implementing-mimecast-targeted-attack-protection

实施 Mimecast 定向攻击防护

概述

Mimecast 定向威胁防护（Targeted Threat Protection，TTP）是一套高级邮件安全服务，旨在防御复杂的钓鱼（Phishing）、鱼叉式钓鱼（Spearphishing）和定向攻击。TTP 由四个核心模块组成：URL Protect（实时 URL 改写与点击时分析）、Attachment Protect（可疑附件沙箱引爆）、Impersonation Protect（BEC 和钓鲸攻击检测）、Internal Email Protect（扫描内部/出站邮件中的威胁）。自 2025 年 11 月起，Mimecast 默认为所有客户启用了 URL 预投递操作的 Hold 设置。

前置条件

• 带 TTP 附加模块的 Mimecast Email Security 许可证
• Mimecast 管理控制台的管理员访问权限
• Microsoft 365 或 Google Workspace 环境
• MX 记录已配置为通过 Mimecast 路由
• 了解邮件认证（SPF、DKIM、DMARC）

核心概念

TTP 模块概览

模块	功能	核心能力
URL Protect	在点击时改写并扫描 URL	实时沙箱、预投递保留
Attachment Protect	对可疑附件进行沙箱分析	静态 + 动态分析
Impersonation Protect	检测 BEC/钓鲸攻击	VIP 姓名匹配、邮件头分析
Internal Email Protect	扫描内部/出站邮件	横向钓鱼检测

仿冒防护场景

• Hit 3（默认）：标记匹配 3 个或以上仿冒指标的邮件
• Hit 1（VIP）：对指定 VIP 用户，标记匹配 1 个或以上指标的邮件
• 关键识别标志：显示名称相似性、域名相似性、回复地址不匹配、新注册域名

URL Protect 模式

• Rewrite（改写）：URL 被改写以在点击时通过 Mimecast 代理路由
• Pre-Delivery Action（Hold）：URL 在邮件投递前进行检查；若可疑则暂时保留
• Pre-Delivery Action（None）：URL 在投递前检查但不保留

实施步骤

步骤 1：配置 URL Protect 策略

• 导航至 Administration > Gateway > Policies > Targeted Threat Protection - URL Protect
• 创建 URL Protect 定义，为入站邮件启用 URL 改写
• 启用 URL 预投递操作并设置为"Hold"以获得最大保护
• 配置扫描模式：高风险用户使用激进模式，普通用户使用适中模式
• 设置恶意 URL 的处理动作：显示带用户通知的阻断页面
• 启用所有点击事件的 URL 日志记录

步骤 2：配置 Attachment Protect 策略

• 导航至 Administration > Gateway > Policies > Targeted Threat Protection - Attachment Protect
• 为入站邮件创建 Attachment Protect 定义
• 选择沙箱模式："Safe File"（转换为安全格式）或"Dynamic Configuration"（完整沙箱）
• 配置需要扫描的附件类型：可执行文件、Office 文档、PDF、压缩包
• 设置沙箱分析超时时间（默认：复杂文件最长 7 分钟）
• 为来自未知发件人的附件启用预先沙箱分析

步骤 3：配置 Impersonation Protect

• 为所有入站邮件创建默认 Impersonation Protect 定义（Hit 3）
• 为高管防护创建 VIP Impersonation Protect 定义（Hit 1）
• 建立 VIP 名单：CEO、CFO、CTO、董事会成员、财务负责人
• 配置检测标识符：显示名称、域名相似性、新观察到的发件人
• 设置处理动作：隔离高置信度仿冒邮件，标记中等置信度邮件
• 为标记邮件启用终端用户警告横幅

步骤 4：启用 Internal Email Protect

• 配置从 Microsoft 365/Google Workspace 到 Mimecast 的邮件日志记录
• 为内部邮件启用 URL 扫描
• 为内部邮件启用附件扫描
• 配置内部账户失陷指标的告警
• 设置内部钓鱼检测（被入侵账户发送恶意软件）

步骤 5：创建测试组并验证

• 在各部门创建 50-100 人的试点组
• 首先将 TTP 策略应用于试点组
• 发送带已知安全测试 URL 和 EICAR 测试文件的测试邮件
• 验证 URL 改写、附件沙箱和仿冒检测功能
• 在全组织部署前监控 1-2 周的误报率

步骤 6：全组织部署并调优

• 将 TTP 策略扩展至所有用户
• 通过 Mimecast Threat Dashboard 监控检测指标
• 审查并将触发误报的合法应用程序加入白名单
• 根据误报反馈调整仿冒敏感度
• 为自动化系统和邮件列表配置例外策略

工具与资源

• Mimecast Administration Console：策略配置与管理
• Mimecast Threat Dashboard：实时威胁可见性和分析
• Mimecast Awareness Training：集成式安全意识培训平台
• Mimecast API：以编程方式访问日志和威胁数据
• Message Center：供管理员和用户使用的隔离区管理

验证

• URL Protect 改写测试邮件中的 URL，并在点击时阻断已知恶意链接
• Attachment Protect 对测试文件进行沙箱分析并在 SLA 内返回判定结果
• Impersonation Protect 标记模拟仿冒 VIP 的测试 BEC 邮件
• Internal Email Protect 检测测试横向钓鱼场景
• 预投递保留在 URL 到达收件箱前拦截武器化 URL
• 调优后误报率低于组织设定的阈值