不用PPAP,其实还有其他安全传文件方式

近年日本出现废除PPAP的声浪,也就是电子邮件附件不要使用ZIP压缩加密码方式发送,同时,美国国土安全部网络安全暨基础安全局(CISA)近年时常提醒,面对勒索软件或Emotet恶意程序的威胁,警告企业与用户,对于邮件中的密码压缩文件要谨慎打开甚至封锁,在这样的情形下,现在企业邮件安全产品是否有所转变?或是有哪些替代方式?

台湾邮件安全企业网擎信息产品营销副总李孟秋指出,目前观察日本客户采用的新做法,都是改以“连接”的方式发送附件。

也就是说,将文件放在邮件主机、邮件网关,或是专属的企业文件云或平台(EFSS)上,利用平台的权限及安全机制,限制可读取的对象、期间,甚至只能观看、无法下载,或是浮水印机制等等,解决分享机密文件的问题。

在过去的附件加密机制上,除了ZIP密码加密发送,其实也就有超连接方式发送,供企业选择,让邮件附件保留至邮件网关上,并可设置加密。

而在废除PPAP的议题下,网擎信息也提出对策,在产品中加入自动检查邮件附件,若侦测到加密压缩文件,该信件会留滞在邮件防护系统的隔离区中,如此一来,当用户收到通知信登录隔离区查看信件时,可在平台上将加密压缩文件解开,此时杀毒引擎会立即扫描恶意,若判定为可疑文件,再提交至沙箱环境进行分析,不像早期系统无法打开就放弃扫描。不过,机制也需要用户的配合,若选择直接放行隔离区的邮件,就无法在隔离区内打开加密压缩文件。

基本上,从ZIP加密附件改为发送连接,由于可以确认收件方是否下载,若是寄错时也可以立刻停止分享,因此比以往更能掌控状况。但普遍而言,规模较小的企业若没有更新邮件系统,又没有采用新的SaaS服务,将无法马上转换到新做法。

当然,连接的衍生风险也不少,过去微软发展出网址自动改写的防护机制,近年网擎信息也开始提供。

另外,网擎很早推出了SecuShare企业文件云平台(现名为SecuShare Pro),针对资料分享提供专门的应用。他们并指出,现有企业文件云少有审核机制,未来将把如同邮件审核产品中的审核机制放入,提供更多样管控能力。

另一家邮件安全云计算企业HENNGE Taiwan表示,日本市面上有许多企业使用Box或Google Drive等文件云平台,他们之前也有推出Secure Transfer,提供文件发送与接收。

以邮件附件ZIP密码加密机制而言,最大效益,就是对于用户很方便,不用改变使用习惯,后续,他们也有提供Secure Download的功能,让用户将没加密的文件直接拖拉到邮件附件,发送去时,系统后台会将附件分离并上传到云计算平台,而收件者则会收到信附件是PDF档,文件中则有连接可连至云计算平台。等于是将附件上传到云计算平台这一段自动化,这与上述提到附件转超连接的机制,其实都很相似。

另外,可保护电子邮件端到端安全的电子邮件加密技术,像是PGP与S/MIME等,也是一种选择。趋势科技资深经理刘家麟表示,如果企业组织需要通过邮件来发送机密信息,也可利用PGP加密软件,能连接用户名或邮件地址进行邮件加密,而在他们的自家邮件网关产品中,还有提供身份导向(IBE)方式来进行邮件加密。基本上,许多重视邮件安全的企业会使用这种方式,只是一直未能大量普及应用

美国CISA已警告应封锁无法扫描的邮件附件

对于邮件附件ZIP密码加密的风险,近年CISA多次提出警告,指出企业员工需谨慎打开电子邮件中的附件,即使认为是自己认识的寄件者,特别是要当心附件是压缩文件或ZIP文件。

例如,在2020年10月的安全警讯中,CISA指出Emotet的新攻击手法,会在邮件中附加密码保护的ZIP档,而他们后续在减缓Emotet威胁的建议事项里面,也提到:应封锁无法被杀毒软件扫描的电子邮件附件,例如ZIP档。

能提供文件安全共享功能的解决方案,均可支持这类型应用需求

另一方面,上述提到的企业文件云的应用发展,也已至少六七年之久,多年前我们介绍过不少这类产品服务。除上述两家企业,国际上有名的云计算企业,包括Box、Dropbox,微软、Google、Amazon也都提供,台湾也有不少厂商,如华硕云计算、群晖等,有这类产品。

对于用户而言,原本要上传到邮件中的文件,则是要上传到企业文件云平台,但以现在的趋势而言,多家企业均认为这是不错的方式。

奥义智能科技资深安全研究员陈仲宽表示,通过云计算平台可以做到集中管理,安全性较高。例如,可以做到集中身份验证、密码认证的管理,可以统一管理分享的文件,并可审核暴力破解密码的状况,或是容易做到限制密码尝试。此外,云计算平台也可以提供杀毒与恶意扫描于下载或上传。

而且,服务企业可在平台上持续强化安全性。当然,就威胁面来看,云计算平台本身的安全性将是考量。

不只企业要做好安全,用户本身同样要注意几项设置,TeamT5首席执行官蔡松廷给出三项基本的建议,例如:第一,应限制分享对象,注意是不是所有人都可以访问;第二,应设置密码保护,但也仍是要注意密码需用不同的方式发送给对方;第三,应管控文件或连接的有有效期限,避免文件未来被访问。

另外,关于文件发送管理(MFT)的产品应用方式,精品科技子公司FineArt Japan部长尾高功恭表示,由于这样的方案可解决认证与服务器加密的要求,因此,有些大企业已经开始使用这样的方式来替代PPAP,但要注意的是,这种做法需大幅变更邮件的使用习惯,可能较难以普及。

互联网交换文件的安全事项

提升网络传文件安全该注意什么?NIST提供建议

对于在网络上安全发送文件,美国NIST旗下信息科技实验室(ITL)在2020年8月曾提出相关文件,着重于不同文件传输方式的安全注意事项,这将是企业可以参考的资源。

为了文件发送或交换的需求,不管对象是同事或合作伙伴等其他人,过去企业员工最直接的做法,就是将文件附加电子邮件中传给对方,此时,有些人可能会将文件放在一个有密码保护的压缩文件中,有些人会将文件上传到免费云计算硬盘服务来分享,特别是文件太大的时候,无法使用电子邮件附件直接发送。

只是,许多文件发送方法都有安全疑虑,像是没有加密,存在窃听与中间人攻击风险,或是将文件存储到不受信任的第三方云计算硬盘,以及文件分享权限设置失当等不同状况。

此外,虽然有些文件发送方法可以提供所需的安全性,但操作上可能较麻烦而难以普遍运用。这也导致员工最终可能临时以自己的发送方式,分享给同事、合作伙伴、供应商与客户,这对于企业来说,就等于存在风险。

从五大基本行动做起

若要提高文件发送的安全性,可采取哪些基本措施?

对于企业而言,美国国家标准局NIST旗下信息科技实验室(Information Technology Laboratory,ITL)有提出相关建议,或许可成为企业参考资源,该单位于2020年8月,发布了文件发送的安全注意事项的建议指南。

以下5点是他们认为,企业可以考虑采行的基本行动:

(一)企业组织应确定用户对于文件发送与交换的需求,这包含企业内部与外部的发送与接受。在识别需求上,包含文件交换对象,也就是发送者与接收者,以及资料的性质,例如公开信息、个人身份信息或受保护的健康信息。

(二)企业针对文件发送与交换需求,应提供相应解决方案,并考虑安全性与可用性。同时,导入应用时也要进行充分的教育训练,使企业员工了解适合其需求的解决方案。否则,用户很可能使用自己选择的各式临时手段,而绕过企业认可的解决方案。

此外,多数企业组织可能需要一个以上的解决方案,以满足不同的文件发送或交换需求。

(三)当使用密码学保护文件与文件交换的机密性与完整性,企业应该只使用NIST允许的密码学算法,相关资料可参考NIST FIPS或NIST SP文件。

(四)为确保使用认可的解决方案来保护文件,企业组织需要做到监控。一旦侦测到保护不足的文件时,企业需识别出根本原因。

(五)企业需要先为机密敏感资料外泄做好应对上的准备,例如员工无意间通过电子邮件发送含有个人信息却未受保护的文件。

当然,上述只是基本原则,而在这份文件中,其实也有对于不同的文件发送方式提供建议。特别的是,在此其中,也有阐述邮件附件压缩加密码发送方式,并特别指出,这种方法只有在密码不容易被猜到时,以及发送者使用安全的方法将密码发送给对方,才可以接受。

整体而言,安全文件交换,在邮件的面向,就划分有4种类型,附件压缩加密码发送只是一种,其他三种是:使用邮件解决方案内置邮件加密机制、使用公开密钥加密标准,以及使用第三方邮件加密服务或产品。关于其他文件交换的机制,这里也列出文件分享服务、文件传输管理(MFT)解决方案,以及定制网页与应用程序的方式。