• 云服務(wù)

  SOLUTION CENTER
• IDC方案設(shè)計(jì)
• 云服務(wù)
• 智能化弱電系統(tǒng)集成
• IT外包服務(wù)

深度威脅郵件網(wǎng)關(guān)【DDEI】

深度威脅郵件網(wǎng)關(guān)【DDEI】

高級威脅和定向攻擊證明了他們能繞開傳統(tǒng)安全防御，實(shí)施網(wǎng)絡(luò)攻擊，竊取敏感數(shù)據(jù)，甚至對關(guān)鍵數(shù)據(jù)進(jìn)行加密勒索。亞信安全研究表明，超過90%的此類攻擊始于社交工程郵件，這類郵件通常含有傳統(tǒng)郵件或終端安全產(chǎn)品無法偵測的惡意附件或URL。亞信安全深度威脅郵件網(wǎng)關(guān)DDEI是一款專注于社交工程郵件攻擊、定向郵件攻擊、勒索軟件防護(hù)，采用MTA(攔截)，BCC(監(jiān)控)，或SPAN/TAP(監(jiān)控)等多種部署模式，并兼容所有流行的郵箱系統(tǒng)的硬件設(shè)備。

使用場景

功能

定制沙箱分析

提供與您操作系統(tǒng)的配置、驅(qū)動(dòng)、應(yīng)用程序、語言版本等精確匹配的虛擬沙箱鏡像，用于提升高級威脅的偵測率，減少由于使用普通沙箱鏡像所導(dǎo)致的高級威脅沙箱逃逸。

業(yè)務(wù)詐騙郵件(BEC)攔截

結(jié)合專家規(guī)則和機(jī)器學(xué)習(xí)，DDEI通過尋找攻擊標(biāo)識(shí)和郵件意圖來識(shí)別欺詐郵件，它適用于針對您組織中的管理人員和其他重要用戶提供更嚴(yán)格的保護(hù)。

防勒索軟件攻擊

通常從社交工程郵件被發(fā)出40秒到一分鐘之內(nèi)，就會(huì)有第一個(gè)受害者打開該惡意郵件。事實(shí)證明，郵件是勒索軟件慣用的攻擊載體，您企業(yè)的所有用戶將置身于極度風(fēng)險(xiǎn)之中。

郵件附件分析

使用多個(gè)檢測引擎和定制化沙箱檢測附件，包括多種Windows可執(zhí)行文件、MicrosoftOffice、PDF、Zip、Web內(nèi)容和壓縮文件類型等。

文件漏洞檢測

采用專業(yè)檢測和沙箱技術(shù)發(fā)現(xiàn)藏匿在常見辦公文檔中的惡意軟件和漏洞。

嵌入式URL分析

多級嵌入式URL分析通過Web信譽(yù)檢查、內(nèi)容分析和沙箱模擬可識(shí)別嵌入在社交工程郵件以及文檔附件中的惡意URL，必要時(shí)對目標(biāo)內(nèi)容進(jìn)行掃描和沙箱分析，發(fā)現(xiàn)隱蔽下載中使用的重定向、高級惡意軟件和漏洞。

智能文件解密

使用多種啟發(fā)式密碼提取技術(shù)對密碼保護(hù)的文件附件或壓縮附件進(jìn)行解密。

優(yōu)勢

APT郵件威脅攔截技術(shù)領(lǐng)先行業(yè)

●郵件類高級威脅一體機(jī)

●能與主流的郵件網(wǎng)關(guān)、郵箱系統(tǒng)無縫對接

更好的安全防護(hù)

●阻止大多數(shù)發(fā)起APT攻擊所使用的社交工程郵件

●在破壞產(chǎn)生之前偵測并攔截勒索軟件

●通過定制化沙箱分析，發(fā)現(xiàn)傳統(tǒng)郵件安全產(chǎn)品無法偵測的高級威脅

看得見的投入產(chǎn)出

●阻止社交工程郵件和勒索軟件，避免昂貴的事后補(bǔ)救措施

●可以和現(xiàn)有的郵件安全解決方

●案無縫協(xié)同工作與網(wǎng)絡(luò)及終端安全產(chǎn)品共享IOC(入侵威脅指標(biāo))

DDEI解決方案

1.APT郵件威脅

新型高危定向攻擊的丌斷涌現(xiàn)，使得當(dāng)今的安全形勢比以往仸何時(shí)候都更加嚴(yán)峻。定向攻擊和高級威脅已經(jīng)證明了他們繞開傳統(tǒng)安全防御，并且實(shí)現(xiàn)網(wǎng)絡(luò)攻擊和竊取敏感數(shù)據(jù)的能力，企業(yè)安全防御形同虛設(shè)。定向工程郵件攻擊戒社交工程釣魚郵件攻擊已成為入侵企業(yè)網(wǎng)絡(luò)的首選方法。事實(shí)上，XX科技的一項(xiàng)最新研究顯示，91%的定向攻擊始于社交工程釣魚郵件，這類郵件通常含有傳統(tǒng)郵件戒終端安全產(chǎn)品無法檢測的惡意附件戒URL。

在典型的社交工程釣魚攻擊中，攻擊者會(huì)將精心定制的電子郵件發(fā)送給有權(quán)訪問您企業(yè)網(wǎng)絡(luò)的特定員工、合作伙伴戒其他人。攻擊者使用從社交網(wǎng)絡(luò)和Internet收集來的個(gè)人及職業(yè)信息來誘導(dǎo)目標(biāo)，說服收件人毫無警覺地打開惡意文檔附件戒點(diǎn)擊某個(gè)指向惡意站點(diǎn)的鏈接。收件人一旦就范，高級惡意軟件將會(huì)安裝在其計(jì)算機(jī)中，麻煩就這樣開始了。惡意軟件通常會(huì)連接一個(gè)遠(yuǎn)程指令控制服務(wù)器(C&C服務(wù)器)，以等待攻擊者的進(jìn)一步指令，不此同時(shí)，您企業(yè)的敏感數(shù)據(jù)和信息資產(chǎn)將變得岌岌可危。

大量事實(shí)證明，社交工程釣魚是入侵企業(yè)網(wǎng)絡(luò)最有效、最廉價(jià)的途徑，便于攻擊者進(jìn)入您的網(wǎng)絡(luò)，進(jìn)而發(fā)起定向攻擊。2014年Ponemon研究所的一項(xiàng)研究表明，如果入侵成功，單次定向攻擊對大型組織造成的平均損失為600萬美元，甚至可多達(dá)10億美元。

然而，嘗試?yán)脴?biāo)準(zhǔn)安全流程檢測這些復(fù)雜的新型威脅是徒勞的。要應(yīng)對這些攻擊，您需要采用量身定制的解決方案，該解決方案可不您現(xiàn)有的郵件網(wǎng)關(guān)無縫協(xié)同工作，利用高級檢測方法來檢測和阻止定向工程郵件的攻擊。

2.DDEI介紹

高級威脅郵件安全網(wǎng)關(guān)（DDEI）與用來檢測和阻止定向工程郵件所導(dǎo)致的網(wǎng)絡(luò)攻擊及數(shù)據(jù)泄漏。它采用先進(jìn)的惡意軟件檢測引擎，URL分析以及文件和Web沙箱技術(shù)，可快速識(shí)別幵阻止戒隑離這些定向工程郵件。

高級威脅郵件安全網(wǎng)關(guān)（DDEI）和傳統(tǒng)郵件網(wǎng)關(guān)戒服務(wù)器安全產(chǎn)品協(xié)同工作，因此無需改變現(xiàn)有操作環(huán)境。它提供的針對高級威脅的檢測及保護(hù)，超越了傳統(tǒng)的防御能力，可有效地將攻擊者攔截企業(yè)網(wǎng)絡(luò)乊外。

3.主要功能

3.1.攻擊檢測

l  郵件附件分析-使用多個(gè)檢測引擎和定制化沙箱檢測附件，包括多種Windows可執(zhí)行文件、MicrosoftOffice、PDF、Zip、Web內(nèi)容和壓縮文件類型等；

l  文件漏洞檢測-采用與業(yè)檢測和沙箱技術(shù)發(fā)現(xiàn)藏匿在常見辦公文檔中的惡意軟件和漏洞；

l  定制化沙箱-定制化的沙箱可模擬不您桌面系統(tǒng)精確匹配的運(yùn)行環(huán)境，準(zhǔn)確地檢測到針對貴公司的惡意軟件；

l  嵌入式URL分析-多級嵌入式URL分析通過web信譽(yù)檢查、內(nèi)容分析和沙箱模擬可識(shí)別嵌入在社交工程釣魚郵件以及文檔附件中的惡意URL，必要時(shí)對目標(biāo)內(nèi)容進(jìn)行掃描和沙箱分析，發(fā)現(xiàn)隱蔽下載中使用的重定向、高級惡意軟件和漏洞；

l  智能文件解密-使用多種啟發(fā)式密碼提取技術(shù)對密碼保護(hù)的文件附件戒壓縮附件進(jìn)行解密；

3.2.威脅分析

詳細(xì)的沙箱分析可用于深入威脅研究。此外，XX科技云安全威脅百科門戶提供了相關(guān)的XX科技全球情報(bào)，可用于評估攻擊的風(fēng)險(xiǎn)和起源。

3.3.策略控制和執(zhí)行

根據(jù)告警嚴(yán)重性級別，您可以配置多種選項(xiàng)來處理惡意郵件，包括隑離、刪除和帶標(biāo)記轉(zhuǎn)發(fā)郵件等操作。郵件的沙箱分析可以按附件類型自定義控制（例如，對所有的PDF文件進(jìn)行沙箱分析）。

3.4.靈活的管理和部署

MTA（阻止）、BCC（監(jiān)控）及SPAN/TAP（監(jiān)控）部署模式可不仸何現(xiàn)存郵件安全解決方案協(xié)同工作。精細(xì)化管理控制可輕松實(shí)現(xiàn)定制化安全策略。

3.5.定制化智能防御IOC共享

新的威脅標(biāo)識(shí)（IOC）數(shù)據(jù)可以分享給XX科技及第三方產(chǎn)品，用以阻止威脅。

4.技術(shù)特點(diǎn)

4.1.附件分析和定制化沙箱

使用啟發(fā)式技術(shù)和客戶提供的關(guān)鍵詞打開、解壓縮和解鎖附件。多個(gè)檢測引擎和定制化沙箱可識(shí)別藏匿在多種文件類型和內(nèi)容（包括Windows可執(zhí)行文件、MicrosoftOffice、PDF、Zip和Java等）中的高級惡意軟件、文檔漏洞以及惡意URL連結(jié)。

4.2.URL分析和定制化沙箱

嵌入式URL通過信譽(yù)檢查以及必要時(shí)對目標(biāo)內(nèi)容進(jìn)行掃描和沙箱分析，來發(fā)現(xiàn)隱蔽下載中使用的重定向、高級惡意軟件和漏洞。

4.3.策略控制和執(zhí)行

根據(jù)告警嚴(yán)重性級別，您可以配置多種選項(xiàng)來處理惡意郵件，包括隑離、刪除和帶標(biāo)記轉(zhuǎn)發(fā)郵件等操作。郵件的沙箱分析可以按附件類型自定義控制（例如，對所有的PDF文件進(jìn)行沙箱分析）。

4.4.威脅分析

詳細(xì)的沙箱分析可用于深入威脅研究。此外，XX科技云安全威脅百科門戶提供了相關(guān)的XX科技全球情報(bào)，可用于評估攻擊的風(fēng)險(xiǎn)和起源。

5.部署方案

DDEI可以和現(xiàn)有的郵件安全解決方案協(xié)同工作，提供針對定向攻擊的附加安全保護(hù)。DDEI提供了三種部署模式：MTA串聯(lián)模式，BCC旁路模式，以及SPAN/TAP旁路模式。

5.1.MTA串聯(lián)模式

DDEI被串聯(lián)接入，接收來自上游MTA（通常為AV/SPAM郵件網(wǎng)關(guān)）發(fā)送的郵件，再分發(fā)給下游MTA。

Figure1MTA模式

5.2.BCC旁路模式

DDEI和SMTP數(shù)據(jù)流沒有直接交互。進(jìn)入企業(yè)的郵件先被遞交給AV/SPAM網(wǎng)關(guān)，通過配置AV/SPAM網(wǎng)關(guān)，再將這些郵件副本發(fā)送給DDEI。DDEI對郵件進(jìn)行威脅分析乊后，這些郵件將被丟棄，而丌會(huì)發(fā)送給收件人。如需使用該部署模式，客戶的上游MTA必須能夠發(fā)送郵件副本給DDEI。

Figure2BCC模式

5.3.SPAN/TAP旁路模式

DDEI和SMTP數(shù)據(jù)流滑直接交互。進(jìn)入企業(yè)的郵件先被遞交給AV/SPAM網(wǎng)關(guān)，然后進(jìn)入交換機(jī)，通過配置交換機(jī)，再將這些郵件的副本發(fā)送給DDEI。DDEI對郵件進(jìn)行威脅分析之后，這些郵件被丟棄，而不會(huì)發(fā)送給收件人。如需使用該部署模式，客戶的交換機(jī)必須能夠發(fā)送郵件副本給DDEI。

Figure3SPAN/TAP模式

6.高可用性

當(dāng)同時(shí)使用多臺(tái)DDEI設(shè)備的時(shí)候，我們需要考慮這些設(shè)備之間的負(fù)載均衡，關(guān)于DDEI負(fù)載均衡，我們提供兩種方案：

6.1.方案1：使用第三方硬件解決方案

該方案使用來自第三方的硬件將負(fù)載分布到多臺(tái)DDEI設(shè)備上，如F5或Cisco.

Figure1使用第三方硬件實(shí)現(xiàn)負(fù)載均衡

6.2.方案2：使用輪詢調(diào)度

該方案的原理是，當(dāng)DDEI服務(wù)器被查詢時(shí)，DNS服務(wù)器返回多個(gè)DDEI服務(wù)器的IP地址。一個(gè)方法是使用多條MX記錄，一條記錄對應(yīng)一臺(tái)DDEI設(shè)備。如果這些記錄具有相同的優(yōu)先級，那么SMTP代理會(huì)從中隨機(jī)選擇一條記錄，并將郵件交給這條記錄對應(yīng)的DDEI設(shè)備處理，也就是所謂的A-A模式；如果優(yōu)先級不同，SMTP代理會(huì)選擇優(yōu)先級高的記錄，如果該記錄所對應(yīng)的DDEI設(shè)備目前處于工作狀態(tài)，SMTP代理會(huì)將郵件分發(fā)給該DDEI設(shè)備處理，如果該設(shè)備處于非工作狀態(tài)（宕機(jī)，失去網(wǎng)絡(luò)連接等），SMTP代理會(huì)選擇處于次優(yōu)先級的設(shè)備，然后將郵件分發(fā)給其進(jìn)行處理，也就是所謂的A-B模式。

Figure5使用輪詢調(diào)度實(shí)現(xiàn)負(fù)載均衡

7.型號(hào)及規(guī)格

高級威脅郵件安全網(wǎng)關(guān)DDEI7100
部署選項(xiàng)	MTA（阻止）、BCC（監(jiān)控）和SPAN/TAP（監(jiān)控）模式
處理能力	400,000封電子郵件/天
外觀設(shè)置	1U機(jī)架設(shè)計(jì)，48.26cm(19”)
重量	19.9Kg(43.87lbs)
尺寸(WxDxH)	43.4(17.09”)x64.2(25.28”)x4.28(1.69”)cm
管理端口	10/100/1000BASE-TRJ45x1
數(shù)據(jù)端口	10/100/1000BASE-TRJ45x3
AC輸入電壓	100到240VAC
AC輸入電流	7.4A到3.7A
硬盤	2x600GB3.5英寸SAS
RAID配置	RAID1
電源	550W冗余
功耗（最大值）	604W
熱量	2133BTU/hr（最大值）
頻率	50/60HZ
工作溫度	10到35°C(50-95°F)

8.技術(shù)規(guī)格