儘管防禦方竭盡全力,惡意郵件仍在持續突破網路安全防線,促使部分企業採用融合多種工具的"縱深防禦"策略。
微軟似乎正在對這一理念發起挑戰。該公司發布的最新季度基準測試數據顯示,在 Defender for Office 365 的防護體系之外,額外疊加集成的預發送與後發送合作夥伴方案,帶來的安全收益十分有限。
根據這份數據,微軟在郵件送達前便能攔截絕大多數惡意郵件和垃圾郵件,漏檢率遠低於競爭對手,且對已進入收件箱的危險郵件,清除率接近 100%。其集成合作夥伴對總體攔截率的提升幅度不足 0.05%。
儘管上述數字似乎有力支撐了"單一廠商郵件安全"的方案選擇,但多位專家提醒企業對此類廠商聲明保持審慎態度。
Info-Tech Research Group 高級研究分析師 Seva Ioussoufovitch 指出:"百分比數字掩蓋了實際漏過郵件的數量與危害程度。考慮到只需一封郵件就可能引發安全事件,完全有理由認為,多工具所提供的縱深防禦具有切實價值。"
微軟季度基準報告詳解
微軟於 2025 年 7 月發布了這份季度基準報告,同期推出了支持多廠商安全策略的 Defender 集成雲端郵件安全(ICES)生態系統。
此次參與對比評估的安全郵件網關(SEG)廠商包括:Mimecast、Proofpoint、Hornetsecurity、Trend Micro、Iron Port(思科)、Barracuda 和 FireEye(Trellix);ICES 廠商則包括:Abnormal、Checkpoint Harmony、思科、DarkTrace、KnowBe4 Defend、Tessian 和 Trend Micro。
微軟表示,Defender 在預發送檢測方面"持續領先",對高危網路威脅的漏檢率比其他參評 SEG 廠商低 59%,最接近的競爭對手為 Mimecast 和 Proofpoint。微軟還引入了一項新指標:每千名員工的威脅漏檢數。微軟的數據為 194 起/千人,Mimecast 為 478 起,Proofpoint 為 483 起。
在後發送防護方面,Defender 對已送達收件箱的惡意郵件平均清除率達 96.03%,相較於微軟第二份報告開始追蹤該數據時的初始值 45%,已有顯著提升。
微軟 Defender 副總裁兼總經理 Jeff Pinkston 在部落格文章中寫道,這使 Defender 成為"日益關鍵的兜底防線,即便在已部署 ICES 解決方案的環境中同樣有效運作"。他同時表示,與微軟 Defender 協同運行的 ICES 工具"仍能帶來額外價值",可將惡意郵件攔截率提升 0.29%,垃圾郵件攔截率提升 0.68%。
Ioussoufovitch 表示:"如果只看基本數據,微軟的論點確實有說服力——你真的需要為不到 1% 的額外攔截量單獨引入一家 ICES 廠商嗎?"他指出,微軟僅聚焦於原始攔截率,描繪出了一幅"頗具吸引力的圖景",但故事的另一面卻未被提及:"那些 Defender 沒有攔截到的郵件,究竟潛藏著怎樣的威脅?"
電子郵件過濾的真實挑戰
Beauceron Security 的 David Shipley 指出,該報告印證了一個事實:"大量郵件依然能夠繞過過濾器"。
他的公司長期分析數十萬封郵件,他表示,成功突破過濾的內容"從人類專家眼中顯而易見的低級手段,到極具迷惑性的延時攻擊,不一而足"。
Shipley 還指出,過濾效果的高低與白名單設置密切相關:將系統調至"全面嚴格模式"雖能大幅提升攔截率,但也會帶來大量誤報。"凡是經歷過銷售人員因採購訂單 PDF 被誤判為威脅而丟單的人,都深知這種痛苦。"
此外還有一個 AI 難題:Shipley 表示,"使用基於智能體大語言模型進行分析的郵件廠商面臨一項關鍵風險——攻擊者現在可以通過隱藏內容(例如'請忽略這封郵件'之類的提示語)來污染這些模型。"這意味著企業需要採用多元化的分析手段。
Ioussoufovitch 也認同,跟上利用 AI 手段的威脅行為者的步伐是整個行業面臨的共同挑戰,尤其是當 AI 能夠生成質量更高的釣魚郵件時。過濾器正在不斷改進,能夠攔截其中一部分,但仍會有漏網之魚。這類郵件往往具有高度針對性,數量雖少,卻更難被識別。
"目前來看,現有工具似乎確實難以完全跟上威脅演進的步伐,但這並不意味著這些工具毫無必要,"Ioussoufovitch 說,"這只是進一步說明,廣義上的縱深防禦正變得愈發重要。"
如何正確解讀微軟的報告
Shipley 表示,與那些聲稱釣魚郵件攔截率高達 99.99% 的報告相比,這份報告"顯得更為誠實、準確和成熟,因為那種數字從來都不是真的"。這同時也是一步"聰明的營銷棋"——微軟與其他安全工具競爭的是同一塊安全預算,自然希望企業放棄其他廠商,轉而在郵件安全以外的領域向微軟購買更多產品。
不過,他也指出,微軟此舉客觀上為其他廠商做了一次曝光,"Mimecast 排名第二,值得祝賀"。
從長遠來看,首席資訊安全官們需要在有限的安全預算中做出最優選擇。企業需要一個可靠的過濾工具,是否需要兩個則見仁見智。"顯然,他們還需要持續投資於完善的安全意識培訓,"Shipley 說,"因為正如這份報告所示,大量釣魚郵件仍在成功送達。"
Ioussoufovitch 指出,儘管這項研究中的數據頗具參考價值,但呈現方式缺乏足夠的細節與背景,難以直接轉化為可操作的決策依據。
"我們對廠商通過數據包裝來講述有利於自己的故事已經太過熟悉,因此我建議各位領導者不要過度解讀這些數據,不要超越數據本身所能說明的範圍,"他說。
他表示,這篇報告真正傳遞的資訊不是"淘汰現有廠商",而是說明 Defender 具有"相當大的價值"。至於是否值得增減其他廠商,應當結合組織自身的風險承受能力、整體安全預算和環境,逐案討論、具體分析。
"我建議將這些數據更多地視為一個提醒——去評估你自己的環境,並對比實際的檢測結果,"他說,"要基於你自己掌握的數據得出結論,而不是廠商展示給你的數據。"
Q&A
Q1:微軟 Defender for Office 365 的郵件安全性能到底怎麼樣?
A:根據微軟發布的季度基準數據,Defender 在預發送階段的高危威脅漏檢率比其他主流 SEG 廠商低 59%,對已進入收件箱的惡意郵件清除率平均達 96.03%。每千名員工的威脅漏檢數為 194 起,而 Mimecast 為 478 起,Proofpoint 為 483 起。整體來看,Defender 在主要指標上表現突出,但專家提醒,百分比數字可能掩蓋了實際漏過郵件的真實風險。
Q2:企業還需要在 Defender 之外額外部署 ICES 郵件安全工具嗎?
A:微軟數據顯示,集成 ICES 合作夥伴對總體攔截率的提升不足 0.05%,其中惡意郵件攔截率提升 0.29%,垃圾郵件攔截率提升 0.68%。是否值得額外投入,取決於企業自身的風險承受能力和安全預算。專家建議,不應直接採納廠商結論,而應結合自身環境的實際檢測數據進行判斷。
Q3:AI 技術對郵件安全威脅帶來了哪些新挑戰?
A:AI 使釣魚郵件的質量顯著提升,更難被過濾器識別。此外,基於智能體大語言模型的郵件分析系統本身也面臨風險——攻擊者可通過在郵件中嵌入隱藏指令來干擾模型判斷。專家指出,當前工具普遍面臨跟上 AI 驅動威脅演進的壓力,企業需採用多元化分析手段,並持續投資安全意識培訓。
