早上開(kāi)工，某互聯(lián)網(wǎng)大廠(chǎng)的員工小A照例打開(kāi)企業(yè)郵箱，一封來(lái)自“財(cái)務(wù)部”的郵件瞬間讓他精神抖擻，比喝了三杯冰美式都興奮——《關(guān)于發(fā)放05月份工資補(bǔ)貼的通知》。

還有這等好事?小A仔細(xì)查看了郵件發(fā)件人，正是財(cái)務(wù)部的小B。小A正想問(wèn)鄰座的小C這事是真是假，卻看見(jiàn)小C點(diǎn)開(kāi)了附件里的鏈接，開(kāi)始輸入銀行卡號(hào)……小A不再懷疑，麻利的點(diǎn)開(kāi)鏈接，輸入銀行卡號(hào)、身份證號(hào)、手機(jī)號(hào)，不一會(huì)就收到了銀行發(fā)來(lái)的驗(yàn)證碼。小A趕忙輸入驗(yàn)證碼，手機(jī)馬上收到了短信提示。小A心想，補(bǔ)貼到賬真快，“財(cái)務(wù)部”效率真高。他拿起手機(jī)一看，赫然是銀行的提醒短信，您的賬戶(hù)轉(zhuǎn)出××元……小A眼前一黑，心里暗呼，難道我遭遇了電信網(wǎng)絡(luò)詐騙?

不一會(huì)，小A就在公司大群里看到了公告——小B的郵箱被盜，黑客向全公司群發(fā)了釣魚(yú)郵件，大家不要上當(dāng)。小A欲哭無(wú)淚，誰(shuí)能想到來(lái)自“財(cái)務(wù)部”的郵件會(huì)是釣魚(yú)郵件呢?

這件看似荒誕的事件是發(fā)生在某互聯(lián)網(wǎng)大廠(chǎng)的真實(shí)案例。雖然這次“盜取員工企業(yè)郵箱發(fā)動(dòng)釣魚(yú)郵件”事件沒(méi)有造成多大損失，卻還是讓很多企業(yè)驚出了一身冷汗。原因有二：一是企業(yè)郵箱是最基礎(chǔ)的辦公應(yīng)用，一旦郵箱有失，后果不堪設(shè)想;二是郵箱的防護(hù)看似簡(jiǎn)單、實(shí)則復(fù)雜，就連公認(rèn)簡(jiǎn)單有效的郵箱二次認(rèn)證，也成了“老大難”問(wèn)題。

01郵箱二次認(rèn)證為何成了“老大難”?

想要實(shí)施郵箱二次認(rèn)證的企業(yè)，往往面對(duì)以下三大難題：

1.使用場(chǎng)景不可控

作為最基礎(chǔ)、最常用的辦公應(yīng)用，企業(yè)員工需要在任何地點(diǎn)、任何時(shí)間，通過(guò)各種網(wǎng)絡(luò)，使用不同的設(shè)備，以不同的方式登錄企業(yè)郵箱、收發(fā)郵件。這導(dǎo)致郵箱的使用場(chǎng)景異常復(fù)雜，為企業(yè)實(shí)施二次認(rèn)證增加了難度：

網(wǎng)絡(luò)環(huán)境復(fù)雜：?jiǎn)T工不但會(huì)通過(guò)內(nèi)網(wǎng)訪(fǎng)問(wèn)企業(yè)郵箱，還會(huì)通過(guò)公共WiFi、家庭網(wǎng)絡(luò)、移動(dòng)互聯(lián)網(wǎng)訪(fǎng)問(wèn)郵箱，甚至需要通過(guò)國(guó)外網(wǎng)絡(luò)發(fā)起訪(fǎng)問(wèn);

設(shè)備環(huán)境復(fù)雜：隨著遠(yuǎn)程辦公、移動(dòng)辦公的普及，員工不但會(huì)使用公司配發(fā)的終端登錄郵箱，還會(huì)使用自有電腦、智能手機(jī)登錄郵箱;

登錄方式復(fù)雜：有的員工會(huì)使用Outlook、Foxmail、網(wǎng)易郵箱大師等郵箱客戶(hù)端登錄郵箱，有的員工傾向于直接使用瀏覽器訪(fǎng)問(wèn)Web郵箱。

2.郵箱應(yīng)用難改造

企業(yè)所使用的郵箱多為標(biāo)準(zhǔn)化應(yīng)用，難以按照企業(yè)需求進(jìn)行改造。為了提升郵箱的安全性，企業(yè)不得不部署郵箱安全產(chǎn)品。但各種各樣的郵件協(xié)議(SMTP、POP3、IMAP)、郵箱服務(wù)(Exchange)，卻對(duì)安全產(chǎn)品的兼容性構(gòu)成了巨大挑戰(zhàn)。

3.安全體驗(yàn)難平衡

為了提升企業(yè)郵箱的安全性，部分企業(yè)采取了限制密碼長(zhǎng)度與字符組成、強(qiáng)制定期修改密碼等手段。但這些手段往往只能覆蓋登錄環(huán)節(jié)，難以覆蓋收件、發(fā)件環(huán)節(jié)，還會(huì)增加員工學(xué)習(xí)與操作成本，引發(fā)員工抵觸情緒，導(dǎo)致安全措施難以100%落實(shí)。

02芯盾時(shí)代郵箱二次認(rèn)證解決方案

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，基于自主研發(fā)的零信任業(yè)務(wù)安全平臺(tái)(SDP)，打造了郵箱二次認(rèn)證解決方案。方案采用軟件定義邊界架構(gòu)，將數(shù)據(jù)平面與控制平面分類(lèi)，采用零信任安全網(wǎng)關(guān)代理郵箱訪(fǎng)問(wèn)流量、實(shí)施訪(fǎng)問(wèn)控制，采用動(dòng)態(tài)訪(fǎng)問(wèn)控制引擎監(jiān)測(cè)安全態(tài)勢(shì)、生成訪(fǎng)問(wèn)控制策略，采用認(rèn)證中心管理身份信息、訪(fǎng)問(wèn)權(quán)限，采用移動(dòng)App實(shí)施多因素認(rèn)證。

芯盾時(shí)代郵箱二次認(rèn)證解決方案具備“郵箱零改造、場(chǎng)景全覆蓋、協(xié)議強(qiáng)兼容、體驗(yàn)性更佳”四大優(yōu)勢(shì)，能夠幫助企業(yè)輕、快、好的實(shí)現(xiàn)郵箱二次認(rèn)證，在提升郵箱安全性的同時(shí)保證員工操作體驗(yàn)，更好的防范釣魚(yú)郵件。

借助郵箱二次認(rèn)證解決方案，企業(yè)能夠一站式實(shí)現(xiàn)以下功能：

1.實(shí)施郵箱多因素認(rèn)證

借助芯盾時(shí)代自主研發(fā)的移動(dòng)App，企業(yè)能夠在郵箱零改造的情況下，為郵箱設(shè)置指紋識(shí)別、手勢(shì)認(rèn)證、掃碼認(rèn)證、動(dòng)態(tài)口令、一鍵登錄、短信口令等認(rèn)證方式，與原有的密碼認(rèn)證相配合，實(shí)現(xiàn)郵箱多因素認(rèn)證，有效消除弱口令等風(fēng)險(xiǎn)因素，更好的防范撞庫(kù)攻擊、噴射攻擊等網(wǎng)絡(luò)攻擊。

當(dāng)員工進(jìn)行登錄郵箱、收件、發(fā)件等重要操作時(shí)，企業(yè)可強(qiáng)制要求員工使用App進(jìn)行二次認(rèn)證，避免黑客利用員工郵箱進(jìn)行非法操作，有效防范釣魚(yú)攻擊。

2.動(dòng)態(tài)自適應(yīng)訪(fǎng)問(wèn)控制動(dòng)態(tài)訪(fǎng)問(wèn)引擎能夠智能感知全域風(fēng)險(xiǎn)，綜合設(shè)備、IP、時(shí)間、行為、賬號(hào)、位置等維度的風(fēng)險(xiǎn)信息，對(duì)用戶(hù)訪(fǎng)問(wèn)郵箱過(guò)程中的操作行為實(shí)施動(dòng)態(tài)訪(fǎng)問(wèn)控制。

當(dāng)用戶(hù)采用認(rèn)證過(guò)的設(shè)備，在企業(yè)內(nèi)網(wǎng)登錄郵箱、收件、發(fā)件時(shí)，可采取免認(rèn)證策略，保證員工的操作體驗(yàn)。當(dāng)員工的設(shè)備、IP、行為、位置等存疑時(shí)，可采取強(qiáng)化認(rèn)證策略，要求員工采取指紋識(shí)別、人臉識(shí)別、動(dòng)態(tài)口令等高強(qiáng)度的身份認(rèn)證方式，保證郵箱由員工本人操作。當(dāng)訪(fǎng)問(wèn)者的操作行為被判定為風(fēng)險(xiǎn)行為時(shí)，直接阻斷訪(fǎng)問(wèn)，保障郵箱的安全。

3.環(huán)多協(xié)議多場(chǎng)景全面兼容

憑借強(qiáng)大的自主研發(fā)能力、豐富的項(xiàng)目經(jīng)驗(yàn)，芯盾時(shí)代郵箱二次認(rèn)證解決方案具備全面的兼容性，能夠與企業(yè)郵箱無(wú)縫對(duì)接，在各種登錄環(huán)境、使用場(chǎng)景下，保證員工訪(fǎng)問(wèn)郵箱。無(wú)論員工通過(guò)瀏覽器使用Web郵箱，還是通過(guò)Foxmail、Outlook、網(wǎng)易郵箱大師等PC端郵箱客戶(hù)端登錄郵箱，或者通過(guò)智能手機(jī)中的郵件服務(wù)App進(jìn)行操作，方案都能自適應(yīng)執(zhí)行二次認(rèn)證，實(shí)現(xiàn)全終端、全場(chǎng)景覆蓋。

方案全面支持SMTP、POP3、IMAP等郵件協(xié)議，能夠與Exchange服務(wù)無(wú)縫對(duì)接，企業(yè)無(wú)需對(duì)原有郵箱應(yīng)用進(jìn)行改造，能夠快速上線(xiàn)、彈性擴(kuò)容，幫助企業(yè)縮短改造周期、保證業(yè)務(wù)運(yùn)轉(zhuǎn)。

隨著AI技術(shù)的全面普及，黑客發(fā)送釣魚(yú)郵件、創(chuàng)建釣魚(yú)網(wǎng)站的門(mén)檻越來(lái)越低，企業(yè)面對(duì)的釣魚(yú)郵件風(fēng)險(xiǎn)持續(xù)升高。芯盾時(shí)代郵箱二次認(rèn)證解決方案，能夠幫助企業(yè)輕、快、好的實(shí)現(xiàn)郵箱服務(wù)的安全升級(jí)，是企業(yè)應(yīng)對(duì)釣魚(yú)郵件的理想選擇。