Cloudflare Area 1與DLP如何協(xié)同發(fā)揮作用，保護(hù)電子郵件中的數(shù)據(jù)安全

威脅防護(hù)并不只是阻止外部行為者進(jìn)入，還需要防止敏感數(shù)據(jù)外泄。大部分組織并沒有意識(shí)到其電子郵件收件箱中有多少機(jī)密信息。員工每天處理海量的敏感數(shù)據(jù)（例如知識(shí)產(chǎn)權(quán)、內(nèi)部文檔、PII或支付信息），并經(jīng)常通過電子郵件在內(nèi)部分享這些信息，電子郵件因此成為公司存儲(chǔ)機(jī)密信息的主要地方。所以各大組織都為如何防止意外或惡意泄漏敏感數(shù)據(jù)而擔(dān)憂，為此還經(jīng)常制定強(qiáng)有力的數(shù)據(jù)丟失防護(hù)策略。Cloudflare使用Area 1電子郵件安全和Cloudflare One，幫助客戶輕松管理電子郵件收件箱中的數(shù)據(jù)。

Cloudflare One是我們的SASE平臺(tái)，使用原生內(nèi)置的Zero Trust安全性提供網(wǎng)絡(luò)即服務(wù)（NaaS），將用戶與企業(yè)資源連接起來，并提供各種各樣的機(jī)會(huì)來保護(hù)企業(yè)流量，包括檢查傳輸?shù)狡髽I(yè)電子郵箱的數(shù)據(jù)。Area 1電子郵件安全作為我們的可組合Cloudflare One平臺(tái)的組成部分，為您的收件箱提供最完整的數(shù)據(jù)保護(hù)，并在包括數(shù)據(jù)丟失防護(hù)（DLP）等其他服務(wù)時(shí)提供聚合解決方案。憑借輕松按需利用和實(shí)施Zero Trust服務(wù)的能力，客戶可以根據(jù)自己最關(guān)鍵的用例，靈活實(shí)施防御。如果結(jié)合使用Area 1+DLP，則可以先發(fā)制人，共同應(yīng)對(duì)組織最緊迫的高風(fēng)險(xiǎn)暴露用例。結(jié)合使用這些產(chǎn)品可深度防護(hù)企業(yè)數(shù)據(jù)。

通過HTTP防止云電子郵件數(shù)據(jù)外泄

電子郵件很容易外泄企業(yè)數(shù)據(jù)，那為何一開始要在電子郵件中包含敏感數(shù)據(jù)呢？員工可能在客戶的電子郵件中意外附加了內(nèi)部文件而非公開白皮書，甚至可能在電子郵件附件中包含了錯(cuò)誤客戶的信息。

利用Cloudflare數(shù)據(jù)丟失防護(hù)（DLP），您可以防止將PII或知識(shí)產(chǎn)權(quán)等敏感數(shù)據(jù)上傳到企業(yè)電子郵件中。

DLP是Cloudflare One的組成部分，而Cloudflare One通過Cloudflare網(wǎng)絡(luò)處理來自數(shù)據(jù)中心、辦公室和遠(yuǎn)程用戶的流量。隨著流量遍歷Cloudflare，我們提供各種保護(hù)，包括驗(yàn)證身份和設(shè)備態(tài)勢(shì)，并過濾企業(yè)流量。

Cloudflare One提供HTTP（s）過濾，讓您可以檢查流量并將其路由到企業(yè)應(yīng)用程序。Cloudflare數(shù)據(jù)丟失防護(hù)（DLP）利用了Cloudflare One的HTTP過濾功能。您可以對(duì)您的企業(yè)流量應(yīng)用一些規(guī)則，并根據(jù)HTTP請(qǐng)求中的信息路由流量。包括各種各樣的過濾選項(xiàng)，例如域、URL、應(yīng)用程序、HTTP方法，等等。您可以使用這些選項(xiàng)對(duì)想要進(jìn)行DLP掃描的流量分段。所有這些都可以利用我們?nèi)蚓W(wǎng)絡(luò)的性能來完成，并通過一個(gè)控制平面進(jìn)行管理。

您可以將DLP策略應(yīng)用于企業(yè)電子郵件應(yīng)用程序，例如Google Suite或O365。當(dāng)員工試圖將附件上傳到電子郵件時(shí)，系統(tǒng)會(huì)檢查上傳內(nèi)容中是否含有敏感數(shù)據(jù)，然后根據(jù)您的策略允許或阻止上傳。

使用Area 1，通過以下方式擴(kuò)展更多核心數(shù)據(jù)保護(hù)原則：

在合作伙伴之間強(qiáng)制實(shí)施數(shù)據(jù)安全

利用Cloudflare的Area 1，您還可以強(qiáng)制實(shí)施強(qiáng)TLS標(biāo)準(zhǔn)。配置TLS可額外增加一個(gè)安全層，因?yàn)檫@可確保將電子郵件加密，防止任何攻擊者在攔截傳輸中的電子郵件后讀取敏感信息和更改消息（在途攻擊）。對(duì)于在面臨被窺視風(fēng)險(xiǎn)的情況下仍將內(nèi)部電子郵件發(fā)送到整個(gè)互聯(lián)網(wǎng)的G Suite客戶，或根據(jù)合約有義務(wù)使用SSL/TLS與合作伙伴通信的客戶，這一點(diǎn)尤其有用。

利用Area 1可以輕松地實(shí)施SSL/TLS檢查。您可以從Area 1門戶配置合作伙伴域TLS：在“Domains&Routing”（域和路由）中找到“Partner Domains TLS”（合作伙伴域TLS），并添加您想實(shí)施TLS的合作伙伴域。如果將TLS配置為必需，那么從該域發(fā)出的所有未使用TLS的電子郵件都將自動(dòng)丟棄。我們的TLS會(huì)確保強(qiáng)有力的TLS，而不是盡可能確保所有流量都使用高強(qiáng)度密碼進(jìn)行加密，防止惡意攻擊者解密任何被攔截的電子郵件。

防止被動(dòng)丟失電子郵件數(shù)據(jù)

組織常常忽略了一點(diǎn)，那就是即使不發(fā)送任何電子郵件，也可能發(fā)生外泄。攻擊者如果能夠破壞公司賬戶，就能監(jiān)控所有通信，并手動(dòng)挑選信息。

一旦攻擊者到達(dá)這個(gè)階段，就極難發(fā)現(xiàn)帳戶遭到了入侵、哪些信息受到跟蹤。電子郵件數(shù)量、IP地址更改及其他指標(biāo)發(fā)揮不了作用，因?yàn)楣粽卟]有采取任何會(huì)引起懷疑的行動(dòng)。Cloudflare強(qiáng)烈主張?jiān)诎l(fā)生帳戶接管之前就加以預(yù)防，讓所有攻擊都無所遁形。

為了預(yù)防發(fā)生帳戶接管，我們強(qiáng)調(diào)對(duì)有竊取員工憑據(jù)風(fēng)險(xiǎn)的電子郵件進(jìn)行過濾。惡意行為者最常采用的攻擊手段是釣魚郵件。鑒于釣魚郵件攻擊成功之后可嚴(yán)重影響機(jī)密數(shù)據(jù)的訪問，攻擊者將其視為首選的攻擊武器也就不足為奇了。對(duì)于使用Cloudflare的Area 1產(chǎn)品進(jìn)行保護(hù)的電子郵件收件箱，釣魚郵件幾乎無法造成威脅。Area 1的各種模型能夠分析不同的元數(shù)據(jù)，評(píng)估消息是否為可疑的釣魚郵件。利用域名近似（域名與合法域名的近似程度）、電子郵件情緒等模型檢測(cè)到的異常，可以快速確定電子郵件是否合法。如果Area 1確定一封電子郵件是釣魚郵件，我們會(huì)自動(dòng)撤回該郵件，以防收件人的收件箱中收到該郵件，確保其不會(huì)攻擊并利用員工帳戶外泄數(shù)據(jù)。

防范惡意鏈接

企圖外泄組織數(shù)據(jù)的攻擊者還常常依賴員工點(diǎn)擊電子郵件中的鏈接。這些鏈接可能會(huì)指向一些在線表單，它們表面上看似無害，其實(shí)卻是在采集敏感信息。攻擊者可以利用這些網(wǎng)站發(fā)起采集訪問者信息的腳本，無需員工進(jìn)行任何交互。這十分令人擔(dān)憂，因?yàn)閱T工一旦誤點(diǎn)鏈接，就可能造成敏感信息外泄。其他惡意鏈接可能包含用戶經(jīng)常訪問的網(wǎng)站的精確副本。然而，這些鏈接是一種釣魚，員工在其中輸入憑證后，會(huì)將憑證發(fā)送給攻擊者，并不會(huì)讓員工登錄網(wǎng)站。

Area 1提供電子郵件鏈接隔離來應(yīng)對(duì)這一風(fēng)險(xiǎn)，這是我們電子郵件安全產(chǎn)品的組成部分。利用電子郵件鏈接隔離，Area 1會(huì)檢查發(fā)送的每個(gè)鏈接，并訪問其域權(quán)限。對(duì)于可疑的鏈接（我們無法確信安全的鏈接），Area 1會(huì)啟動(dòng)無頭Chromium瀏覽器，在其中打開該鏈接且不中斷。這樣一來，執(zhí)行的任何惡意腳本都將在遠(yuǎn)離公司基礎(chǔ)設(shè)施的隔離實(shí)例中運(yùn)行，攻擊者無法獲取企業(yè)信息。這一切都將即時(shí)可靠地完成。

阻止勒索軟件

攻擊者有許多攻擊武器可用于攻擊員工賬戶。如上所述，網(wǎng)絡(luò)釣魚是一種常見的威脅手段，但絕非唯一。Area 1還積極阻止勒索軟件的傳播。

攻擊者用于傳播勒索軟件的一種常見機(jī)制是重命名，然后偽裝成附件。勒索軟件有效負(fù)載可能從petya.7z重命名為Invoice.pdf，企圖誘騙員工下載該文件。如果電子郵件內(nèi)容讓該發(fā)票看起來很緊急，員工就有可能盲目地試圖在計(jì)算機(jī)上打開該附件，導(dǎo)致組織遭遇勒索軟件攻擊。Area 1的模型可檢測(cè)這些不匹配情況，阻止惡意附件進(jìn)入攻擊目標(biāo)的電子郵件收件箱。

成功的勒索軟件活動(dòng)不僅可能妨礙任何公司的日常運(yùn)營(yíng)，還可能在加密無法逆轉(zhuǎn)的情況下造成本地?cái)?shù)據(jù)丟失。Cloudflare的Area 1產(chǎn)品有專用的有效負(fù)載模型，不僅會(huì)分析附件擴(kuò)展名，還會(huì)分析附件的哈希值，將其與已知勒索軟件活動(dòng)進(jìn)行比較。一旦Area 1認(rèn)為某附件是勒索軟件，我們便會(huì)禁止該電子郵件繼續(xù)傳輸。

Cloudflare的DLP愿景

我們的目標(biāo)是通過Cloudflare產(chǎn)品為您提供所需的分層安全防御，保護(hù)您的組織防范外部闖入的惡意企圖以及敏感數(shù)據(jù)外泄。隨著電子郵件繼續(xù)作為最大的企業(yè)數(shù)據(jù)面，對(duì)于公司來說，實(shí)施強(qiáng)有力的DLP策略，防止數(shù)據(jù)丟失至關(guān)重要。通過Area 1與Cloudflare One的緊密結(jié)合，Cloudflare能讓組織更加信任其DLP策略。