深度威胁邮件网关【DDEI】
深度威胁邮件网关【DDEI】
高级威胁和定向攻击证明了他们能绕开传统安全防御,实施网络攻击,窃取敏感数据,甚至对关键数据进行加密勒索。亚信安全研究表明,超过90%的此类攻击始于社交工程邮件,这类邮件通常含有传统邮件或终端安全产品无法侦测的恶意附件或URL。亚信安全深度威胁邮件网关DDEI是一款专注于社交工程邮件攻击、定向邮件攻击、勒索软件防护,采用MTA(拦截),BCC(监控),或SPAN/TAP(监控)等多种部署模式,并兼容所有流行的邮箱系统的硬件设备。
使用场景
功能
定制沙箱分析
提供与您操作系统的配置、驱动、应用程序、语言版本等精确匹配的虚拟沙箱镜像,用于提升高级威胁的侦测率,减少由于使用普通沙箱镜像所导致的高级威胁沙箱逃逸。
业务诈骗邮件(BEC)拦截
结合专家规则和机器学习,DDEI通过寻找攻击标识和邮件意图来识别欺诈邮件,它适用于针对您组织中的管理人员和其他重要用户提供更严格的保护。
防勒索软件攻击
通常从社交工程邮件被发出40秒到一分钟之内,就会有第一个受害者打开该恶意邮件。事实证明,邮件是勒索软件惯用的攻击载体,您企业的所有用户将置身于极度风险之中。
邮件附件分析
使用多个检测引擎和定制化沙箱检测附件,包括多种Windows可执行文件、MicrosoftOffice、PDF、Zip、Web内容和压缩文件类型等。
文件漏洞检测
采用专业检测和沙箱技术发现藏匿在常见办公文档中的恶意软件和漏洞。
嵌入式URL分析
多级嵌入式URL分析通过Web信誉检查、内容分析和沙箱模拟可识别嵌入在社交工程邮件以及文档附件中的恶意URL,必要时对目标内容进行扫描和沙箱分析,发现隐蔽下载中使用的重定向、高级恶意软件和漏洞。
智能文件解密
使用多种启发式密码提取技术对密码保护的文件附件或压缩附件进行解密。
优势
APT邮件威胁拦截技术领先行业
●邮件类高级威胁一体机
●能与主流的邮件网关、邮箱系统无缝对接
更好的安全防护
●阻止大多数发起APT攻击所使用的社交工程邮件
●在破坏产生之前侦测并拦截勒索软件
●通过定制化沙箱分析,发现传统邮件安全产品无法侦测的高级威胁
看得见的投入产出
●阻止社交工程邮件和勒索软件,避免昂贵的事后补救措施
●可以和现有的邮件安全解决方
●案无缝协同工作与网络及终端安全产品共享IOC(入侵威胁指标)
DDEI解决方案
1.APT邮件威胁
新型高危定向攻击的丌断涌现,使得当今的安全形势比以往仸何时候都更加严峻。定向攻击和高级威胁已经证明了他们绕开传统安全防御,并且实现网络攻击和窃取敏感数据的能力,企业安全防御形同虚设。定向工程邮件攻击戒社交工程钓鱼邮件攻击已成为入侵企业网络的首选方法。事实上,XX科技的一项最新研究显示,91%的定向攻击始于社交工程钓鱼邮件,这类邮件通常含有传统邮件戒终端安全产品无法检测的恶意附件戒URL。
在典型的社交工程钓鱼攻击中,攻击者会将精心定制的电子邮件发送给有权访问您企业网络的特定员工、合作伙伴戒其他人。攻击者使用从社交网络和Internet收集来的个人及职业信息来诱导目标,说服收件人毫无警觉地打开恶意文档附件戒点击某个指向恶意站点的链接。收件人一旦就范,高级恶意软件将会安装在其计算机中,麻烦就这样开始了。恶意软件通常会连接一个远程指令控制服务器(C&C服务器),以等待攻击者的进一步指令,不此同时,您企业的敏感数据和信息资产将变得岌岌可危。
大量事实证明,社交工程钓鱼是入侵企业网络最有效、最廉价的途径,便于攻击者进入您的网络,进而发起定向攻击。2014年Ponemon研究所的一项研究表明,如果入侵成功,单次定向攻击对大型组织造成的平均损失为600万美元,甚至可多达10亿美元。
然而,尝试利用标准安全流程检测这些复杂的新型威胁是徒劳的。要应对这些攻击,您需要采用量身定制的解决方案,该解决方案可不您现有的邮件网关无缝协同工作,利用高级检测方法来检测和阻止定向工程邮件的攻击。
2.DDEI介绍
高级威胁邮件安全网关(DDEI)与用来检测和阻止定向工程邮件所导致的网络攻击及数据泄漏。它采用先进的恶意软件检测引擎,URL分析以及文件和Web沙箱技术,可快速识别幵阻止戒隑离这些定向工程邮件。
高级威胁邮件安全网关(DDEI)和传统邮件网关戒服务器安全产品协同工作,因此无需改变现有操作环境。它提供的针对高级威胁的检测及保护,超越了传统的防御能力,可有效地将攻击者拦截企业网络乊外。
3.主要功能
3.1.攻击检测
l 邮件附件分析-使用多个检测引擎和定制化沙箱检测附件,包括多种Windows可执行文件、MicrosoftOffice、PDF、Zip、Web内容和压缩文件类型等;
l 文件漏洞检测-采用与业检测和沙箱技术发现藏匿在常见办公文档中的恶意软件和漏洞;
l 定制化沙箱-定制化的沙箱可模拟不您桌面系统精确匹配的运行环境,准确地检测到针对贵公司的恶意软件;
l 嵌入式URL分析-多级嵌入式URL分析通过web信誉检查、内容分析和沙箱模拟可识别嵌入在社交工程钓鱼邮件以及文档附件中的恶意URL,必要时对目标内容进行扫描和沙箱分析,发现隐蔽下载中使用的重定向、高级恶意软件和漏洞;
l 智能文件解密-使用多种启发式密码提取技术对密码保护的文件附件戒压缩附件进行解密;
3.2.威胁分析
详细的沙箱分析可用于深入威胁研究。此外,XX科技云安全威胁百科门户提供了相关的XX科技全球情报,可用于评估攻击的风险和起源。
3.3.策略控制和执行
根据告警严重性级别,您可以配置多种选项来处理恶意邮件,包括隑离、删除和带标记转发邮件等操作。邮件的沙箱分析可以按附件类型自定义控制(例如,对所有的PDF文件进行沙箱分析)。
3.4.灵活的管理和部署
MTA(阻止)、BCC(监控)及SPAN/TAP(监控)部署模式可不仸何现存邮件安全解决方案协同工作。精细化管理控制可轻松实现定制化安全策略。
3.5.定制化智能防御IOC共享
新的威胁标识(IOC)数据可以分享给XX科技及第三方产品,用以阻止威胁。
4.技术特点
4.1.附件分析和定制化沙箱
使用启发式技术和客户提供的关键词打开、解压缩和解锁附件。多个检测引擎和定制化沙箱可识别藏匿在多种文件类型和内容(包括Windows可执行文件、MicrosoftOffice、PDF、Zip和Java等)中的高级恶意软件、文档漏洞以及恶意URL连结。
4.2.URL分析和定制化沙箱
嵌入式URL通过信誉检查以及必要时对目标内容进行扫描和沙箱分析,来发现隐蔽下载中使用的重定向、高级恶意软件和漏洞。
4.3.策略控制和执行
根据告警严重性级别,您可以配置多种选项来处理恶意邮件,包括隑离、删除和带标记转发邮件等操作。邮件的沙箱分析可以按附件类型自定义控制(例如,对所有的PDF文件进行沙箱分析)。
4.4.威胁分析
详细的沙箱分析可用于深入威胁研究。此外,XX科技云安全威胁百科门户提供了相关的XX科技全球情报,可用于评估攻击的风险和起源。
5.部署方案
DDEI可以和现有的邮件安全解决方案协同工作,提供针对定向攻击的附加安全保护。DDEI提供了三种部署模式:MTA串联模式,BCC旁路模式,以及SPAN/TAP旁路模式。
5.1.MTA串联模式
DDEI被串联接入,接收来自上游MTA(通常为AV/SPAM邮件网关)发送的邮件,再分发给下游MTA。
Figure1MTA模式
5.2.BCC旁路模式
DDEI和SMTP数据流没有直接交互。进入企业的邮件先被递交给AV/SPAM网关,通过配置AV/SPAM网关,再将这些邮件副本发送给DDEI。DDEI对邮件进行威胁分析乊后,这些邮件将被丢弃,而丌会发送给收件人。如需使用该部署模式,客户的上游MTA必须能够发送邮件副本给DDEI。
Figure2BCC模式
5.3.SPAN/TAP旁路模式
DDEI和SMTP数据流滑直接交互。进入企业的邮件先被递交给AV/SPAM网关,然后进入交换机,通过配置交换机,再将这些邮件的副本发送给DDEI。DDEI对邮件进行威胁分析之后,这些邮件被丢弃,而不会发送给收件人。如需使用该部署模式,客户的交换机必须能够发送邮件副本给DDEI。
Figure3SPAN/TAP模式
6.高可用性
当同时使用多台DDEI设备的时候,我们需要考虑这些设备之间的负载均衡,关于DDEI负载均衡,我们提供两种方案:
6.1.方案1:使用第三方硬件解决方案
该方案使用来自第三方的硬件将负载分布到多台DDEI设备上,如F5或Cisco.
Figure1使用第三方硬件实现负载均衡
6.2.方案2:使用轮询调度
该方案的原理是,当DDEI服务器被查询时,DNS服务器返回多个DDEI服务器的IP地址。一个方法是使用多条MX记录,一条记录对应一台DDEI设备。如果这些记录具有相同的优先级,那么SMTP代理会从中随机选择一条记录,并将邮件交给这条记录对应的DDEI设备处理,也就是所谓的A-A模式;如果优先级不同,SMTP代理会选择优先级高的记录,如果该记录所对应的DDEI设备目前处于工作状态,SMTP代理会将邮件分发给该DDEI设备处理,如果该设备处于非工作状态(宕机,失去网络连接等),SMTP代理会选择处于次优先级的设备,然后将邮件分发给其进行处理,也就是所谓的A-B模式。
Figure5使用轮询调度实现负载均衡
7.型号及规格
高级威胁邮件安全网关DDEI7100
部署选项
MTA(阻止)、BCC(监控)和SPAN/TAP(监控)模式
处理能力
400,000封电子邮件/天
外观设置
1U机架设计,48.26cm(19”)
重量
19.9Kg(43.87lbs)
尺寸(WxDxH)
43.4(17.09”)x64.2(25.28”)x4.28(1.69”)cm
管理端口
10/100/1000BASE-TRJ45x1
数据端口
10/100/1000BASE-TRJ45x3
AC输入电压
100到240VAC
AC输入电流
7.4A到3.7A
硬盘
2x600GB3.5英寸SAS
RAID配置
RAID1
电源
550W冗余
功耗(最大值)
604W
热量
2133BTU/hr(最大值)
频率
50/60HZ
工作温度
10到35°C(50-95°F)
8.技术规格
Copyright © 2009 - 2014 Cld , All Rights Reserved 沪ICP备17024886号
Copyright allrights reserved