郵件外發風險識別 - 網安 - 專業的網絡安全產業、社區、知識平臺

本文討圍繞郵件外發風險識別，討論如何定義合理業務需要和違規外發，如何剖析外發場景，區分業務需要和判定要素，如何引入各種安全能力，提高自動化處理效率。

郵件審計背景

自1971年世界上第一封電子郵件發出以來，這封對人類社會的發展已經產生了深遠的影響，到2019年底，全球有29億電子郵件用戶（占全球人口的三分之一以上）。據Statista稱，關于全球每天發送的電子郵件，2017年每天發送和接收的電子郵件約為2690億封，預計這一數字將在2021年增加到每天近3200億封電子郵件。

Radicati的調查更詳細地分解了每日電子郵件流量，截至2018年，每天發送和接收的商業電子郵件數量約為1245億封，而每天發送和接收的消費者電子郵件數量約為1111億封。

而對于企業數據安全而言，電子郵件是數據泄露最方便的渠道之一，也是泄露事件發生概率最高的渠道。即使企業加強對電子郵件的監控，安全人員也很容易淹沒在海量郵件外發的事件中。特別是對有著合理外發訴求的對外業務部門，比如銷售、公關、商務等，如何從看似合情合理的外發事件中甄別出違規事件非常需要安全運營同學深入到業務中。

郵件外發審計依據

俗話說“無規矩不成方圓”，企業開展郵件外發監控的首要依據是內部可落地的安全管理規范以及違規處罰標準，其次是郵件系統的架構可以支撐審計能力的開展，最后需要的是從海量的郵件外發中將高風險外發行為識別出來大數據風險策略能力。

郵件審計目的

將企業中合理郵件外發場景梳理清晰，形成審計策略。將異常外發行為的特征具象化，作為風險量化依據。針對超過風險閾值的事件做分層處置，低于一定閾值的，可以僅記錄時間不處置，待事后抽查。在一定閾值之類的，可人工處置。高于一定閾值的，直接發送事件。

安全規范支撐

電子郵件作為公司配發給員工的通訊工具，在安全規范中需要明確以下內容：

確認企業對數據泄露的定義已涵蓋了郵件泄露方式
制定了數據安全分類分級標準，作為郵件泄露的事件定性的標準
具有可落地執行的人事獎懲制度，作為違規后處罰的執行標準，并以此要求主管及人事配合安全人員進行調查和處置

除上述企業安全規范要求外，電子郵件也不推薦作為以下用途：

技術架構

企業可以自建郵件服務器采集郵件收入日志，也可以部署郵件網關設備，或從郵件服務商處獲取完整的郵件收發日志，有條件的也可以同時存儲正文和附件。

大數據審計能力

傳統郵件外發監控的最大缺陷是僅憑有限的人力無法從海量的郵件外發事件中逐一進行核驗，無法將所有識別維度快速進行解讀分析，并且無法將日常審計中歸納總結的經驗通過系統做自動化處置。因此一般郵件的發送日志僅能用于事后的風險事件溯源，或在有明確審計目標的前提下開啟定向監控。

通過大數據技術可以在原有維度進行形成有效補充，包括但不限于企業內部的人事數據、業務數據、IT數據、行為數據、安全風控數據，以及可以從外部采集或分析得出的收件人（域名）的畫像，內外部數據融合后，形成完整的分析鏈路。

安全團隊可以藉由相關數據形成場景、策略，輔以算法模型分析，進行風險閾值打分，將高風險郵件外發行為識別出來，使得審計效率、準確率獲得極大的提升。

外發場景剖析

業務梳理

場景梳理

安全運營人員可以基于一個較長時間范圍內各部門郵件外發的情況，形成基本認知。如外發時間（長期、非長期），發送頻度（高、中、低），發送人員（全員、多數、較少、極少），波動（較大、平穩）。結合人事數據中的部門名稱、崗位名稱等，剔除發送量處于頭部的明顯有合理業務需求的部門，深入了解處于中部的外發需求，尾部則抽樣調研，一一分類，最終將企業外發情況掌握清楚。