Giải Pháp Email Security – CloudFlare Area 1
1. Bảo mật Email (Email Security) là gì?
Máy chủ email hay còn gọi là Mail Server hay Email Server, là hệ thống máy chủ được cấu hình riêng theo tên miền của doanh nghiệp dùng để gửi và nhận thư điện tử (email). Khi người dùng gửi một email, nó sẽ đi qua một loạt các máy chủ để đến đích cuối cùng.
Ngày nay, email vẫn là công cụ giao tiếp quan trọng nhất cho doanh nghiệp, nhiều doanh nghiệp muốn sử dụng Mail Server riêng để đảm bảo quyền riêng tư trên các nhà cung cấp dịch vụ email. Tuy nhiên, vẫn tồn tại những rủi ro liên quan đến bảo mật cho doanh nghiệp như kẻ tấn công có thể lợi dụng các tác nhân độc hại có thể truy cập trái phép để khai thác hệ thống bằng cách sử dụng để gửi các loại Thư rác (Spam Mail) và Thư lừa đảo (Phishing Mail).
Bảo mật email là quá trình ngăn chặn các cuộc tấn công mạng dựa trên email và các liên lạc không mong muốn. Nó bao gồm bảo vệ hộp thư đến khỏi việc chiếm đoạt, bảo vệ miền khỏi làm giả danh, ngăn chặn các cuộc tấn công lừa đảo, ngăn chặn gian lận, chặn việc phân phối phần mềm độc hại, lọc thư rác và sử dụng các phương pháp mã hóa để bảo vệ nội dung email khỏi người dùng không được ủy quyền.
2. Các loại hình tấn công thông qua email
- Email gian lận (Fraud): Các cuộc tấn công gian lận dựa trên email có thể có nhiều hình thức khác nhau, từ các yêu cầu chi trả tiền nhắm vào cá nhân đến các tin nhắn thỏa hiệp email doanh nghiệp (Business Email Compromise – BEC) nhằm lừa các bộ phận kế toán chuyển tiền vào các tài khoản bất hợp pháp. Thông thường, kẻ tấn công sẽ sử dụng tên miền giả mạo để làm cho các yêu cầu gian lận trông giống như đến từ một nguồn hợp pháp.
- Lừa đảo (Phishing): Một cuộc tấn công lừa đảo cố gắng khiến nạn nhân cung cấp cho kẻ tấn công các thông tin nhạy cảm. Các cuộc tấn công lừa đảo qua email có thể hướng người dùng đến một trang web giả mạo thu thập thông tin đăng nhập hoặc đơn giản là gây áp lực cho người dùng gửi thông tin đến địa chỉ email do kẻ tấn công bí mật kiểm soát. Việc giả mạo tên miền cũng phổ biến trong kiểu tấn công này.
- Sử dụng phần mềm độc hại (malware): Các loại phần mềm độc hại được gửi qua email bao gồm phần mềm gián điệp (spyware), phần mềm cảnh báo giả (scareware), phần mềm quảng cáo (adware) và phần mềm tống tiền (ransomware)… Những kẻ tấn công có thể phát tán phần mềm độc hại qua email theo nhiều cách khác nhau, một trong những phổ biến nhất là đính kèm trong email file dữ liệu có chứa mã độc.
- Chiếm đoạt tài khoản (Account takeover): Kẻ tấn công sẽ chiếm đoạt hộp thư đến email từ người dùng hợp pháp cho nhiều mục đích khác nhau, chẳng hạn như theo dõi thư của họ, đánh cắp thông tin hoặc sử dụng địa chỉ email hợp pháp để chuyển tiếp các cuộc tấn công phần mềm độc hại và spam đến các danh sách liên lạc của người dùng.
- Đánh cắp email (interception): Kẻ tấn công có thể thu đánh cắp email để thu thập thông tin chứa trong email đó hoặc thực hiện các cuộc tấn công để mạo danh cả hai bên của cuộc trò chuyện với nhau. Phương pháp phổ biến nhất để làm điều này là giám sát các gói dữ liệu mạng trên mạng cục bộ không dây (LAN), vì việc chặn email khi nó truyền qua Internet là vô cùng khó khăn.
3. Những hạn chế của các giải pháp Secure Email Gateway (SEG) truyền thống
Sự thay đổi nổi bật nhất trong thị trường email đó là việc chuyển dịch sang các dịch vụ email trên nền cloud-native cũng là điều làm cho SEG truyền thống trở nên lỗi thời. Theo báo cáo của Gartner®, đến năm 2025 hơn 85% các tổ chức toàn cầu dự kiến sẽ áp dụng chiến lược “ưu tiên đám mây”. Các công cụ bảo mật cổ điển như SEG hoàn toàn không đáp ứng được quy mô, khả năng phục hồi và tính linh hoạt mà các tổ chức mong đợi.
Báo cáo của Gartner® cũng lưu ý rằng “Các giải pháp bảo mật email tiên tiến đang dần được tích hợp dựa trên cloud thay vì các thiết bị gateway” – với ít nhất 40% tổ chức, doanh nghiệp toàn cầu sử dụng khả năng bảo vệ tích hợp từ các nhà cung cấp dịch vụ email trên cloud thay vì SEG, vào năm 2023. Hiện nay, email đến từ mọi nơi và đi đến mọi nơi – vì vậy đặt một SEG trước máy chủ Exchange đã lỗi thời; và đặt một SEG trước hộp thư trên cloud trong một thế giới di động và làm việc từ xa là không khả thi. Bảo mật email ngày nay nên đi theo người dùng, gần với hộp thư đến và nên “có mặt ở khắp mọi nơi”.
Ngoài việc không phù hợp về mặt kiến trúc, SEG không đủ khả năng phát hiện các cuộc tấn công phishing nâng cao. Do SEG ban đầu được thiết kế để ngăn chặn thư rác – với khối lượng lớn cần mẫu tấn công lớn để phát hiện và ngăn chặn. Nhưng hiện nay, các cuộc tấn công phishing thường có khối lượng nhỏ, nhắm mục tiêu quan trọng và lợi dụng sự tin tưởng ngầm định của chúng ta trong giao tiếp qua email để đánh cắp tiền và dữ liệu. Phát hiện các cuộc tấn công phishing hiện đại yêu cầu các thuật toán phân tích email tiên tiến và phát hiện mối đe dọa tính toán mà một SEG không thể thực hiện ở quy mô lớn.
Thông thường khi sử dụng những giải pháp, người quản trị viên sẽ đối mặt với việc quản lý, tạo và điều chỉnh rất nhiều chính sách đe dọa qua email. Khác với hầu hết các cuộc tấn công mạng khác, phishing qua email và Cướp Bí Mật Thương Mại – Business Email Compromise (BEC) có quá nhiều tín hiệu “mơ hồ” và không thể chỉ dựa vào các câu lệnh quyết định để phát hiện. Hơn nữa, kẻ tấn công dễ dàng thích nghi nhanh chóng và điều chỉnh kỹ thuật để vượt qua những quy tắc vừa tạo.
4. Giới thiệu về hãng bảo mật CloudFlare
Cloudflare là nhà cung cấp mạng phân phối nội dung, dịch vụ bảo mật Internet và các dịch vụ phân phối máy chủ tên miền, đứng giữa khách truy cập và nhà cung cấp dịch vụ lưu trữ của người dùng Cloudflare. hoạt động như một reverse proxy cho các trang web, có trụ sở tại San Francisco, California.
Được thành lập năm 2009, mạng lưới CloudFlare hiện tại có tổng dung lượng lên tới 209Tbps, gấp đôi tổng dung lượng của top 05 hãng cung cấp dịch vụ chống DDoS cộng lại. 15% lưu lượng Internet toàn thế giới đi qua mạng lưới của Cloudflare, tận dụng nguồn dữ liệu dồi dào và hệ thống máy học, phân tích hành vi, Cloudflare liên tục cập nhật các hình thức tấn công và giúp các khách hàng ngăn chặn 76 tỷ cuộc tấn công trên không gian mạng hàng ngày.
CloudFlare đã có mặt tại hơn 300 thành phố và hơn 100 quốc gia. Tại Việt Nam, từ năm 2019 CloudFlare đã đặt 04 POP tại Hà Nội và Hồ Chí Minh.
5. Giới thiệu giải pháp Cloudflare Area 1 Email Security
Cloudflare Area 1 là một giải pháp cloud-native email security, nhằm xác định và chặn các cuộc tấn công trước khi chúng đến hộp thư đến của người dùng, từ đó tạo ra sự bảo vệ hiệu quả hơn đối với spear phishing, BEC và các mối đe dọa tiên tiến khác mà các hệ thống phòng thủ thông thường không thể phát hiện.
Cloudflare Area 1 sử dụng cách tiếp cận chủ động bằng cách quét toàn diện mạng Internet để phát hiện cơ sở hạ tầng của kẻ tấn công và các chiến dịch lừa đảo phishing đang được xây dựng. Các web crawler tập trung vào mối đe dọa của Area 1 phân tích động các trang web và dữ liệu đáng ngờ, và liên tục cập nhật các mô hình phát hiện khi các chiến thuật của kẻ tấn công tiến hóa – tất cả nhằm ngăn chặn các cuộc tấn công phishing trước khi chúng tiếp cận hộp thư đến của người dùng.
Kết hợp với việc xử lý hơn 01 triệu lượt yêu cầu DNS hàng ngày trên các hệ thống PoP của Cloudflare, bộ dữ liệu thông tin đe dọa này giúp khách hàng ngăn chặn các mối đe dọa phishing ở giai đoạn sớm nhất của chu kỳ tấn công. Ngoài ra, việc sử dụng phân tích ngữ cảnh sâu để hiểu được cảm xúc, ngữ điệu, xu hướng và biến thể của cuộc trao đổi cho phép Area 1 hiểu và phân biệt giữa các email quy trình kinh doanh hợp lệ và các chiến dịch mạo danh tinh vi. Area 1 được xây dựng để bổ sung – không phải trùng lặp – tính năng cho các giải pháp bảo mật email truyền thống và ngăn chặn các cuộc tấn công phishing vượt qua các lớp bảo mật ban đầu.
Ngoài ra, Area 1 là thành phần trong nền tảng Zero Trust của Cloudflare, giúp tăng cường khả năng quan sát, loại bỏ sự phức tạp và giảm rủi ro cho cả người dùng làm việc từ xa và tại văn phòng.
5.1. Tính năng nổi bật
- Thông qua việc kết hợp giữa việc thu thập thông tin từ web quy mô lớn, phân tích mẫu nhỏ và phát hiện nâng cao, Area 1 có thể ngăn chặn các cuộc tấn công phishing từ ngay trước khi chúng đến được hộp thư đến của người dùng.
- Các kẻ tấn công có thể xâm nhập vào email của nhà cung cấp, quan sát các mẫu thư và chặn các luồng mail đã tồn tại để thực hiện gửi các hóa đơn gian lận. Area 1 phân tích các luồng mail, sử dụng cả các kỹ thuật phát hiện dựa trên heuristic và học máy để ngăn chặn những cuộc tấn công tinh vi này.
- Ngăn chặn các cuộc tấn công ransomware, thường được gửi qua các cuộc tấn công phising. Tính năng M-SOAR (điều phối và phản hồi bảo mật tập trung vào email) của Area 1 cũng hỗ trợ ngăn chặn sự lan truyền của ransomware trong mạng.
- Có thể ngăn chặn đầy đủ các loại hình tấn công email (URL, payloads, BEC), các vector tấn công (email, trình duyệt web, SMS) và các kênh tấn công (từ bên ngoài, nội bộ, đối tác tin cậy).
- Tận dụng các kỹ thuật phát hiện tiên tiến (language analysis, computer vision, social graphing, v.v.) để phát hiện tất cả 04 loại tấn công BEC do Gartner định nghĩa, gian lận qua email và các cuộc tấn công Payload-less.
- Tích hợp sâu với môi trường và workflow của Microsoft 365 và Google Workspace.
5.2. Lợi ích khi triển khai giải pháp
- Ngăn chặn các cuộc tấn công phishing và BEC tiên tiến vượt qua các lớp bảo mật tích hợp sẵn của bạn. Tận dụng tích hợp mượt mà và nhanh chóng vào môi trường email của Microsoft 365 và Google mà gần như không ảnh hưởng đến năng suất làm việc qua email.
- Kiến trúc được xây dựng dựa trên đám mây (cloud-native) được thiết kế để mở rộng linh hoạt và đảm bảo liên tục hoạt động của doanh nghiệp.
- Triển khai đơn giản mà không cần bổ sung thiết bị phần cứng, phần mềm hoặc thiết bị chuyên biệt nào, giúp tiết kiệm thời gian so với việc tạo và điều chỉnh các chính sách bảo mật. Đồng thời, khả năng tích hợp SIEM và SOAR giúp tăng tốc quá trình điều tra tấn công của team SOC.
5.3. Mô hình triển khai
Cloudflare cung cấp 02 mô hình triển khai chính: Inline và API.
Inline deployment
Với mô hình triển khai Inline, Area 1 đánh giá các email trước khi chúng đến được hộp thư đến của người dùng. Area 1 trở thành một bước trong quá trình xử lý SMTP và tương tác vật lý với các email đến. Dựa trên các chính sách của người dùng, các email khác nhau sẽ bị chặn trước khi đến hộp thư đến.
- Các email được xử lý và ngăn chặn trước khi được gửi đến hộp thư của người dùng.
- Triển khai đơn giản hơn, các bộ rule xử lý ở phía downstream không cần thay đổi.
- Area 1 có thể sửa đổi các email đã được gửi, thêm đánh dấu vào tiêu đề hoặc nội dung.
- Area 1 cung cấp tính dự phòng cao và gom nhóm tin nhắn linh hoạt.
- Có thể thiết lập xử lý nâng cao cho các email không bị cô lập với các X-header được thêm vào.
API deployment
Với mô hình này, email chỉ đến Area 1 sau khi đã đến hộp thư của người dùng. Sau đó, thông qua việc tích hợp với nhà cung cấp dịch vụ email, Area 1 có thể thu hồi email dựa trên chính sách của tổ chức.
- Bảo vệ dễ dàng cho kiến trúc email phức tạp, mà không đòi hỏi bất kỳ thay đổi nào trong hoạt động mailflow.
- Triển khai không cần cài đặt agent trên Microsoft 365 và Gmail.
- Các biện pháp bảo vệ email ban đầu được cung cấp bởi nhà cung cấp dịch vụ email hiện tại.
6. Các khách hàng của Cloudflare Area 1
Giải pháp Area 1 của Cloudflare được nhiều tổ chức trên toàn thế giới thuộc nhiều lĩnh vực như công nghệ, tài chính, hàng không, sản xuất… tin dùng vì khả năng ngăn chặn các cuộc tấn công tiên tiến, tích hợp dễ dàng vào môi trường email hiện có, đơn giản và linh hoạt trong triển khai, cũng như hỗ trợ team SOC tăng tốc trong quá trình điều tra các cuộc tấn công.
7. Đánh giá của các tổ chức
Theo báo cáo của The Forrester Wave™: Enterprise Email Security, Q2 2023, giải pháp Area 1 của Cloudflare đã được xếp hạng trong nhóm Leader.
8. Liên hệ
Giải pháp Area 1 Email Security của CloudFlare hiện đang được phân phối bởi công ty cổ phần giải pháp công nghệ Sonic. Mọi yêu cầu về thử nghiệm cũng như hỗ trợ kinh doanh & kỹ thuật khách hàng có thể liên hệ chi tiết theo các thông tin dưới đây.
Chi tiết xin liên hệ:
Product Manager: Mr Nam – 0982.151.882