不用PPAP，其實還有其他安全傳檔方式

近年日本出現廢除PPAP的聲浪，也就是電子郵件附檔不要使用ZIP壓縮加密碼方式傳送，同時，美國國土安全部網路安全暨基礎安全局（CISA）近年時常提醒，面對勒索軟體或Emotet惡意程式的威脅，警告企業與使用者，對於郵件中的密碼壓縮檔要謹慎開啟甚至封鎖，在這樣的情形下，現在企業郵件安全產品是否有所轉變？或是有哪些替代方式？

國內郵件安全業者網擎資訊產品行銷副總李孟秋指出，目前觀察日本客戶採用的新作法，都是改以「連結」的方式傳送附檔。

也就是說，將檔案放在郵件主機、郵件閘道，或是專屬的企業檔案雲或平臺（EFSS）上，利用平臺的權限及安全機制，限制可讀取的對象、期間，甚至只能觀看、無法下載，或是浮水印機制等等，解決分享機密檔案的問題。

在過去的附件加密機制上，除了ZIP密碼加密傳送，其實也就有超連結方式傳送，供企業選擇，讓郵件附檔保留至郵件閘道上，並可設定加密。

而在廢除PPAP的議題下，網擎資訊也提出對策，在產品中加入自動檢查郵件附檔，若偵測到加密壓縮檔，該信件會留滯在郵件防護系統的隔離區中，如此一來，當使用者收到通知信登入隔離區檢視信件時，可在平臺上將加密壓縮檔解開，此時防毒引擎會立即掃描惡意，若判定為可疑檔案，再提交至沙箱環境進行分析，不像早期系統無法打開就放棄掃描。不過，機制也需要使用者的配合，若選擇直接放行隔離區的郵件，就無法在隔離區內開啟加密壓縮檔。

基本上，從 ZIP 加密附檔改為寄送連結，由於可以確認收件方是否下載，若是寄錯時也可以立刻停止分享，因此比以往更能掌控狀況。但普遍而言，規模較小的企業若沒有更新郵件系統，又沒有採用新的SaaS服務，將無法馬上轉換到新作法。

當然，連結的衍生風險也不少，過去微軟發展出網址自動改寫的防護機制，近年網擎資訊也開始提供。

另外，網擎很早推出了SecuShare企業檔案雲平臺（現名為SecuShare Pro），針對資料分享提供專門的應用。他們並指出，現有企業檔案雲少有審核機制，未來將把如同郵件稽核產品中的審核機制放入，提供更多元管控能力。

另一家郵件安全雲端業者HENNGE Taiwan表示，日本市面上有許多企業使用Box或Google Drive等檔案雲平臺， 他們之前也有推出Secure Transfer，提供檔案傳送與接收。

以郵件附檔ZIP密碼加密機制而言，最大效益，就是對於使用者很方便，不用改變使用習慣，後續，他們也有提供Secure Download的功能，讓使用者將沒加密的檔案直接拖拉到郵件附件，寄出去時，系統後臺會將附件分離並上傳到雲端平臺，而收件者則會收到信附檔是PDF檔，檔案中則有連結可連至雲端平臺。等於是將附檔上傳到雲端平臺這一段自動化，這與上述提到附檔轉超連結的機制，其實都很相似。

另外，可保護電子郵件端到端安全的電子郵件加密技術，像是PGP與S/MIME等，也是一種更進階的選擇。趨勢科技資深經理劉家麟表示，如果企業組織需要透過郵件來傳送機密資訊，也可利用PGP加密軟體，能連結使用者名稱或郵件位址進行郵件加密，而在他們的自家郵件閘道產品中，還有提供身分導向（IBE）方式來進行郵件加密。基本上，許多重視郵件安全的企業會使用這種方式，只是一直未能大量普及應用

美國CISA已警告應封鎖無法掃描的郵件附檔
對於郵件附件ZIP密碼加密的風險，近年CISA多次提出警告，指出企業員工需謹慎開啟電子郵件中的附件，即使認為是自己認識的寄件者，特別是要當心附件是壓縮檔或ZIP文件。
例如，在2020年10月的資安警訊中，CISA指出Emotet的新攻擊手法，會在郵件中附加密碼保護的ZIP檔，而他們後續在減緩Emotet威脅的建議事項裡面，也提到：應封鎖無法被防毒軟體掃描的電子郵件附件，例如ZIP檔。

能提供文件安全共享功能的解決方案，均可支援這類型應用需求

另一方面，上述提到的企業檔案雲的應用發展，也已至少六七年之久，多年前我們介紹過不少這類產品服務。除上述兩家業者，國際上有名的雲端業者，包括Box、Dropbox，微軟、Google、Amazon也都提供，國內也有不少廠商，如華碩雲端、群暉等，有這類產品。

對於使用者而言，原本要上傳到郵件中的文件，則是要上傳到企業檔案雲平臺，但以現在的趨勢而言，多家業者均認為這是不錯的方式。

奧義智慧科技資深資安研究員陳仲寬表示，透過雲端平臺可以做到集中管理，安全性較高。例如，可以做到集中身分驗證、密碼認證的管理，可以統一管理分享的檔案，並可稽核暴力破解密碼的狀況，或是容易做到限制密碼嘗試。此外，雲端平臺也可以提供防毒與惡意掃描於下載或上傳。

而且，服務業者可在平臺上持續強化安全性。當然，就威脅面來看，雲端平臺本身的安全性將是考量。

不只業者要做好安全，使用者本身同樣要注意幾項設定，TeamT5執行長蔡松廷給出三項基本的建議，例如：第一，應限制分享對象，注意是不是所有人都可以存取；第二，應設定密碼保護，但也仍是要注意密碼需用不同的方式傳送給對方；第三，應管控檔案或連結的有效期限，避免檔案未來被存取。

另外，關於檔案傳送管理（MFT）的產品應用方式，精品科技子公司FineArt Japan部長尾高功恭表示，由於這樣的方案可解決認證與伺服器加密的要求，因此，有些大企業已經開始使用這樣的方式來替代PPAP，但要注意的是，這種做法需大幅變更郵件的使用習慣，可能較難以普及。

 網際網路交換檔案的安全事項 
提升網路傳檔安全該注意什麼？NIST提供建議

對於在網路上安全傳送檔案，美國NIST旗下資訊科技實驗室（ITL）在2020年8月曾提出相關文件，著重於不同檔案傳輸方式的資安注意事項，這將是企業可以參考的資源。

為了文件傳送或交換的需求，不管對象是同事或合作夥伴等其他人，過去企業員工最直接的做法，就是將文件附加電子郵件中傳給對方，此時，有些人可能會將文件放在一個有密碼保護的壓縮檔中，有些人會將文件上傳到免費雲端硬碟服務來分享，特別是檔案太大的時候，無法使用電子郵件附檔直接寄送。

只是，許多文件傳送方法都有安全疑慮，像是沒有加密，存在竊聽與中間人攻擊風險，或是將文件儲存到不受信任的第三方雲端硬碟，以及文件分享權限設置失當等不同狀況。

此外，雖然有些文件傳送方法可以提供所需的安全性，但操作上可能較麻煩而難以普遍運用。這也導致員工最終可能臨時以自己的傳送方式，分享給同事、合作夥伴、供應商與客戶，這對於企業來說，就等於存在風險。

從五大基本行動做起

若要提高文件傳送的安全性，可採取哪些基本措施？

對於企業而言，美國國家標準局NIST旗下資訊科技實驗室（Information Technology Laboratory，ITL）有提出相關建議，或許可成為企業參考資源，該單位在2020年8月，發布了文件傳送的資安注意事項的建議指南。

以下5點是他們認為，企業可以考慮採行的基本行動：

（一）企業組織應確定用戶對於文件傳送與交換的需求，這包含企業內部與外部的發送與接受。在識別需求上，包含文件交換對象，也就是發送者與接收者，以及資料的性質，例如公開資訊、個人身分資訊或受保護的健康資訊。

（二）企業針對文件傳送與交換需求，應提供相應解決方案，並考慮安全性與可用性。同時，導入應用時也要進行充分的教育訓練，使企業員工了解適合其需求的解決方案。否則，用戶很可能使用自己選擇的各式臨時手段，而繞過企業認可的解決方案。此外，多數企業組織可能需要一個以上的解決方案，以滿足不同的文件傳送或交換需求。

（三）當使用密碼學保護文件與文件交換的機密性與完整性，企業應該只使用NIST允許的密碼學演算法，相關資料可參考NIST FIPS或NIST SP文件。

（四）為確保使用認可的解決方案來保護文件，企業組織需要做到監控。一旦偵測到保護不足的文件時，企業需識別出根本原因。

（五）企業需要先為機敏資料外洩做好因應上的準備，例如員工無意間透過電子郵件發送含有個資卻未受保護的文件。

當然，上述只是基本原則，而在這份文件中，其實也有對於不同的檔案傳送方式提供建議。特別的是，在此當中，也有闡述郵件附檔壓縮加密碼傳送方式，並特別指出，這種方法只有在密碼不容易被猜到時，以及發送者使用安全的方法將密碼發送給對方，才可以接受。

整體而言，安全檔案交換，在郵件的面向，就畫分有4種類型，附檔壓縮加密碼傳送只是一種，其他三種是：使用郵件解決方案內建郵件加密機制、使用公開金鑰加密標準，以及使用第三方郵件加密服務或產品。 關於其他檔案交換的機制，這裡也列出企業檔案分享服務、檔案傳輸管理（MFT）解決方案，以及客製網頁與應用程式的方式。

 相關報導