早上開工，某互聯(lián)網(wǎng)大廠的員工小A照例打開企業(yè)郵箱，一封來自“財務(wù)部”的郵件瞬間讓他精神抖擻，比喝了三杯冰美式都興奮——《關(guān)于發(fā)放05月份工資補貼的通知》。

還有這等好事?小A仔細查看了郵件發(fā)件人，正是財務(wù)部的小B。小A正想問鄰座的小C這事是真是假，卻看見小C點開了附件里的鏈接，開始輸入銀行卡號……小A不再懷疑，麻利的點開鏈接，輸入銀行卡號、身份證號、手機號，不一會就收到了銀行發(fā)來的驗證碼。小A趕忙輸入驗證碼，手機馬上收到了短信提示。小A心想，補貼到賬真快，“財務(wù)部”效率真高。他拿起手機一看，赫然是銀行的提醒短信，您的賬戶轉(zhuǎn)出××元……小A眼前一黑，心里暗呼，難道我遭遇了電信網(wǎng)絡(luò)詐騙?

不一會，小A就在公司大群里看到了公告——小B的郵箱被盜，黑客向全公司群發(fā)了釣魚郵件，大家不要上當。小A欲哭無淚，誰能想到來自“財務(wù)部”的郵件會是釣魚郵件呢?

這件看似荒誕的事件是發(fā)生在某互聯(lián)網(wǎng)大廠的真實案例。雖然這次“盜取員工企業(yè)郵箱發(fā)動釣魚郵件”事件沒有造成多大損失，卻還是讓很多企業(yè)驚出了一身冷汗。原因有二：一是企業(yè)郵箱是最基礎(chǔ)的辦公應(yīng)用，一旦郵箱有失，后果不堪設(shè)想;二是郵箱的防護看似簡單、實則復(fù)雜，就連公認簡單有效的郵箱二次認證，也成了“老大難”問題。

01郵箱二次認證為何成了“老大難”?

想要實施郵箱二次認證的企業(yè)，往往面對以下三大難題：

1.使用場景不可控

作為最基礎(chǔ)、最常用的辦公應(yīng)用，企業(yè)員工需要在任何地點、任何時間，通過各種網(wǎng)絡(luò)，使用不同的設(shè)備，以不同的方式登錄企業(yè)郵箱、收發(fā)郵件。這導(dǎo)致郵箱的使用場景異常復(fù)雜，為企業(yè)實施二次認證增加了難度：

網(wǎng)絡(luò)環(huán)境復(fù)雜：員工不但會通過內(nèi)網(wǎng)訪問企業(yè)郵箱，還會通過公共WiFi、家庭網(wǎng)絡(luò)、移動互聯(lián)網(wǎng)訪問郵箱，甚至需要通過國外網(wǎng)絡(luò)發(fā)起訪問;

設(shè)備環(huán)境復(fù)雜：隨著遠程辦公、移動辦公的普及，員工不但會使用公司配發(fā)的終端登錄郵箱，還會使用自有電腦、智能手機登錄郵箱;

登錄方式復(fù)雜：有的員工會使用Outlook、Foxmail、網(wǎng)易郵箱大師等郵箱客戶端登錄郵箱，有的員工傾向于直接使用瀏覽器訪問Web郵箱。

2.郵箱應(yīng)用難改造

企業(yè)所使用的郵箱多為標準化應(yīng)用，難以按照企業(yè)需求進行改造。為了提升郵箱的安全性，企業(yè)不得不部署郵箱安全產(chǎn)品。但各種各樣的郵件協(xié)議(SMTP、POP3、IMAP)、郵箱服務(wù)(Exchange)，卻對安全產(chǎn)品的兼容性構(gòu)成了巨大挑戰(zhàn)。

3.安全體驗難平衡

為了提升企業(yè)郵箱的安全性，部分企業(yè)采取了限制密碼長度與字符組成、強制定期修改密碼等手段。但這些手段往往只能覆蓋登錄環(huán)節(jié)，難以覆蓋收件、發(fā)件環(huán)節(jié)，還會增加員工學(xué)習與操作成本，引發(fā)員工抵觸情緒，導(dǎo)致安全措施難以100%落實。

02芯盾時代郵箱二次認證解決方案

芯盾時代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，基于自主研發(fā)的零信任業(yè)務(wù)安全平臺(SDP)，打造了郵箱二次認證解決方案。方案采用軟件定義邊界架構(gòu)，將數(shù)據(jù)平面與控制平面分類，采用零信任安全網(wǎng)關(guān)代理郵箱訪問流量、實施訪問控制，采用動態(tài)訪問控制引擎監(jiān)測安全態(tài)勢、生成訪問控制策略，采用認證中心管理身份信息、訪問權(quán)限，采用移動App實施多因素認證。

芯盾時代郵箱二次認證解決方案具備“郵箱零改造、場景全覆蓋、協(xié)議強兼容、體驗性更佳”四大優(yōu)勢，能夠幫助企業(yè)輕、快、好的實現(xiàn)郵箱二次認證，在提升郵箱安全性的同時保證員工操作體驗，更好的防范釣魚郵件。

借助郵箱二次認證解決方案，企業(yè)能夠一站式實現(xiàn)以下功能：

1.實施郵箱多因素認證

借助芯盾時代自主研發(fā)的移動App，企業(yè)能夠在郵箱零改造的情況下，為郵箱設(shè)置指紋識別、手勢認證、掃碼認證、動態(tài)口令、一鍵登錄、短信口令等認證方式，與原有的密碼認證相配合，實現(xiàn)郵箱多因素認證，有效消除弱口令等風險因素，更好的防范撞庫攻擊、噴射攻擊等網(wǎng)絡(luò)攻擊。

當員工進行登錄郵箱、收件、發(fā)件等重要操作時，企業(yè)可強制要求員工使用App進行二次認證，避免黑客利用員工郵箱進行非法操作，有效防范釣魚攻擊。

2.動態(tài)自適應(yīng)訪問控制動態(tài)訪問引擎能夠智能感知全域風險，綜合設(shè)備、IP、時間、行為、賬號、位置等維度的風險信息，對用戶訪問郵箱過程中的操作行為實施動態(tài)訪問控制。

當用戶采用認證過的設(shè)備，在企業(yè)內(nèi)網(wǎng)登錄郵箱、收件、發(fā)件時，可采取免認證策略，保證員工的操作體驗。當員工的設(shè)備、IP、行為、位置等存疑時，可采取強化認證策略，要求員工采取指紋識別、人臉識別、動態(tài)口令等高強度的身份認證方式，保證郵箱由員工本人操作。當訪問者的操作行為被判定為風險行為時，直接阻斷訪問，保障郵箱的安全。

3.環(huán)多協(xié)議多場景全面兼容

憑借強大的自主研發(fā)能力、豐富的項目經(jīng)驗，芯盾時代郵箱二次認證解決方案具備全面的兼容性，能夠與企業(yè)郵箱無縫對接，在各種登錄環(huán)境、使用場景下，保證員工訪問郵箱。無論員工通過瀏覽器使用Web郵箱，還是通過Foxmail、Outlook、網(wǎng)易郵箱大師等PC端郵箱客戶端登錄郵箱，或者通過智能手機中的郵件服務(wù)App進行操作，方案都能自適應(yīng)執(zhí)行二次認證，實現(xiàn)全終端、全場景覆蓋。

方案全面支持SMTP、POP3、IMAP等郵件協(xié)議，能夠與Exchange服務(wù)無縫對接，企業(yè)無需對原有郵箱應(yīng)用進行改造，能夠快速上線、彈性擴容，幫助企業(yè)縮短改造周期、保證業(yè)務(wù)運轉(zhuǎn)。

隨著AI技術(shù)的全面普及，黑客發(fā)送釣魚郵件、創(chuàng)建釣魚網(wǎng)站的門檻越來越低，企業(yè)面對的釣魚郵件風險持續(xù)升高。芯盾時代郵箱二次認證解決方案，能夠幫助企業(yè)輕、快、好的實現(xiàn)郵箱服務(wù)的安全升級，是企業(yè)應(yīng)對釣魚郵件的理想選擇。