如何通過流量分析發現內網郵箱賬號被盜？

新聞 11-19

郵箱被盜事件頻頻發生，內部郵箱賬號被盜可能導致內部重要信息泄漏、發送垃圾郵件等嚴重安全問題，更可怕的是密碼被盜網路管理人員卻不知道，那內部重要的網路資產無異於「裸奔」。下面這篇文章告訴你，我們應通過何種方法快速準確的知道我們的郵箱是否安全並快速響應，維護郵箱賬號的安全。

問題描述

某政府單位按照等保要求部署了很全面的安全防禦產品，但通過科來網路回溯分析系統對流量進行分析後發現郵箱伺服器發起了大量對外網郵箱的郵件，發送郵件頻率非常高。

分析結論

對存在相同行為的賬號進行審查與分析，發現內網多個賬號已被盜，需要對這些賬號進行重置，並更新病毒庫對全網機器進行殺毒，並對郵箱伺服器進行全面升級。

價值

通過網路分析對網路流量中隱蔽的可疑行為進行發現和分析，並藉助回溯分析回查評估過去一段時間的攻擊影響和取證，制定針對性的防禦策略，及時止損。當前的網路安全是動態的而非靜態，網路安保工作需要從被動防禦上升到主動防護。現階段網路安全等級保護已經進入2.0時代，網路全流量回溯分析技術是打造主動防禦體系與等保2.0合規必備的技術手段。

分析過程

通過回溯分析對某一天夜間的流量進行分析後發現夜間存在大量的Email流量，展開Email流量查看產生Email流量的通訊會話，發現均為郵箱伺服器與公網地址的通訊。