在企业日常经营中,接收来自外部的文件是最常见的工作场景之一。供应商的报价单、客户的合同草案、合作伙伴的方案书、咨询机构的调研报告,这些文件每天都在企业之间流转。大多数人在收到这些文件时,更关注的是文件内容的准确性和完整性,很少有人会想到文件本身可能携带恶意代码。事实上,商务文件已经成为网络攻击的重要突破口。攻击者将木马、病毒、勒索软件嵌入在文档中,通过伪装成商务文件的方式定向发送给目标企业。一旦接收者在信任的前提下打开文件,恶意代码就会在后台悄悄运行,建立后门、窃取数据、加密文件,给企业带来严重损失。
商务文件中的安全风险主要来源于几个方面。第一个方面是伪装成供应商的真实邮件。攻击者通过前期情报收集掌握了企业与供应商之间的业务关系,然后模仿供应商的邮箱发来一份带有附件的邮件。由于邮件内容和格式高度逼真,接收者往往无法辨别真伪。第二个方面是利用文档格式的漏洞。Word、Excel、PDF等常见文档格式都存在已知的安全漏洞,攻击者通过构造恶意的文档结构来触发漏洞,从而在目标系统上执行恶意代码。第三个方面是宏病毒。攻击者在Office文档中嵌入恶意的宏代码,当接收者启用宏后,恶意代码就会被执行。很多商务文档在正常使用中确实需要启用宏,这使得宏病毒的识别难度大增。第四个方面是文档被植入远程图片链接。攻击者在文档中插入一个指向其控制服务器的图片链接,当文档被打开时,系统会自动加载该链接,攻击者据此可以确认目标打开了文件并获取目标的IP地址等信息。
防范商务文件的木马风险,企业需要建立一套完整的文件安全检测流程。第一道防线是文件入口检测。所有从外部接收的文件应当首先通过病毒扫描和恶意代码检测系统,扫描的内容不仅包括文件本身,还包括文件中的宏、嵌入式对象、外部链接、ActiveX控件等潜在风险元素。第二道防线是文件隔离执行。对于来源不确定或内容敏感的商务文件,应当在隔离的工作环境中打开,比如使用虚拟机或沙盒系统。即使文件中含有恶意代码,也无法影响到工作网络。第三道防线是文件格式转换。将接收到的原始文档转换为其他格式再打开,可以在一定程度上破坏恶意代码的嵌入结构。比如将Word文档转换为纯文本格式阅读。第四道防线是行为监控。在员工打开外部文件后,系统应当对后续的进程行为进行监控,发现文件试图连接外部服务器、试图修改系统设置、试图访问敏感目录等异常行为时,立即发出警报并进行阻断。
在针对商务文件的防范中,有几个容易被忽略的风险场景需要特别重视。第一个是压缩包文件。很多商务文件通过压缩包发送,压缩包内的文件可能绕过部分扫描设备的检测。企业应当在压缩包解压后对每个文件进行独立的检测。第二个是带有数字签名的文件。有些企业认为带有数字签名的文件就是安全的,但数字签名只能证明文件未被修改过,不能证明文件不含有恶意代码。攻击者完全可以在合法软件上嵌入恶意代码后重新签名。第三个是来自长期合作伙伴的文件。合作时间越长,信任惯性越强,安全警惕性越低。攻击者了解这一点,所以会充分利用这种信任关系,通过攻击合作伙伴的邮件系统来向目标企业下发恶意文件。
商务流程中的文件安全管理还需要与外部的配合。企业应在合作协议中明确信息安全的条款,要求供应商和合作伙伴具备基本的信息安全防护能力,在文件传输过程中使用加密方式,在邮件交流中使用数字签名以确认发件人身份。企业可以建立一个安全的文件交换平台,所有涉及敏感信息的商业文件都通过该平台传输而不通过邮件直接发送附件。对于涉及核心商业秘密的文件交换,应当采取物理介质当面交接的方式,不使用任何网络传输渠道。
商务文件是企业在经营中不可或缺的基础材料,但不能因为不可或缺就忽视其中潜藏的安全风险。企业需要把文件安全检测纳入商务流程的每一个环节,从制度上保证每一份进入企业网络的外部文件都经过安全审查。用严谨的态度对待每一份来自外部的文件,是保护企业商业秘密的基本功。
FAQ:问:如何判断来自供应商的商务文件是否安全?答:所有外部文件在打开前应通过病毒扫描和恶意代码检测,对于来源不确定的文件应当隔离执行。问:长期合作伙伴发来的文件为什么仍有风险?答:攻击者可能攻击合作伙伴的系统并冒用其邮件地址发送恶意文件,因此任何外部文件都应当经过安全检测。问:企业如何建立商务文件安全检测机制?答:建立文件入口检测、隔离执行、格式转换和行为监控的多层防御体系。
北京企密安信息安全技术有限公司 010-63711822 jess@baomiwang.com
