邮件外发风险识别 - 网安 - 专业的网络安全产业、社区、知识平台

本文讨围绕邮件外发风险识别，讨论如何定义合理业务需要和违规外发，如何剖析外发场景，区分业务需要和判定要素，如何引入各种安全能力，提高自动化处理效率。

邮件审计背景

自1971年世界上第一封电子邮件发出以来，这封对人类社会的发展已经产生了深远的影响，到2019年底，全球有29亿电子邮件用户（占全球人口的三分之一以上）。据Statista称，关于全球每天发送的电子邮件，2017年每天发送和接收的电子邮件约为2690亿封，预计这一数字将在2021年增加到每天近3200亿封电子邮件。

Radicati的调查更详细地分解了每日电子邮件流量，截至2018年，每天发送和接收的商业电子邮件数量约为1245亿封，而每天发送和接收的消费者电子邮件数量约为1111亿封。

而对于企业数据安全而言，电子邮件是数据泄露最方便的渠道之一，也是泄露事件发生概率最高的渠道。即使企业加强对电子邮件的监控，安全人员也很容易淹没在海量邮件外发的事件中。特别是对有着合理外发诉求的对外业务部门，比如销售、公关、商务等，如何从看似合情合理的外发事件中甄别出违规事件非常需要安全运营同学深入到业务中。

邮件外发审计依据

俗话说“无规矩不成方圆”，企业开展邮件外发监控的首要依据是内部可落地的安全管理规范以及违规处罚标准，其次是邮件系统的架构可以支撑审计能力的开展，最后需要的是从海量的邮件外发中将高风险外发行为识别出来大数据风险策略能力。

邮件审计目的

将企业中合理邮件外发场景梳理清晰，形成审计策略。将异常外发行为的特征具象化，作为风险量化依据。针对超过风险阈值的事件做分层处置，低于一定阈值的，可以仅记录时间不处置，待事后抽查。在一定阈值之类的，可人工处置。高于一定阈值的，直接发送事件。

安全规范支撑

电子邮件作为公司配发给员工的通讯工具，在安全规范中需要明确以下内容：

确认企业对数据泄露的定义已涵盖了邮件泄露方式
制定了数据安全分类分级标准，作为邮件泄露的事件定性的标准
具有可落地执行的人事奖惩制度，作为违规后处罚的执行标准，并以此要求主管及人事配合安全人员进行调查和处置

除上述企业安全规范要求外，电子邮件也不推荐作为以下用途：

技术架构

企业可以自建邮件服务器采集邮件收入日志，也可以部署邮件网关设备，或从邮件服务商处获取完整的邮件收发日志，有条件的也可以同时存储正文和附件。

大数据审计能力

传统邮件外发监控的最大缺陷是仅凭有限的人力无法从海量的邮件外发事件中逐一进行核验，无法将所有识别维度快速进行解读分析，并且无法将日常审计中归纳总结的经验通过系统做自动化处置。因此一般邮件的发送日志仅能用于事后的风险事件溯源，或在有明确审计目标的前提下开启定向监控。

通过大数据技术可以在原有维度进行形成有效补充，包括但不限于企业内部的人事数据、业务数据、IT数据、行为数据、安全风控数据，以及可以从外部采集或分析得出的收件人（域名）的画像，内外部数据融合后，形成完整的分析链路。

安全团队可以藉由相关数据形成场景、策略，辅以算法模型分析，进行风险阈值打分，将高风险邮件外发行为识别出来，使得审计效率、准确率获得极大的提升。

外发场景剖析

业务梳理

场景梳理

安全运营人员可以基于一个较长时间范围内各部门邮件外发的情况，形成基本认知。如外发时间（长期、非长期），发送频度（高、中、低），发送人员（全员、多数、较少、极少），波动（较大、平稳）。结合人事数据中的部门名称、岗位名称等，剔除发送量处于头部的明显有合理业务需求的部门，深入了解处于中部的外发需求，尾部则抽样调研，一一分类，最终将企业外发情况掌握清楚。