《孙子兵法·九地篇》中提到的“是故政举之日，夷关折符，无通其使”。也就是说，在决定战争方略的时候，就要封锁关口，废除通行符证，不充许敌方通过往来。

邮件系统作为内外网间信息传递的重要渠道，拥有防守客户单位重要的敏感数据。员工邮箱账号作为经常需要暴露的重要信息，就不可避免的容易被攻击方获取并进行有针对性的社工攻击，进而成为攻击方的内网桥头堡，因此在实战攻防演练对抗场景中，防守方的邮件系统在一开始就需要严防死守重点保障，杜绝一切攻击方可利用为攻击入口的机会。

本期为【2023安天攻防演练庙算记】第四章：邮件安全。

无论是常态的网络攻击，还是攻防演练对抗期间，攻击方均将社工邮件作为重要的攻击手法，挑战着防守方的防御水平。邮件攻击的形态也逐渐从单纯的含恶意附件、链接等传统社工攻击手法的基础上，逐渐迭代出了加密、混淆、二维码、网盘等多种形态的攻击手段。由于防守客户单位邮件系统承载的数据价值远高于其公网暴露的数据，同时又部署在服务器之上，并且一般是面向互联网开放的，所以，在实战攻防演练对抗场景中，防守方将面临复杂多样的攻击，如邮件应用漏洞、操作系统漏洞、弱口令暴力破解、泄露口令登录等。

综上所述，在实战攻防演练活动期间，强化邮件系统安全防护，实现邮件服务器安全防护、邮件信件监测、邮件登录监测、邮件异常发现、邮件漏洞检测、异常IP阻断等能力，致使攻击方无法将邮件作为攻击入口，至关重要。

图 安天实战攻防演练邮件安全防护服务示意图

安天实战攻防演练邮件安全防护服务，可以有效帮助防守客户单位提升网络防御能力，达成以下目标：

在准备阶段：开展开源渠道账户收集，发现网内重点被攻击对象。

进入对抗时：通过邮件安全防护服务，发现社工邮件、发现网络入侵、处置已获得桥头堡、追溯攻击方攻击；通过部署的安全工具发现恶意邮件，安全专家深度分析样本，形成分析报告，提供确凿证据与详细分析报告（包含发送时间、IP、详细内容、处置结果等），协助上报攻防演练指挥部，获得加分；对于已发现成功入侵的系统，协助应急处置，获得处置得分；结合样本IP，联合安天威胁情报中心，溯源攻击方，获得溯源加分。

演练结束后：提供总结报告，协助完成总结工作。

1.启动阶段：设计方案，制定预案

安天将深入了解防守客户单位业务系统，尽可能多的搜集被攻击目标信息，完成资产管理、配置管理、漏洞管理、身份管理等，做到知己知彼，直击最脆弱的地方。

1. 业务现状：了解邮件系统部署方式、架构、目标用户、规模，涉及到的关键技术等；

2. 资产管理：梳理邮件系统承载的系统软硬件信息，软件及补丁更新升级情况；

3. 配置管理：梳理邮件系统存在的管理员、用户、资产配置信息；

4. 漏洞管理：梳理邮件系统存在的安全漏洞，漏洞修补情况等；

5. 身份管理：梳理互联网公开的邮件账户信息；

6. 安全管理：梳理邮件系统安全策略：口令复杂度要求、口令更换周期、邮件加密策略、签名证书策略、邮件内容审查策略、账户定期清理策略等。

在掌握邮件系统现状基础上，梳理邮件安全防护方案，并根据在演练中可能发生的各种情形，制定响应预案。防护方案侧重于对邮件系统进行安全评估、检测和加固；响应预案则是对在演练中可能遭遇的相关的攻击类事件，如扫描事件、爆破事件、钓鱼事件、高危漏洞利用事件、木马事件等做好事前防御；与此同时，针对期间所有发现的安全问题，都及时组织技术专家与监测分析组进行同步处置，并实时上报现场指挥组。

2.备战阶段：安全加固，有备无患

安天将在邮件系统前部署邮件安全防护系统，部署工作包括：设备上架、软件安装、网络/系统联调、安全策略配置和调优、综合测试、安全防护效果验证。实现对邮件来源、登录操作、邮件附件、邮件链接，以及可疑访问、暴力破解、异常二维码、异常图片等进行实时安全检测。

同时，基于启动阶段发现的防守客户单位网络和邮件系统中的存在安全隐患，设计有针对性的安全加固方案，并协助落实安全加固措施；制定加固设备需求清单，收敛暴露面；在邮件服务器开放诱饵邮箱，在网络中设置诱捕信息，并重点监控诱饵邮箱威胁事件，及时发现并阻断任何具有威胁性网络连接、邮件通信的IP通信。

在此期间，安天还将为客户开展攻防预演服务，以实战化、专业级的能力和不对实际目标系统进行破坏攻击为底线，进行针对社工邮件、钓鱼邮件、暴力破解邮件账户等场景的实战攻防对抗演练，检验客户协同处置等方面的综合防护能力。进而从安全技术、管理和运营等多个维度着手，进一步发现防守客户单位存在的安全防御能力问题和缺陷，并帮助客户完善安全体系的建设，提升网络安全保障能力。

最后，安天将进行邮件安全培训，强化防守客户单位的安全管理和员工安全意识。

3.迎战阶段：监测分析，事件处置

进入实战攻防演练正式对抗期间，安天将为防守客户单位邮件系统提供7*24小时值守和监测服务。

结合客户业务场景部署安全产品，全面监测发现威胁与攻击行为，检测内部失陷的主机、内外部存在的攻击、诱饵邮箱，及时发现安全风险，清除威胁，并针对发现的威胁进行分析研判。邮件安全防护设备通过串行部署，实现社工邮件威胁实时捕获和检测，定位威胁源头并监控各种攻击行为；通过对邮件数据、IP信息、安全事件、运行状态、审计日志、威胁情报等信息的全要素、细粒度的记录，提升对定向攻击、高级威胁的发现和溯源能力，从而达到对潜在威胁、未知威胁的持续安全监测效果。安全专家结合SaaS平台对可疑文件采用动静态结合的深度分析方式，有效发现未知威胁，全面揭示分析对象的可疑行为，发现邮件安全事件及隐患。

1. 对安全监测设备上报的事件进行取证分析

1) 安全事件上报：邮件安全防护系统在发现威胁、异常事件后，将关联日志与恶意数据上报SaaS服务平台，交由二线安全服务专家，深度研判。

2) 事件证据收集：对海量数据排查结果并提供可疑线索；对事件的分析预判，对客户系统的具体问题邮件及入侵主机进行定位，对问题主机的关键信息进行取证，包括邮件取证、网络取证、样本取证、日志取证、进程取证、内存取证等。

3) 事件证据生成：预处理后的事件样本，最后经过客户同意，将相应事件取证内容提交云服务平台，进行后续的人工事件分析等。

2. 事件感染态势研判与恶意样本确认

基于事件前期取证分析的基础上，根据当前态势，对潜在威胁进行预估分析，预判感染数量、感染范围等情况。

3. 事件样本人工深度分析

安全专家全面针对包括下载、启动、解密、加密、后门、远程控制、信息窃取、注入、劫持、替换、Hook等功能在内的恶意代码进行语义分析、反汇编等静态分析，并结合系统监控、脱壳分析等动态分析，提取出样本中丰富的动静态信息，进而提供更加专业高效的处置处理方案。

4. 事件溯源分析

基于事件深度分析的基础之上，利用安天海量病毒数据库和社会工程学、威胁情报分析、海量信息挖掘等手段对样本深度分析的结果进行关联分析，对关键信息进行搜索排查，针对威胁事件进行定位、追溯，并与其他事件进行关联分析，最终确认攻击链（攻击发起者、攻击对象、攻击时间、攻击表现形式、攻击方法等）。

5. 事件威胁评估

在溯源分析的基础之上，对当前防守客户单位系统可能或者已经遭受的威胁进行说明，明确当前系统已经遭受到的威胁情况，并给出处置方法；同时，也对当前可能面临的潜在威胁进行预判分析。另外，基于网络威胁事件深度分析的基础之上，针对被攻击者的身份、职责以及其他特别因素，结合样本功能和被窃信息以及攻击手法，分析攻击方的攻击动机，并提供防护方案。

事件处置与体系优化建议是基于事件深度分析基础之上，结合事件威胁评估，对当前客户系统给出相应的威胁处置方案与预防方案，包括手动对威胁事件的清除方案，如有必要可进场清除恶意事件。事件解决方案是事件深入分析中的最后步骤，也是关键的步骤，能为客户构筑良好的邮件应用环境打下坚实的基础。

4.总结阶段：总结复盘，全面加固

安天将根据演练整体工作情况进行总结，针对演练过程中防守客户单位的邮件系统暴露出的各种问题进行复盘，并制定优化工作目标和工作计划，输出邮件系统安全加固建议。

邮件安全防护服务价值

在整个攻防演练过程中，邮件安全防护服务可全方位对邮件系统进行安全防护和监测，确保实时对邮件来源、登录操作、邮件附件、邮件链接，以及可疑访问、暴力破解、异常二维码、异常图片等进行安全检测，并及时处置相关事件，进而全面提升邮件安全防御能力，有效抵御攻击威胁。

同时，邮件安全防护服务，可配合安天探海威胁检测系统与安天追影威胁分析系统交叉部署在攻击方的必经之路上，全方位采集流量，在威胁抵达目标的路径上增加关隘进行智能化威胁响应，做到“关口前移，防患于未然”，让攻击方无所遁形、无处可逃、无计可施；期间，探海还可联动追影将还原的文件载荷进行深度分析，实现漏洞触发、细粒度行为揭示和威胁情报的输出，有效提升对未知威胁的发现、监测、阻断能力；最终，帮助客户构筑动态综合的网络安全纵深防御体系。

在2022年大型实战攻防演练活动中，安天邮件安全防护服务为某客户单位监测分析钓鱼邮件攻击事件10余起，溯源加分720分。

邮件安全防护服务价值

附录：关键产品价值简介

下期预告

下期为【2023安天攻防演练庙算记】第五章：网站防护。

将分享安天的网站安全监测服务，在攻防演练活动期间如何显著提高客户网站的安全防护水平，并在对抗中极大降低失分风险的同时获得加分。