实战:通过日志分析解决邮件安全事故

2021-08-04

在企业的办公环境中,电子邮件是主要的沟通方式之一,在一段时间内电子邮件并不会消失,因为每个人都在使用它。

不幸的是,它恰好也是攻击者的主要入口点,据统计每一百封电子邮件中就有一封是恶意邮件,从表面上看似乎不是一个很庞大的数字,当全球每天发送数十亿封电子邮件时,恶意邮件的数量就会变的很庞大。受害者只需与恶意电子邮件进行一次交互,攻击者就可以通过恶意电子邮件对目标造成重大经济损失。

数据驱动安全,日志服务无论在事前安全监控方面还是在事后对安全事件进行审计分析与溯源定位,都扮演着重要的角色。笔者将结合一次企业邮件安全事件的实际工作经验与各位分享邮件系统日志数据的安全审计分析与应用,以供探讨。


事件描述:

某企业客户几天来,几乎每个员工都收到了跟企业业务相关的诈骗邮件,反垃圾邮件网关失效,攻击源无法找到。


事件分析:

该用户用的反垃圾邮件网关是业界知名品牌,特征库也更新到最新,日志中也无异常报警,因此分析应该是内网终端发送诈骗邮件。


解决思路:

该企业采用的是Windows版的Exchange邮件服务器,将邮件服务器的Exchange的日志,包含windows安全日志、邮件追踪日志、邮件网关日志、安全设备日志收集到日志易分析平台,找出近期发邮件最多的用户,断网禁用,问题应该就解决了。


操作步骤:

第一步:

收集日志

第二步:

对日志数据进行进行加工及解析,解析后的日志数据更利于邮件系统安全审计分析与应用。

                                                                                 (解析后的数据)

第三步:通过提取邮件系统日志中的关键字进行统计分析

选取“时间”、“邮件主题”、“发件人”、“收件人”等关键字段,利用日志分析工具对数据进行分析统计,通过日志分析平台对邮件收发进行追踪查询。

                                                                   (可疑用户转发邮件主题分析)

                                                                (可疑用户对内用户发送可疑邮件)

经过分析,发现两个用户对内网中其他用户发送多封可疑邮件主题行为,断定这两台电脑已经感染恶意程序,用专业版安全软件对这两台电脑进行深度查杀之后,问题解决。

总结

日志数据是运维的必要手段之一,准确及时地分析日志,从日志中发现黑客攻击的痕迹,后续的预警、处置和溯源才有据可循。有效日志分析也能及早阻断或击退黑客的攻击,逼其放弃尝试或者转移攻击目标。因此,日志的快速处理及分析至关重要。普惠数码拥有多家金融机构和大型企业日志分析部署经验,并且积累了上百种安全分析场景,想要了解更详细的信息,可在文章下方留言哦。