《孫子兵法·九地篇》中提到的“是故政舉之日，夷關折符，無通其使”。也就是說，在決定戰爭方略的時候，就要封鎖關口，廢除通行符證，不充許敵方通過往來。

郵件系統作為內外網間信息傳遞的重要渠道，擁有防守客戶單位重要的敏感數據。員工郵箱賬號作為經常需要暴露的重要信息，就不可避免的容易被攻擊方獲取并進行有針對性的社工攻擊，進而成為攻擊方的內網橋頭堡，因此在實戰攻防演練對抗場景中，防守方的郵件系統在一開始就需要嚴防死守重點保障，杜絕一切攻擊方可利用為攻擊入口的機會。

本期為【2023安天攻防演練廟算記】第四章：郵件安全。

無論是常態的網絡攻擊，還是攻防演練對抗期間，攻擊方均將社工郵件作為重要的攻擊手法，挑戰著防守方的防御水平。郵件攻擊的形態也逐漸從單純的含惡意附件、鏈接等傳統社工攻擊手法的基礎上，逐漸迭代出了加密、混淆、二維碼、網盤等多種形態的攻擊手段。由于防守客戶單位郵件系統承載的數據價值遠高于其公網暴露的數據，同時又部署在服務器之上，并且一般是面向互聯網開放的，所以，在實戰攻防演練對抗場景中，防守方將面臨復雜多樣的攻擊，如郵件應用漏洞、操作系統漏洞、弱口令暴力破解、泄露口令登錄等。

綜上所述，在實戰攻防演練活動期間，強化郵件系統安全防護，實現郵件服務器安全防護、郵件信件監測、郵件登錄監測、郵件異常發現、郵件漏洞檢測、異常IP阻斷等能力，致使攻擊方無法將郵件作為攻擊入口，至關重要。

圖 安天實戰攻防演練郵件安全防護服務示意圖

安天實戰攻防演練郵件安全防護服務，可以有效幫助防守客戶單位提升網絡防御能力，達成以下目標：

在準備階段：開展開源渠道賬戶收集，發現網內重點被攻擊對象。

進入對抗時：通過郵件安全防護服務，發現社工郵件、發現網絡入侵、處置已獲得橋頭堡、追溯攻擊方攻擊；通過部署的安全工具發現惡意郵件，安全專家深度分析樣本，形成分析報告，提供確鑿證據與詳細分析報告（包含發送時間、IP、詳細內容、處置結果等），協助上報攻防演練指揮部，獲得加分；對于已發現成功入侵的系統，協助應急處置，獲得處置得分；結合樣本IP，聯合安天威脅情報中心，溯源攻擊方，獲得溯源加分。

演練結束后：提供總結報告，協助完成總結工作。

1.啟動階段：設計方案，制定預案

安天將深入了解防守客戶單位業務系統，盡可能多的搜集被攻擊目標信息，完成資產管理、配置管理、漏洞管理、身份管理等，做到知己知彼，直擊最脆弱的地方。

1. 業務現狀：了解郵件系統部署方式、架構、目標用戶、規模，涉及到的關鍵技術等；

2. 資產管理：梳理郵件系統承載的系統軟硬件信息，軟件及補丁更新升級情況；

3. 配置管理：梳理郵件系統存在的管理員、用戶、資產配置信息；

4. 漏洞管理：梳理郵件系統存在的安全漏洞，漏洞修補情況等；

5. 身份管理：梳理互聯網公開的郵件賬戶信息；

6. 安全管理：梳理郵件系統安全策略：口令復雜度要求、口令更換周期、郵件加密策略、簽名證書策略、郵件內容審查策略、賬戶定期清理策略等。

在掌握郵件系統現狀基礎上，梳理郵件安全防護方案，并根據在演練中可能發生的各種情形，制定響應預案。防護方案側重于對郵件系統進行安全評估、檢測和加固；響應預案則是對在演練中可能遭遇的相關的攻擊類事件，如掃描事件、爆破事件、釣魚事件、高危漏洞利用事件、木馬事件等做好事前防御；與此同時，針對期間所有發現的安全問題，都及時組織技術專家與監測分析組進行同步處置，并實時上報現場指揮組。

2.備戰階段：安全加固，有備無患

安天將在郵件系統前部署郵件安全防護系統，部署工作包括：設備上架、軟件安裝、網絡/系統聯調、安全策略配置和調優、綜合測試、安全防護效果驗證。實現對郵件來源、登錄操作、郵件附件、郵件鏈接，以及可疑訪問、暴力破解、異常二維碼、異常圖片等進行實時安全檢測。

同時，基于啟動階段發現的防守客戶單位網絡和郵件系統中的存在安全隱患，設計有針對性的安全加固方案，并協助落實安全加固措施；制定加固設備需求清單，收斂暴露面；在郵件服務器開放誘餌郵箱，在網絡中設置誘捕信息，并重點監控誘餌郵箱威脅事件，及時發現并阻斷任何具有威脅性網絡連接、郵件通信的IP通信。

在此期間，安天還將為客戶開展攻防預演服務，以實戰化、專業級的能力和不對實際目標系統進行破壞攻擊為底線，進行針對社工郵件、釣魚郵件、暴力破解郵件賬戶等場景的實戰攻防對抗演練，檢驗客戶協同處置等方面的綜合防護能力。進而從安全技術、管理和運營等多個維度著手，進一步發現防守客戶單位存在的安全防御能力問題和缺陷，并幫助客戶完善安全體系的建設，提升網絡安全保障能力。

最后，安天將進行郵件安全培訓，強化防守客戶單位的安全管理和員工安全意識。

3.迎戰階段：監測分析，事件處置

進入實戰攻防演練正式對抗期間，安天將為防守客戶單位郵件系統提供7*24小時值守和監測服務。

結合客戶業務場景部署安全產品，全面監測發現威脅與攻擊行為，檢測內部失陷的主機、內外部存在的攻擊、誘餌郵箱，及時發現安全風險，清除威脅，并針對發現的威脅進行分析研判。郵件安全防護設備通過串行部署，實現社工郵件威脅實時捕獲和檢測，定位威脅源頭并監控各種攻擊行為；通過對郵件數據、IP信息、安全事件、運行狀態、審計日志、威脅情報等信息的全要素、細粒度的記錄，提升對定向攻擊、高級威脅的發現和溯源能力，從而達到對潛在威脅、未知威脅的持續安全監測效果。安全專家結合SaaS平臺對可疑文件采用動靜態結合的深度分析方式，有效發現未知威脅，全面揭示分析對象的可疑行為，發現郵件安全事件及隱患。

1. 對安全監測設備上報的事件進行取證分析

1) 安全事件上報：郵件安全防護系統在發現威脅、異常事件后，將關聯日志與惡意數據上報SaaS服務平臺，交由二線安全服務專家，深度研判。

2) 事件證據收集：對海量數據排查結果并提供可疑線索；對事件的分析預判，對客戶系統的具體問題郵件及入侵主機進行定位，對問題主機的關鍵信息進行取證，包括郵件取證、網絡取證、樣本取證、日志取證、進程取證、內存取證等。

3) 事件證據生成：預處理后的事件樣本，最后經過客戶同意，將相應事件取證內容提交云服務平臺，進行后續的人工事件分析等。

2. 事件感染態勢研判與惡意樣本確認

基于事件前期取證分析的基礎上，根據當前態勢，對潛在威脅進行預估分析，預判感染數量、感染范圍等情況。

3. 事件樣本人工深度分析

安全專家全面針對包括下載、啟動、解密、加密、后門、遠程控制、信息竊取、注入、劫持、替換、Hook等功能在內的惡意代碼進行語義分析、反匯編等靜態分析，并結合系統監控、脫殼分析等動態分析，提取出樣本中豐富的動靜態信息，進而提供更加專業高效的處置處理方案。

4. 事件溯源分析

基于事件深度分析的基礎之上，利用安天海量病毒數據庫和社會工程學、威脅情報分析、海量信息挖掘等手段對樣本深度分析的結果進行關聯分析，對關鍵信息進行搜索排查，針對威脅事件進行定位、追溯，并與其他事件進行關聯分析，最終確認攻擊鏈（攻擊發起者、攻擊對象、攻擊時間、攻擊表現形式、攻擊方法等）。

5. 事件威脅評估

在溯源分析的基礎之上，對當前防守客戶單位系統可能或者已經遭受的威脅進行說明，明確當前系統已經遭受到的威脅情況，并給出處置方法；同時，也對當前可能面臨的潛在威脅進行預判分析。另外，基于網絡威脅事件深度分析的基礎之上，針對被攻擊者的身份、職責以及其他特別因素，結合樣本功能和被竊信息以及攻擊手法，分析攻擊方的攻擊動機，并提供防護方案。

事件處置與體系優化建議是基于事件深度分析基礎之上，結合事件威脅評估，對當前客戶系統給出相應的威脅處置方案與預防方案，包括手動對威脅事件的清除方案，如有必要可進場清除惡意事件。事件解決方案是事件深入分析中的最后步驟，也是關鍵的步驟，能為客戶構筑良好的郵件應用環境打下堅實的基礎。

4.總結階段：總結復盤，全面加固

安天將根據演練整體工作情況進行總結，針對演練過程中防守客戶單位的郵件系統暴露出的各種問題進行復盤，并制定優化工作目標和工作計劃，輸出郵件系統安全加固建議。

郵件安全防護服務價值

在整個攻防演練過程中，郵件安全防護服務可全方位對郵件系統進行安全防護和監測，確保實時對郵件來源、登錄操作、郵件附件、郵件鏈接，以及可疑訪問、暴力破解、異常二維碼、異常圖片等進行安全檢測，并及時處置相關事件，進而全面提升郵件安全防御能力，有效抵御攻擊威脅。

同時，郵件安全防護服務，可配合安天探海威脅檢測系統與安天追影威脅分析系統交叉部署在攻擊方的必經之路上，全方位采集流量，在威脅抵達目標的路徑上增加關隘進行智能化威脅響應，做到“關口前移，防患于未然”，讓攻擊方無所遁形、無處可逃、無計可施；期間，探海還可聯動追影將還原的文件載荷進行深度分析，實現漏洞觸發、細粒度行為揭示和威脅情報的輸出，有效提升對未知威脅的發現、監測、阻斷能力；最終，幫助客戶構筑動態綜合的網絡安全縱深防御體系。

在2022年大型實戰攻防演練活動中，安天郵件安全防護服務為某客戶單位監測分析釣魚郵件攻擊事件10余起，溯源加分720分。

郵件安全防護服務價值

附錄：關鍵產品價值簡介

下期預告

下期為【2023安天攻防演練廟算記】第五章：網站防護。

將分享安天的網站安全監測服務，在攻防演練活動期間如何顯著提高客戶網站的安全防護水平，并在對抗中極大降低失分風險的同時獲得加分。