��。電子郵件數(shù)量���、IP地址更改及其他指標發(fā)揮不了作用����,因為攻擊者并沒有采取任何會引起懷疑的行動����。Cloudflare強烈主張在發(fā)生帳戶接管之前就加以預防����,讓所有攻擊都無所遁形���。
為了預防發(fā)生帳戶接管��,我們強調對有竊取員工憑據(jù)風險的電子郵件進行過濾�����。惡意行為者最常采用的攻擊手段是釣魚郵件�����。鑒于釣魚郵件攻擊成功之后可嚴重影響機密數(shù)據(jù)的訪問����,攻擊者將其視為首選的攻擊武器也就不足為奇了�����。對于使用Cloudflare的Area 1產(chǎn)品進行保護的電子郵件收件箱���,釣魚郵件幾乎無法造成威脅�。Area 1的各種模型能夠分析不同的元數(shù)據(jù),評估消息是否為可疑的釣魚郵件����。利用域名近似(域名與合法域名的近似程度)���、電子郵件情緒等模型檢測到的異常��,可以快速確定電子郵件是否合法�����。如果Area 1確定一封電子郵件是釣魚郵件��,我們會自動撤回該郵件���,以防收件人的收件箱中收到該郵件,確保其不會攻擊并利用員工帳戶外泄數(shù)據(jù)�����。
防范惡意鏈接
企圖外泄組織數(shù)據(jù)的攻擊者還常常依賴員工點擊電子郵件中的鏈接�。這些鏈接可能會指向一些在線表單,它們表面上看似無害,其實卻是在采集敏感信息���。攻擊者可以利用這些網(wǎng)站發(fā)起采集訪問者信息的腳本����,無需員工進行任何交互�����。這十分令人擔憂�����,因為員工一旦誤點鏈接���,就可能造成敏感信息外泄���。其他惡意鏈接可能包含用戶經(jīng)常訪問的網(wǎng)站的精確副本。然而���,這些鏈接是一種釣魚����,員工在其中輸入憑證后,會將憑證發(fā)送給攻擊者���,并不會讓員工登錄網(wǎng)站��。
Area 1提供電子郵件鏈接隔離來應對這一風險�,這是我們電子郵件安全產(chǎn)品的組成部分����。利用電子郵件鏈接隔離���,Area 1會檢查發(fā)送的每個鏈接�����,并訪問其域權限��。對于可疑的鏈接(我們無法確信安全的鏈接)���,Area 1會啟動無頭Chromium瀏覽器,在其中打開該鏈接且不中斷���。這樣一來����,執(zhí)行的任何惡意腳本都將在遠離公司基礎設施的隔離實例中運行,攻擊者無法獲取企業(yè)信息����。這一切都將即時可靠地完成。
阻止勒索軟件
攻擊者有許多攻擊武器可用于攻擊員工賬戶�����。如上所述�����,網(wǎng)絡釣魚是一種常見的威脅手段���,但絕非唯一�����。Area 1還積極阻止勒索軟件的傳播�。
攻擊者用于傳播勒索軟件的一種常見機制是重命名���,然后偽裝成附件�。勒索軟件有效負載可能從petya.7z重命名為Invoice.pdf,企圖誘騙員工下載該文件�����。如果電子郵件內容讓該發(fā)票看起來很緊急��,員工就有可能盲目地試圖在計算機上打開該附件�,導致組織遭遇勒索軟件攻擊。Area 1的模型可檢測這些不匹配情況�����,阻止惡意附件進入攻擊目標的電子郵件收件箱�����。
成功的勒索軟件活動不僅可能妨礙任何公司的日常運營����,還可能在加密無法逆轉的情況下造成本地數(shù)據(jù)丟失��。Cloudflare的Area 1產(chǎn)品有專用的有效負載模型�,不僅會分析附件擴展名,還會分析附件的哈希值��,將其與已知勒索軟件活動進行比較。一旦Area 1認為某附件是勒索軟件�,我們便會禁止該電子郵件繼續(xù)傳輸。
Cloudflare的DLP愿景
我們的目標是通過Cloudflare產(chǎn)品為您提供所需的分層安全防御����,保護您的組織防范外部闖入的惡意企圖以及敏感數(shù)據(jù)外泄。隨著電子郵件繼續(xù)作為最大的企業(yè)數(shù)據(jù)面�����,對于公司來說�,實施強有力的DLP策略,防止數(shù)據(jù)丟失至關重要�����。通過Area 1與Cloudflare One的緊密結合�,Cloudflare能讓組織更加信任其DLP策略。
閩公網(wǎng)安備 35010202001226號
