2021-08-04
在企業的辦公環境中,電子郵件是主要的溝通方式之一,在一段時間內電子郵件并不會消失,因為每個人都在使用它。
不幸的是,它恰好也是攻擊者的主要入口點,據統計每一百封電子郵件中就有一封是惡意郵件,從表面上看似乎不是一個很龐大的數字,當全球每天發送數十億封電子郵件時,惡意郵件的數量就會變的很龐大。受害者只需與惡意電子郵件進行一次交互,攻擊者就可以通過惡意電子郵件對目標造成重大經濟損失。
數據驅動安全,日志服務無論在事前安全監控方面還是在事后對安全事件進行審計分析與溯源定位,都扮演著重要的角色。筆者將結合一次企業郵件安全事件的實際工作經驗與各位分享郵件系統日志數據的安全審計分析與應用,以供探討。
事件描述:
某企業客戶幾天來,幾乎每個員工都收到了跟企業業務相關的詐騙郵件,反垃圾郵件網關失效,攻擊源無法找到。
事件分析:
該用戶用的反垃圾郵件網關是業界知名品牌,特征庫也更新到最新,日志中也無異常報警,因此分析應該是內網終端發送詐騙郵件。
解決思路:
該企業采用的是Windows版的Exchange郵件服務器,將郵件服務器的Exchange的日志,包含windows安全日志、郵件追蹤日志、郵件網關日志、安全設備日志收集到日志易分析平臺,找出近期發郵件最多的用戶,斷網禁用,問題應該就解決了。
操作步驟:
第一步:
收集日志
第二步:
對日志數據進行進行加工及解析,解析后的日志數據更利于郵件系統安全審計分析與應用。
(解析后的數據)
第三步:通過提取郵件系統日志中的關鍵字進行統計分析
選取“時間”、“郵件主題”、“發件人”、“收件人”等關鍵字段,利用日志分析工具對數據進行分析統計,通過日志分析平臺對郵件收發進行追蹤查詢。
(可疑用戶轉發郵件主題分析)
(可疑用戶對內用戶發送可疑郵件)
經過分析,發現兩個用戶對內網中其他用戶發送多封可疑郵件主題行為,斷定這兩臺電腦已經感染惡意程序,用專業版安全軟件對這兩臺電腦進行深度查殺之后,問題解決。
總結
日志數據是運維的必要手段之一,準確及時地分析日志,從日志中發現黑客攻擊的痕跡,后續的預警、處置和溯源才有據可循。有效日志分析也能及早阻斷或擊退黑客的攻擊,逼其放棄嘗試或者轉移攻擊目標。因此,日志的快速處理及分析至關重要。普惠數碼擁有多家金融機構和大型企業日志分析部署經驗,并且積累了上百種安全分析場景,想要了解更詳細的信息,可在文章下方留言哦。