為 GDPR 做好準備:強化易受攻擊的郵件系統

歐盟通用資料保護條例(GDPR)的目的是保護歐盟居民的個人資料,無論位在何處。該法規強制企業遵守關於如何收集、儲存和使用資料的隱私規定,包括數位識別資料(如電子郵件地址),通過郵件交換的訊息及郵件聯絡人列表(大多數電子郵件都涵蓋在“GDPR”所要保護的“個人資料”內 )。

趨勢科技2018年第一季封鎖了近95億筆的威脅 – 其中有82%與電子郵件有關

電子郵件對企業來說是特別脆弱的一環,因為它是一種溝通工具,同時也是網路犯罪份子最愛用的威脅載體。趨勢科技的Smart Protection Network在2018年第一季封鎖了近95億筆的威脅 – 其中有82%與電子郵件有關。

電子郵件會成為主要的攻擊途徑是因為這是種無處不在且被廣泛利用的通訊方式。根據市場調查公司Radicati Group在2017年所進行的研究顯示,該年每天發送了2,690億封電子郵件。除了數量外,電子郵件也被各種人士所使用,從年輕學生到跨國企業執行長都有。它已經成為日常生活的一部分,人們經常會打開電子郵件,滑動內容或點擊連結。網路犯罪分子也利用這樣的習慣來嘗試各種手法攻擊使用者:

  • 網路釣魚(Phishing)
    這是種古老卻仍被廣泛應用的攻擊方式,網路犯罪分子會冒充公司同事來向目標受害者索取個人資料或帳號內容。網路釣魚有時也被用來取得深入企業網路的權限。電子郵件只是網路釣魚攻擊的眾多形式之一。
  • 變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱BEC)
    在BEC詐騙中,網路犯罪分子會入侵高階主管的電子郵件帳號,並且試圖誘騙員工或財務長將資金轉到詐騙用帳戶。
  • 垃圾郵件(Spam) :
    垃圾郵件是另一個老舊但仍在使用中的技術。根據我們在2016年的調查結果,有71%的勒索病毒透過垃圾郵件散播。網路犯罪分子會製作看似合法的電子郵件(從工作相關郵件到行銷郵件都有)加上附加惡意檔案或連結。可以用來散播各種惡意軟體來危害使用者或企業的系統。

[延伸閱讀:資訊安全指南:緩解電子郵件威脅]

 

企業如何保護郵件系統並遵守 GDPR?

企業可以利用各種解決方案來符合GDPR要求,並且能夠更好地保護和管理使用者資料。首先,郵件系統應該要具備以下能力:

  • 讓資料主體(被收集個人資料的使用者)可以存取自己的資料GDPR在這方面的要求是為了讓使用者可以更能夠控制自己的個人資料。強調資料主體權利是GDPR的基本精神,因此對收集和處理來自客戶、供應商和其他組織郵件地址或郵件內容的企業來說,這是必要的責任。
  • 加密功能。因為電子郵件可能包含敏感個人資料(如信用卡資料、社會安全號碼或身份證號等),郵件系統必須能夠加以加密。完善的郵件服務會提供自動化和客製化的加密能力。
  • 歸檔和組織功能。企業還必須確保自己能夠遵守刪除資料的要求(或“被遺忘權”)。電子郵件和相關資料必須要組織過,讓使用者的個人資料可以根據要求被刪除,系統必須能夠停止資料進一步被傳播。公司還必須準備好讓使用者了解個人資料收集詳情以及這些資料會如何被處理。良好的歸檔系統和資料保留策略有助於滿足這些要求。
  • 準備好處理資料外洩事件。資料外洩通知是GDPR的主要要求之一(規定要求公司在發現資料外洩事件的72小時內回報,不然就會受到懲罰)。安全解決方案應該要能夠識別入侵指標並且偵測到電子郵件系統遭受入侵。管理員或資料保護長(DPO)接著就可以進行資料外洩回報程序(取決於事件嚴重程度)。
  • 保護儲存資料的伺服器和資料庫。郵件伺服器必須全年無休地進行監控、安裝安全解決方案並且限制存取權限。如果資料儲存在第三方(不論是實體或雲端),企業必須要確保服務商符合GDPR標準。

 

安裝最先進的安全防護

因為電子郵件已經相當普及,它的安全性可能會被視為理所當然。企業需要更加了解不安全郵件系統的風險,並且部署全面性的安全解決方案或選擇內建安全功能的郵件服務商。企業(無論是控制者還是處理者)都應該要部署符合GDPR要求的最先進安全措施。必須部署有效措施來抵禦惡意軟體並保護個人資料。對郵件系統來說,這代表要安裝能夠保護企業免於惡意連結和附件檔、網路釣魚攻擊、BEC詐騙攻擊及更多其他危害個人資料的常見郵件威脅的解決方案。

 

[延伸閱讀:利用AI和機器學習來遏制BEC詐騙問題]

電子郵件威脅通常會包含散播惡意軟體的可疑附件檔案,使得沙箱技術成為企業系統相當重要的防禦措施。沙箱技術可以讓管理員在不影響整個網路的情況下,在隔離環境中分析可能的惡意檔案。對復雜的郵件威脅來說,智慧沙箱可以提供更進階的資料收集和分析能力。

網路管理員應該要安裝全面性的郵件安全解決方案,提供了閘道保護如防垃圾郵件過濾器、對寄入郵件的客製化過濾網頁信譽評比追蹤客製化威脅情報。這些功能可以在針對性攻擊到達使用者電腦前就先加以封鎖。

教育員工識別社交工程攻擊避免網路釣魚攻擊也很重要。安全郵件實作的很大一部分是在企業建立隱私和安全意識文化。人們需要更加了解各種不同威脅,並了解自己可以做什麼來提供幫助。

當然,每個企業都是獨一無二的,沒有完美的解決方案可以保護各種系統對抗任何攻擊。有效的解決方案需要量身定制,並且利用多層面戰略來適應不斷演變的威脅及企業不斷變化的優先順序。

來了解我們如何解決GDPR合規的各個方面。

 

趨勢科技解決方案

趨勢科技 Smart Protection Suites利用全球威脅情報來在雲端阻止郵件威脅,透過資料遺失防護和加密來保護你的資料。作為趨勢科技的User Protection解決方案之一,它能夠識別針對性郵件攻擊、勒索病毒和進階威脅。混合式軟體即服務(SaaS)部署可以結合內部部署虛擬設備的隱私和控制能力以及雲端預先過濾服務的主動防護。

趨勢科技H Deep Discovery進階網路安全防護 設備可以偵測、深入分析和主動回應漏洞攻擊。作為趨勢科技的Network Defense解決方案之一,它包含了特製引擎、客製化沙箱和跨越整個攻擊生命週期的無縫關聯技術來對漏洞攻擊及其他類似威脅進行偵測、深入分析和主動回應,從而可以無需更新引擎和特徵碼就能夠偵測這些類型的攻擊。

趨勢科技的Hosted Email Security是一種無需維護的雲端解決方案,可持續地更新防護,在垃圾郵件、惡意軟體、魚叉式釣魚郵件、勒索病毒和進階針對性攻擊進入企業網路前先加以封鎖。作為趨勢科技的User Protection解決方案之一,它可以保護Microsoft Exchange、Microsoft Office 365、Google Apps以及其他代管和本地端郵件解決方案。

 

@原文出處:Get Ready for the GDPR: Fix Susceptible Email Systems