早上開工，某互聯(lián)網(wǎng)大廠的員工小A照例打開企業(yè)郵箱，一封來自“財(cái)務(wù)部”的郵件瞬間讓他精神抖擻，比喝了三杯冰美式都興奮——《關(guān)于發(fā)放05月份工資補(bǔ)貼的通知》。

還有這等好事?小A仔細(xì)查看了郵件發(fā)件人，正是財(cái)務(wù)部的小B。小A正想問鄰座的小C這事是真是假，卻看見小C點(diǎn)開了附件里的鏈接，開始輸入銀行卡號……小A不再懷疑，麻利的點(diǎn)開鏈接，輸入銀行卡號、身份證號、手機(jī)號，不一會就收到了銀行發(fā)來的驗(yàn)證碼。小A趕忙輸入驗(yàn)證碼，手機(jī)馬上收到了短信提示。小A心想，補(bǔ)貼到賬真快，“財(cái)務(wù)部”效率真高。他拿起手機(jī)一看，赫然是銀行的提醒短信，您的賬戶轉(zhuǎn)出××元……小A眼前一黑，心里暗呼，難道我遭遇了電信網(wǎng)絡(luò)詐騙?

不一會，小A就在公司大群里看到了公告——小B的郵箱被盜，黑客向全公司群發(fā)了釣魚郵件，大家不要上當(dāng)。小A欲哭無淚，誰能想到來自“財(cái)務(wù)部”的郵件會是釣魚郵件呢?

這件看似荒誕的事件是發(fā)生在某互聯(lián)網(wǎng)大廠的真實(shí)案例。雖然這次“盜取員工企業(yè)郵箱發(fā)動釣魚郵件”事件沒有造成多大損失，卻還是讓很多企業(yè)驚出了一身冷汗。原因有二：一是企業(yè)郵箱是最基礎(chǔ)的辦公應(yīng)用，一旦郵箱有失，后果不堪設(shè)想;二是郵箱的防護(hù)看似簡單、實(shí)則復(fù)雜，就連公認(rèn)簡單有效的郵箱二次認(rèn)證，也成了“老大難”問題。

01郵箱二次認(rèn)證為何成了“老大難”?

想要實(shí)施郵箱二次認(rèn)證的企業(yè)，往往面對以下三大難題：

1.使用場景不可控

作為最基礎(chǔ)、最常用的辦公應(yīng)用，企業(yè)員工需要在任何地點(diǎn)、任何時(shí)間，通過各種網(wǎng)絡(luò)，使用不同的設(shè)備，以不同的方式登錄企業(yè)郵箱、收發(fā)郵件。這導(dǎo)致郵箱的使用場景異常復(fù)雜，為企業(yè)實(shí)施二次認(rèn)證增加了難度：

網(wǎng)絡(luò)環(huán)境復(fù)雜：員工不但會通過內(nèi)網(wǎng)訪問企業(yè)郵箱，還會通過公共WiFi、家庭網(wǎng)絡(luò)、移動互聯(lián)網(wǎng)訪問郵箱，甚至需要通過國外網(wǎng)絡(luò)發(fā)起訪問;

設(shè)備環(huán)境復(fù)雜：隨著遠(yuǎn)程辦公、移動辦公的普及，員工不但會使用公司配發(fā)的終端登錄郵箱，還會使用自有電腦、智能手機(jī)登錄郵箱;

登錄方式復(fù)雜：有的員工會使用Outlook、Foxmail、網(wǎng)易郵箱大師等郵箱客戶端登錄郵箱，有的員工傾向于直接使用瀏覽器訪問Web郵箱。

2.郵箱應(yīng)用難改造

企業(yè)所使用的郵箱多為標(biāo)準(zhǔn)化應(yīng)用，難以按照企業(yè)需求進(jìn)行改造。為了提升郵箱的安全性，企業(yè)不得不部署郵箱安全產(chǎn)品。但各種各樣的郵件協(xié)議(SMTP、POP3、IMAP)、郵箱服務(wù)(Exchange)，卻對安全產(chǎn)品的兼容性構(gòu)成了巨大挑戰(zhàn)。

3.安全體驗(yàn)難平衡

為了提升企業(yè)郵箱的安全性，部分企業(yè)采取了限制密碼長度與字符組成、強(qiáng)制定期修改密碼等手段。但這些手段往往只能覆蓋登錄環(huán)節(jié)，難以覆蓋收件、發(fā)件環(huán)節(jié)，還會增加員工學(xué)習(xí)與操作成本，引發(fā)員工抵觸情緒，導(dǎo)致安全措施難以100%落實(shí)。

02芯盾時(shí)代郵箱二次認(rèn)證解決方案

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，基于自主研發(fā)的零信任業(yè)務(wù)安全平臺(SDP)，打造了郵箱二次認(rèn)證解決方案。方案采用軟件定義邊界架構(gòu)，將數(shù)據(jù)平面與控制平面分類，采用零信任安全網(wǎng)關(guān)代理郵箱訪問流量、實(shí)施訪問控制，采用動態(tài)訪問控制引擎監(jiān)測安全態(tài)勢、生成訪問控制策略，采用認(rèn)證中心管理身份信息、訪問權(quán)限，采用移動App實(shí)施多因素認(rèn)證。

芯盾時(shí)代郵箱二次認(rèn)證解決方案具備“郵箱零改造、場景全覆蓋、協(xié)議強(qiáng)兼容、體驗(yàn)性更佳”四大優(yōu)勢，能夠幫助企業(yè)輕、快、好的實(shí)現(xiàn)郵箱二次認(rèn)證，在提升郵箱安全性的同時(shí)保證員工操作體驗(yàn)，更好的防范釣魚郵件。

借助郵箱二次認(rèn)證解決方案，企業(yè)能夠一站式實(shí)現(xiàn)以下功能：

1.實(shí)施郵箱多因素認(rèn)證

借助芯盾時(shí)代自主研發(fā)的移動App，企業(yè)能夠在郵箱零改造的情況下，為郵箱設(shè)置指紋識別、手勢認(rèn)證、掃碼認(rèn)證、動態(tài)口令、一鍵登錄、短信口令等認(rèn)證方式，與原有的密碼認(rèn)證相配合，實(shí)現(xiàn)郵箱多因素認(rèn)證，有效消除弱口令等風(fēng)險(xiǎn)因素，更好的防范撞庫攻擊、噴射攻擊等網(wǎng)絡(luò)攻擊。

當(dāng)員工進(jìn)行登錄郵箱、收件、發(fā)件等重要操作時(shí)，企業(yè)可強(qiáng)制要求員工使用App進(jìn)行二次認(rèn)證，避免黑客利用員工郵箱進(jìn)行非法操作，有效防范釣魚攻擊。

2.動態(tài)自適應(yīng)訪問控制動態(tài)訪問引擎能夠智能感知全域風(fēng)險(xiǎn)，綜合設(shè)備、IP、時(shí)間、行為、賬號、位置等維度的風(fēng)險(xiǎn)信息，對用戶訪問郵箱過程中的操作行為實(shí)施動態(tài)訪問控制。

當(dāng)用戶采用認(rèn)證過的設(shè)備，在企業(yè)內(nèi)網(wǎng)登錄郵箱、收件、發(fā)件時(shí)，可采取免認(rèn)證策略，保證員工的操作體驗(yàn)。當(dāng)員工的設(shè)備、IP、行為、位置等存疑時(shí)，可采取強(qiáng)化認(rèn)證策略，要求員工采取指紋識別、人臉識別、動態(tài)口令等高強(qiáng)度的身份認(rèn)證方式，保證郵箱由員工本人操作。當(dāng)訪問者的操作行為被判定為風(fēng)險(xiǎn)行為時(shí)，直接阻斷訪問，保障郵箱的安全。

3.環(huán)多協(xié)議多場景全面兼容

憑借強(qiáng)大的自主研發(fā)能力、豐富的項(xiàng)目經(jīng)驗(yàn)，芯盾時(shí)代郵箱二次認(rèn)證解決方案具備全面的兼容性，能夠與企業(yè)郵箱無縫對接，在各種登錄環(huán)境、使用場景下，保證員工訪問郵箱。無論員工通過瀏覽器使用Web郵箱，還是通過Foxmail、Outlook、網(wǎng)易郵箱大師等PC端郵箱客戶端登錄郵箱，或者通過智能手機(jī)中的郵件服務(wù)App進(jìn)行操作，方案都能自適應(yīng)執(zhí)行二次認(rèn)證，實(shí)現(xiàn)全終端、全場景覆蓋。

方案全面支持SMTP、POP3、IMAP等郵件協(xié)議，能夠與Exchange服務(wù)無縫對接，企業(yè)無需對原有郵箱應(yīng)用進(jìn)行改造，能夠快速上線、彈性擴(kuò)容，幫助企業(yè)縮短改造周期、保證業(yè)務(wù)運(yùn)轉(zhuǎn)。

隨著AI技術(shù)的全面普及，黑客發(fā)送釣魚郵件、創(chuàng)建釣魚網(wǎng)站的門檻越來越低，企業(yè)面對的釣魚郵件風(fēng)險(xiǎn)持續(xù)升高。芯盾時(shí)代郵箱二次認(rèn)證解決方案，能夠幫助企業(yè)輕、快、好的實(shí)現(xiàn)郵箱服務(wù)的安全升級，是企業(yè)應(yīng)對釣魚郵件的理想選擇。