【钓鱼专题】HW工作纪实与总结!
2025年国家级网络安全演练(HW 行动)硝烟犹在,今年的HW中邮件安全网关成为攻守双方争夺焦点,防守方将其作为防护核心,攻击方将其作为众矢之的。网际思安作为国内邮件安全网关的领跑厂商,与往年一样深度参与多个重点单位的HW行动,与用户一起并肩作战,依托MailSec邮件安全网关,为用户筑牢邮件安全防线,以下分享我方参与HW的工程师对HW工作的纪实与总结:
HW 首日网际思安工程师一早入驻用户现场,与用户安全团队并肩作战,重点工作包括:
-
梳理邮件系统/邮件安全网关部署架构、加固现有防护规则、梳理历史安全事件(历史遭受的邮件攻击类型、漏洞利用记录),整理邮件安全基线报告;
-
明确HW防护目标(如确保账号0泄露、杜绝0day漏洞),结合HW攻击特点(高强度钓鱼、定向社工、0day漏洞利用等),制定针对性防护方案;
-
制定应急响应预案,明确核心场景处置流程:如遇 0day 漏洞攻击(网关被绕过)、大规模定向钓鱼(社工邮件突破拦截),网关自身被 DDoS 攻击等情况时,厂商技术支持的响应时效(如 15 分钟内远程接入、4 小时内提供临时补丁)、操作步骤(如紧急阻断规则配置、流量引流至备用网关)、责任分工(客户运维团队与厂商应急团队的协同接口);
当日工程师HW日志如下:
7/2 周一
截止本日19:00
| 序号 | 邮件安全网关 | 主题 |
| 1 | 拦截删除邮件 | 3765封 |
| 2 | 命中黑名单阻断连接 |
|
| 3 | 新增异常邮箱域名到黑名单 |
|
| 4 | 新增一条过滤规则 |
|
| 5 | 添加钓鱼共享情报 |
|
| 6 |
今日典型异常邮件主题 |
“办公室文件送达” “重要业务资料速查” “Invitation to join intranet” 以收件人名字全拼为主题的动态主题 |
02 HW中期
HW中期是攻防对抗的 “高潮阶段”,攻击方采用多样化、隐蔽化手段(如变种钓鱼、0day 利用、社工绕过)突破邮件网关,今年HW多家邮件安全网关爆出0day,引起业界广泛关注,网关厂商需及时自检动态更新防护规则及应急补丁,厂商需聚焦 “实时响应、动态调整、协同对抗”。
以7/15日为例,工程师HW日志如下:
截止本日19:00
| 序号 | 邮件安全网关 | 主题 |
| 1 | 拦截删除邮件 | 3727封 |
| 2 | 命中黑名单阻断连接 |
|
| 3 | 新增异常邮箱域名到黑名单 |
|
| 4 | 新增一条过滤规则 |
|
| 5 | 添加钓鱼共享情报 |
|
| 6 |
今日典型异常邮件主题 |
“在线文档共享事项!” “办公室文件送达” “XXXX” ...... |
|
|
|
|
第二章 邮件安全网关:屏障作用不可撼动
电子邮件作为企业与外界信息交互的重要通道,时刻面临着垃圾邮件、钓鱼邮件、病毒邮件的侵袭。邮件安全网关就像一道坚不可摧的屏障,是守护网络安全的第一道防线。它具备强大的邮件过滤、威胁识别与拦截能力,能精准识别各类恶意邮件特征,从源头阻断威胁,避免企业数据泄露、系统被攻击,保障业务连续性与数据资产安全 。可以说,没有邮件安全网关的安全防护,企业邮件系统将直面海量恶意攻击,如同不设防的城池,风险不堪设想。
【红队视角】HW 行动中,红队(攻击方)将邮件系统视为突破网络边界的核心入口,原因在于:
- 用户基数大,防御薄弱点多
普通员工对钓鱼邮件、病毒附件的识别能力参差不齐,易成为攻击突破口。 - 数据价值高
邮件中包含大量商业机密、账号密码、内部通讯录等敏感信息,一旦泄露可直接助力红队扩大攻击范围。 - 攻击成本低、隐蔽性强
红队通过钓鱼邮件、恶意链接等手段即可发起攻击,无需复杂技术,且攻击行为易伪装成正常邮件通信。 -
防护漏洞攻击
红队利用邮件系统乃至邮件安全网关的 0day/Nday 漏洞,例如邮件服务器远程代码执行、信息泄露漏洞,邮件安全网关的远程执行命令漏洞,可以直接在邮件服务器或邮件安全网关上执行任意命令,进行权限提升,进一步控制整个服务器/网关或网络。
【蓝队视角】蓝队(防守方)需通过邮件安全网关构建多层次防护,直接抵御红队的核心攻击手段:
-
拦截病毒与恶意附件
红队常通过免杀技术、加密压缩包等方式绕过基础检测,而邮件安全网关可依托多引擎查杀、沙箱动态分析、行为特征识别等技术,精准识别并阻断含恶意代码的邮件,避免终端被控制。 -
识别与阻断钓鱼攻击
针对红队的仿冒发信人、诱导链接、虚假登录页等钓鱼手段,网关可通过域名信誉库、语义分析、URL 动态解析等功能,提前识别钓鱼邮件并拦截,防止用户泄露账号密码。 -
抵御账号爆破与滥用
红队通过撞库、暴力破解获取邮箱账号后,会进一步发送内部钓鱼邮件或窃取信息。邮件安全网关可实时监测异常登录行为(如异地 IP、高频尝试),触发二次验证或临时封禁,同时拦截异常账号发送的邮件。
02 为HW提供情报及溯源支撑
HW 行动的 “重保模式” 要求防守具备实时响应能力,邮件安全网关的附加功能成为关键:
- 实时监控与日志溯源
网关可记录所有邮件往来日志(发件人、收件人、内容特征、处理结果等),一旦发生攻击,蓝队可快速追溯攻击路径、定位受影响账号,为应急处置提供依据。 - 情报联动与动态防御
结合 HW 期间的威胁情报(如红队常用 IP、域名、攻击话术),邮件安全网关可实时更新拦截规则,对已知攻击源进行精准封堵。 - 灵活适配重保策略
支持临时收紧防护规则(如强制拦截境外可疑邮件、限制高风险附件类型),同时避免 “一刀切” 影响正常业务通信。
第三章 值守+协同:基于邮件安全网关的动态守护是关键
01 持续优化、动态加固
HW 首日网际思安工程师一早入驻用户现场,与用户安全团队并肩作战,新增异常邮箱域名[1]个加入黑名单,工程师通过分析拦截邮件特征,结合网关底层逻辑,新增 [2] 条过滤规则,为后续邮件安全筛查筑牢基础;同步对接行业情报源,添加 [77] 条钓鱼共享情报,丰富威胁识别 “武器库”,让网关的威胁识别能力更上一层楼。典型异常邮件主题如“办公室文件送达”、 “重要业务资料速查”,试图伪装渗透,被网关精准拦截,工程师迅速复盘,从网关日志中深挖攻击链路,为用户讲解防御要点,积累经验。
| 序号 | 邮件安全网关 | 主题 | |
| 1 | 拦截删除邮件 | 3765封 | |
| 2 | 命中黑名单阻断连接 |
|
|
| 3 | 新增异常邮箱域名到黑名单 |
|
|
| 4 | 新增一条过滤规则 |
|
|
| 5 | 添加钓鱼共享情报 |
|
|
| 6 |
今日典型异常邮件主题 |
|
HW期间,网际思安工程师时刻加强与行业安全情报网络联动,某日新增 [199] 条钓鱼共享情报,让网关的威胁数据库不断扩容。重视与外部安全力量协同,使网关能同步感知行业最新威胁。
第四章 收尾+复盘:将实战数据转化为防御能力
01 复盘数据量化
复盘工作需要做数据量化的核心内容包括:HW 期间邮件安全网关的关键指标(拦截率、误判率、攻击处理时效)、主要攻击手段与特征、防御体系的优势与短板、典型攻防案例分析(附日志截图、攻击样本特征)。
02 防御效果评估
03 策略合理性复盘
总结:
在实战攻防演练(如 HW 行动)中,邮件安全网关作为 “邮件通道第一道防线”,其表现直接影响防守方对邮件类攻击的拦截效果。由于攻击方会采用高强度、高隐蔽性、高针对性的手法(如定向钓鱼、0day 利用、AI 深度伪造等),邮件安全网关的表现呈现 “基础防护稳定有效,但面对高级威胁仍存挑战” 的特点。邮件安全网关作为HW实战防守的关键闸道,既是对厂商产品防护能力、研发响应能力、技术团队保障能力的考验,更是对 “厂商 - 客户 - 蓝队” 协同效率的检验。
往期推荐:
