深度分析：邮件安全的过去和未来可能

‍电子邮件安全仍然是2024年最大的挑战之一，网络钓鱼、商业电子邮件诈骗（BEC）和恶意软件继续利用漏洞。尽管谷歌和微软等主要企业做出了努力，电子邮件安全领域仍然呈现碎片化状态。

Table of Contents 目录

• TL;DR 简要说明

• 电子邮件作为商业语言

• 电子邮件在商业活动中的重要性

• 远非“电子邮件“这么简单

• 电子邮件威胁格局

• 细分电子邮件安全市场

• 电子邮件安全功能工具

• 不涉及的内容

• 电子邮件和企业协同安全的未来

• 参考资料

TL;DR 简要说明

以下是简要说明：

• 电子邮件对企业运营至关重要，仍然是最大的网络安全漏洞与威胁之一。

• 网络钓鱼、商业电子邮件诈骗 (BEC) 和恶意软件仍然将电子邮件作为攻击媒介和目标。

• 尽管谷歌和微软等主要企业做出了努力，但仅靠电子邮件安全还不足以应对不断变化的威胁。

• 必须加固更广义的协同工作空间，包括附件和基于云环境的文件共享。

• 当前的电子邮件安全市场，是分散且被动的，此外对EDR等工具的依赖，对于电子邮件威胁并不完全有效。

• 为了应对这些挑战，我们需要主动的安全措施，将电子邮件视为身份提供者和非结构化数据存储，专注于结构性变革，以保护整个数字工作空间。

电子邮件作为商业语言

电子邮件是企业运营的基石，但它仍然是我们网络安全防御中最薄弱的环节之一。

电子邮件不仅仅是一种通信工具——它是现代商业的支柱。从个人创业者到《财富》500强公司，电子邮件是交换合同、谈判交易、协调团队和与客户沟通的主要媒介。这是企业内部和外部保持联系、管理日常运营、传达战略和分享更新的方式。

电子邮件在企业运营中的重要性

目前，电子邮件已经超越了简单的通讯功能，正逐渐成为身份管理中的关键元素。它通常是个人数字身份的入口，用于验证无数服务的访问权限。无论是登录基于云环境的平台还是重置密码，电子邮件收件箱已成为管理访问关键业务应用程序的中心。

在许多方面，电子邮件已成为实体办公室的数字等价物，例如敏感信息在这里存放，信任在这里建立，关系在这里维系。

如今，每天收发的电子邮件数量超过3,000亿封，仅这一数量就给安全团队带来了巨大的挑战。电子邮件是网络钓鱼攻击、恶意软件分发和业务电子邮件诈骗 (BEC) 的主要载体，使其成为网络犯罪分子最常利用的入口之一。由于当前企业仍依赖电子邮件履行关键职能，因此风险前所未有地高。

这就是过去几年电子邮件安全市场蓬勃发展的原因。

远非“电子邮件“这么简单

当下的挑战是，仅有电子邮件安全已经不够了。企业必须确保整个工作空间的安全，包括附件、基于云环境的文件共享和共享驱动器。这种转变反映了SaaS治理或安全态势管理（SSPM）领域的发展，行业意识到需要更加细致入微地管理和保护SaaS服务。

如何更好地解决这一问题，一种方法是将电子邮件视为 "不仅仅是电子邮件"。电子邮件是一个独特的平台，因为它是企业身份提供商（IdP）和非结构化数据存储的结合体。

电子邮件不仅是攻击手段，也是攻击目标和攻击载体。

--Material Security 联合创始人兼CEO Abhishek Agrawal

电子邮件是一种身份来源，因为它一旦被入侵，就可以作为初始访问方法来访问许多其他应用程序、账户和服务。例如，当电子邮件被成功入侵，可以创建密码重置。把它想象成任何平台，无论是 Slack、GitHub 还是其他 SaaS 应用程序，只要被入侵的电子邮件账户能够访问这些平台，那么只需重置一次密码就可以接管这些平台。

电子邮件也是一种非结构化数据存储，可提供账户收发的每封电子邮件及其附件的历史数据和上下文。非结构化数据是现代业务运营的基石，就像电子邮件一样，是组织沟通和决策的支柱。电子邮件既是通信渠道，也是敏感数据和服务的访问点。

既然我们对电子邮件的重要性和利害关系都有了共识，为什么到了 2024 年，保护电子邮件安全和消除网络钓鱼的问题还没有解决呢？

为此，我们必须深入了解电子邮件威胁迄今为止的演变情况。

电子邮件威胁格局

正如我之前撰写的文章所述，自 20 世纪 80 年代末到 90 年代初电子邮件进入公众视野以来，网络钓鱼可以说是对世界最具破坏性的网络安全威胁。

Windows NT 的邮件客户端 - 电子邮件的美好时光

即使在 2024 年的今天，电子邮件仍然是传播恶意软件的主要方式。

为什么呢？原因很简单，60% 的情况下，每次都能成功。从 Brian Krebs 的这张图中可以看出，一个被泄露的电子邮件帐户可能比其他入侵信息源更有价值：

尽管这篇文章已经发表了十多年，《被黑客攻击的电子邮件帐户的价值》在今天仍然具有现实意义。利用电子邮件进行欺诈、窃取登录凭据和机密数据，以及发送恶意有效载荷来危害公司，这对网络犯罪分子来说是一门好生意，因为它仍然有效。如果它仍然有效，那就不需要改变，可以继续使用它。

世界经济论坛（WEF）现在甚至将网络犯罪列为全球十大风险的第八位，仅次于气候变化风险，优先于大规模人口迁移风险。

人是这一切的核心。

根据2024年Verizon数据泄露调查报告（DBIR），在他们发现的泄露事件中，68%涉及人为因素。

虽然报告的网络钓鱼电子邮件数量呈正增长（人和技术更善于发现网络钓鱼电子邮件），但 "成功 "的网络钓鱼电子邮件数量也相应增加。Verizon DBIR 报告中的一项统计显示，用户被网络钓鱼电子邮件欺骗，成为受害者的时间中位数少于60秒。

资料中的数据与人为因素普遍存在相呼应。在 2024 年迄今为止检测到的恶意电子邮件中，近 30% 涉及某种形式的社交工程，近 18% 是同样利用人为因素的欺诈或 BEC。

此外，网络犯罪拥有巨大的经济利益，这使其难以阻挡。根据 2023 年联邦调查局互联网犯罪报告，企业电子邮件泄诈骗(BEC)是企业最主要的网络安全威胁之一。

该报告指出，仅在 2023 年就有 29 亿美元的损失是由于商业电子邮件诈骗 (BEC) 造成的。电子邮件既是通过网络钓鱼和初始访问恶意软件进行攻击的手段，也是公司情报和金融欺诈的高价值目标。

尽管最大的参与者都在努力，但网络钓鱼、商业电子邮件诈骗和账户窃取仍在发生，而且呈上升趋势。尽管有这些惊人的数字和事实，但企业仍然对如何解决电子邮件安全问题的投资或考虑不足。

那么，原因何在？多年来，网络安全市场是如何解决这些不断变化的问题的？

让我们先来细分并了解电子邮件安全市场的现状。

细分电子邮件安全市场

电子邮件安全领域已慢慢演变成零散、重叠的细分产品，每个细分类别都在解决拼图中的个别问题，但没有一种解决方案占据主导地位。

在电子邮件安全领域，一些公司一开始只专注于垃圾邮件和网络钓鱼防御，后来开始涉足电子邮件数据泄漏防护（DLP）、内部威胁检测、安全意识培训和加密等领域，这种情况并不少见。反之，那些相似领域的公司也开始涉足电子邮件安全领域。

过去 20 年间，在更广泛的电子邮件安全市场上投资了近 30 亿美元。回过头来看，这个数字令人吃惊。这个数字既包括以 "电子邮件安全 "为主要业务的公司，也包括其他后涉足该领域的公司。

进一步细分这些数字，我们可以看到，30 亿美元中的 82%，即 24 亿美元，流向了 10 家公司：

从图表中可以看出，一些公司已经超越了“单一的”电子邮件安全公司的范畴。

因此，让我们从能力的角度来看看电子邮件安全市场是如何细分的。

电子邮件安全功能工具

为了更好地了解这个市场是如何划分的，我将用一张我制作的图表来说明目前大多数电子邮件安全工具对入站电子邮件的关注点和行业的发展方向：

业界一直依赖EDR工具，作为电子邮件的最后边界，来完成繁重的工作，但这并没有真正奏效。虽然 EDR 为行业带来了长足的进步，但它本质上仍然是被动的，更多的是关于事件响应和遏制。

另一方面，基于电子邮件的威胁则是另一回事。网络钓鱼和 BEC 通常依靠社交工程，在 EDR 系统检测到威胁之前，诱使人们采取不良行为。当 EDR 触发响应时，敏感数据可能已经被泄露，或者某人可能已经被网络钓鱼。

随着电子邮件威胁的复杂性和创造性不断增加，电子邮件安全解决方案的市场也随之扩大，并可细分为几个子类别：

SEG电子邮件安全网关（基于云环境或其他）- 成熟市场

这些平台充当抵御传入威胁的前置防线，在恶意电子邮件到达收件箱之前就将其过滤掉。它们侧重于在电子邮件服务提供商之前检测和拦截垃圾邮件、网络钓鱼企图和恶意软件邮件，试图从一开始就防止不良电子邮件进入收件箱。

Email 服务提供商- 成熟市场

这些都是全球最大的提供电子邮件平台的科技公司。长期以来，谷歌的 Gmail 和微软的 Office365（又或者outlook，不管它现在叫什么名字）一直试图从宏观层面解决电子邮件安全问题。谷歌和微软是少数几家具有独特优势的公司，它们可以在整个互联网和行业中创造巨大的变革，让我们所有人都更加安全。

谷歌声称他们在 2022 年保护 Gmail 用户 "每天免受近 150 亿条不需要的邮件的骚扰，拦截 99.9% 以上的垃圾邮件、网络钓鱼和恶意软件"。这些数字的分子和分母在最近两年持续不断增加。

2024 年 2 月，谷歌向行业安全又迈进了一步，对任何 "批量电子邮件发件人"（即一天内向 Gmail 地址发送超过 5000 封邮件的发件人）实施了电子邮件验证。这意味着向任何拥有 Gmail 地址的人发送电子邮件的公司或个人必须启用 DKIM，以向 Google 证明发件人的身份。

而微软采取了不同的方法来提升行业水平，在现有的微软 Office365 套件中增加了安全措施。近年来，微软的安全业务大幅增长，成为其整体战略的重要组成部分。据报道，截至 2023 年，微软安全部门的年收入将超过200 亿美元，同比增长 33%。

电子邮件事件响应和协作工作区安全- 不断增长

电子邮件事件响应平台旨在支持分流和遏制与电子邮件相关的安全问题，识别并消除恶意电子邮件。这些工具通过在所有电子邮件账户中应用类似群组的免疫力，为企业提供电子邮件发送后的防御。一旦检测到威胁，这些平台可以

• 发送后删除恶意附件、

• 重写网络钓鱼 URL 以确保其安全，以及

• 打击绕过安全电子邮件网关和本地电子邮件提供商防护的假冒二维码钓鱼邮件。

然而，电子邮件安全的范围已经扩展到收件箱之外。Material seurity等现代电子邮件事件响应平台正在向更广义的协作工作空间安全领域发展，在这一领域，态势管理可以检查电子邮件和整个协作生态系统。这包括确保电子邮件、协作文件共享（如 Google Drive、Microsoft OneDrive）以及各种基于云环境的工具中的非结构化文档（如 Word 文档、电子表格）的安全。这些平台通过整合以下功能来解决一系列安全问题：

• 发现敏感数据，保护关键信息、

• 电子邮件数据管理，确保数据得到妥善处理、

• 对访问电子邮件附件进行逐步认证，以及

• 跟踪和管理组织内外共享权限过高的文件。

通过将事件响应与协作安全相结合，这些平台提供了一种全面的方法，不仅能保护电子邮件，还能保护企业目前依赖的更广泛的数字工作空间。

电子邮件安全行业需要一个用于生产力套件的 CSPM。

--Material Security公司联合创始人兼CEO Abhishek Agrawal

不涉及的内容

本文介绍中刻意避开了一些内容，这些不涉及的安全功能，如

• 电子邮件加密

• 外发电子邮件检查

• 电子邮件数据丢失防护 (DLP)

• 支持良好电子邮件安全习惯与标准的安全意识工具

当然该领域的许多参与者都具备上述许多能力，只是我不会在这里就这些主题进行介绍。

这篇文章也不会涉及大量注重电子邮件发送标准的电子邮件平台，这些平台并非专注解决安全问题，但有助于提高电子邮件及其发送公司的安全性和可信度。

许多平台都把重点放在电子邮件的健康发送能力上，而不是安全性上，为了让大家对技术术语有一定的了解，我将对这一领域的几个关键术语进行定义：

• Mail Exchange (MX) Record - DNS 记录，用于指导如何通过简单邮件传输协议 (SMTP) 将电子邮件从发送域转发给收件人。

• Sender Policy Framework (SPF) - 有助于防止未经授权的邮件服务器冒充您的域名，并降低网络钓鱼攻击的风险。

• DomainKeys Identified Mail (DKIM) - 帮助验证电子邮件是否真正来自其声称的域，

• Domain-based Message Authentication, Reporting, and Conformance (DMARC) - 添加了一个验证协议，以防止电子邮件域被欺骗。DMARC 与 SPF 和 DKIM 配合使用，可确保电子邮件的 "发件人 "地址不是伪造的。

我倾向于将 SPF、DKIM 和 DMARC 称为Email Deliverability Holy Trinity™。这对于整体电子邮件策略至关重要，不容忽视。

有了这些注意事项和术语，电子邮件安全市场是时候改进其方法，以确保电子邮件安全并阻止网络钓鱼攻击浪潮了。

电子邮件和协作安全的未来

电子邮件领域最重要的转变和进步可能就是转向基于云环境的电子邮件平台。云结构依赖于云中的每个操作都是引擎盖下的 API 调用，现在电子邮件也可以效仿。

现在，安全厂商可以扫描特定公司所有租户收件箱中的所有电子邮件，并为您提供好、坏以及可疑的态势状态。这在 API 速率限制允许的范围内尽可能频繁地进行，并能让您更主动地了解公司最重要的业务应用程序之一的健康和安全状况。

这听起来是不是很熟悉吗？这很正常，因为这正是云安全态势管理 (CSPM) 市场的演变过程，也是该功能如今在所有云安全厂商中普及的原因。云安全态势需要不断重新评估，您的电子邮件和协作套件也是如此。

电子邮件安全市场需要超越被动的、检测优先的方法，将重点放在结构性变革上，以全面解决电子邮件作为身份源和数据存储的问题。

原文链接：

https://www.returnonsecurity.com/p/the-evolution-of-email-security

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。