• 解決方案

  SOLUTION CENTER
• IDC方案設(shè)計
• 云服務(wù)
• 智能化弱電系統(tǒng)集成
• IT外包服務(wù)

深度威脅郵件網(wǎng)關(guān)【DDEI】

深度威脅郵件網(wǎng)關(guān)【DDEI】

高級威脅和定向攻擊證明了他們能繞開傳統(tǒng)安全防御，實施網(wǎng)絡(luò)攻擊，竊取敏感數(shù)據(jù)，甚至對關(guān)鍵數(shù)據(jù)進行加密勒索。亞信安全研究表明，超過90%的此類攻擊始于社交工程郵件，這類郵件通常含有傳統(tǒng)郵件或終端安全產(chǎn)品無法偵測的惡意附件或URL。亞信安全深度威脅郵件網(wǎng)關(guān)DDEI是一款專注于社交工程郵件攻擊、定向郵件攻擊、勒索軟件防護，采用MTA(攔截)，BCC(監(jiān)控)，或SPAN/TAP(監(jiān)控)等多種部署模式，并兼容所有流行的郵箱系統(tǒng)的硬件設(shè)備。

使用場景

功能

定制沙箱分析

提供與您操作系統(tǒng)的配置、驅(qū)動、應(yīng)用程序、語言版本等精確匹配的虛擬沙箱鏡像，用于提升高級威脅的偵測率，減少由于使用普通沙箱鏡像所導致的高級威脅沙箱逃逸。

業(yè)務(wù)詐騙郵件(BEC)攔截

結(jié)合專家規(guī)則和機器學習，DDEI通過尋找攻擊標識和郵件意圖來識別欺詐郵件，它適用于針對您組織中的管理人員和其他重要用戶提供更嚴格的保護。

防勒索軟件攻擊

通常從社交工程郵件被發(fā)出40秒到一分鐘之內(nèi)，就會有第一個受害者打開該惡意郵件。事實證明，郵件是勒索軟件慣用的攻擊載體，您企業(yè)的所有用戶將置身于極度風險之中。

郵件附件分析

使用多個檢測引擎和定制化沙箱檢測附件，包括多種Windows可執(zhí)行文件、MicrosoftOffice、PDF、Zip、Web內(nèi)容和壓縮文件類型等。

文件漏洞檢測

采用專業(yè)檢測和沙箱技術(shù)發(fā)現(xiàn)藏匿在常見辦公文檔中的惡意軟件和漏洞。

嵌入式URL分析

多級嵌入式URL分析通過Web信譽檢查、內(nèi)容分析和沙箱模擬可識別嵌入在社交工程郵件以及文檔附件中的惡意URL，必要時對目標內(nèi)容進行掃描和沙箱分析，發(fā)現(xiàn)隱蔽下載中使用的重定向、高級惡意軟件和漏洞。

智能文件解密

使用多種啟發(fā)式密碼提取技術(shù)對密碼保護的文件附件或壓縮附件進行解密。

優(yōu)勢

APT郵件威脅攔截技術(shù)領(lǐng)先行業(yè)

●郵件類高級威脅一體機

●能與主流的郵件網(wǎng)關(guān)、郵箱系統(tǒng)無縫對接

更好的安全防護

●阻止大多數(shù)發(fā)起APT攻擊所使用的社交工程郵件

●在破壞產(chǎn)生之前偵測并攔截勒索軟件

●通過定制化沙箱分析，發(fā)現(xiàn)傳統(tǒng)郵件安全產(chǎn)品無法偵測的高級威脅

看得見的投入產(chǎn)出

●阻止社交工程郵件和勒索軟件，避免昂貴的事后補救措施

●可以和現(xiàn)有的郵件安全解決方

●案無縫協(xié)同工作與網(wǎng)絡(luò)及終端安全產(chǎn)品共享IOC(入侵威脅指標)

DDEI解決方案

1.APT郵件威脅

新型高危定向攻擊的丌斷涌現(xiàn)，使得當今的安全形勢比以往仸何時候都更加嚴峻。定向攻擊和高級威脅已經(jīng)證明了他們繞開傳統(tǒng)安全防御，并且實現(xiàn)網(wǎng)絡(luò)攻擊和竊取敏感數(shù)據(jù)的能力，企業(yè)安全防御形同虛設(shè)。定向工程郵件攻擊戒社交工程釣魚郵件攻擊已成為入侵企業(yè)網(wǎng)絡(luò)的首選方法。事實上，XX科技的一項最新研究顯示，91%的定向攻擊始于社交工程釣魚郵件，這類郵件通常含有傳統(tǒng)郵件戒終端安全產(chǎn)品無法檢測的惡意附件戒URL。

在典型的社交工程釣魚攻擊中，攻擊者會將精心定制的電子郵件發(fā)送給有權(quán)訪問您企業(yè)網(wǎng)絡(luò)的特定員工、合作伙伴戒其他人。攻擊者使用從社交網(wǎng)絡(luò)和Internet收集來的個人及職業(yè)信息來誘導目標，說服收件人毫無警覺地打開惡意文檔附件戒點擊某個指向惡意站點的鏈接。收件人一旦就范，高級惡意軟件將會安裝在其計算機中，麻煩就這樣開始了。惡意軟件通常會連接一個遠程指令控制服務(wù)器(C&C服務(wù)器)，以等待攻擊者的進一步指令，不此同時，您企業(yè)的敏感數(shù)據(jù)和信息資產(chǎn)將變得岌岌可危。

大量事實證明，社交工程釣魚是入侵企業(yè)網(wǎng)絡(luò)最有效、最廉價的途徑，便于攻擊者進入您的網(wǎng)絡(luò)，進而發(fā)起定向攻擊。2014年Ponemon研究所的一項研究表明，如果入侵成功，單次定向攻擊對大型組織造成的平均損失為600萬美元，甚至可多達10億美元。

然而，嘗試利用標準安全流程檢測這些復雜的新型威脅是徒勞的。要應(yīng)對這些攻擊，您需要采用量身定制的解決方案，該解決方案可不您現(xiàn)有的郵件網(wǎng)關(guān)無縫協(xié)同工作，利用高級檢測方法來檢測和阻止定向工程郵件的攻擊。

2.DDEI介紹

高級威脅郵件安全網(wǎng)關(guān)（DDEI）與用來檢測和阻止定向工程郵件所導致的網(wǎng)絡(luò)攻擊及數(shù)據(jù)泄漏。它采用先進的惡意軟件檢測引擎，URL分析以及文件和Web沙箱技術(shù)，可快速識別幵阻止戒隑離這些定向工程郵件。

高級威脅郵件安全網(wǎng)關(guān)（DDEI）和傳統(tǒng)郵件網(wǎng)關(guān)戒服務(wù)器安全產(chǎn)品協(xié)同工作，因此無需改變現(xiàn)有操作環(huán)境。它提供的針對高級威脅的檢測及保護，超越了傳統(tǒng)的防御能力，可有效地將攻擊者攔截企業(yè)網(wǎng)絡(luò)乊外。

3.主要功能

3.1.攻擊檢測

l  郵件附件分析-使用多個檢測引擎和定制化沙箱檢測附件，包括多種Windows可執(zhí)行文件、MicrosoftOffice、PDF、Zip、Web內(nèi)容和壓縮文件類型等；

l  文件漏洞檢測-采用與業(yè)檢測和沙箱技術(shù)發(fā)現(xiàn)藏匿在常見辦公文檔中的惡意軟件和漏洞；

l  定制化沙箱-定制化的沙箱可模擬不您桌面系統(tǒng)精確匹配的運行環(huán)境，準確地檢測到針對貴公司的惡意軟件；

l  嵌入式URL分析-多級嵌入式URL分析通過web信譽檢查、內(nèi)容分析和沙箱模擬可識別嵌入在社交工程釣魚郵件以及文檔附件中的惡意URL，必要時對目標內(nèi)容進行掃描和沙箱分析，發(fā)現(xiàn)隱蔽下載中使用的重定向、高級惡意軟件和漏洞；

l  智能文件解密-使用多種啟發(fā)式密碼提取技術(shù)對密碼保護的文件附件戒壓縮附件進行解密；

3.2.威脅分析

詳細的沙箱分析可用于深入威脅研究。此外，XX科技云安全威脅百科門戶提供了相關(guān)的XX科技全球情報，可用于評估攻擊的風險和起源。

3.3.策略控制和執(zhí)行

根據(jù)告警嚴重性級別，您可以配置多種選項來處理惡意郵件，包括隑離、刪除和帶標記轉(zhuǎn)發(fā)郵件等操作。郵件的沙箱分析可以按附件類型自定義控制（例如，對所有的PDF文件進行沙箱分析）。

3.4.靈活的管理和部署

MTA（阻止）、BCC（監(jiān)控）及SPAN/TAP（監(jiān)控）部署模式可不仸何現(xiàn)存郵件安全解決方案協(xié)同工作。精細化管理控制可輕松實現(xiàn)定制化安全策略。

3.5.定制化智能防御IOC共享

新的威脅標識（IOC）數(shù)據(jù)可以分享給XX科技及第三方產(chǎn)品，用以阻止威脅。

4.技術(shù)特點

4.1.附件分析和定制化沙箱

使用啟發(fā)式技術(shù)和客戶提供的關(guān)鍵詞打開、解壓縮和解鎖附件。多個檢測引擎和定制化沙箱可識別藏匿在多種文件類型和內(nèi)容（包括Windows可執(zhí)行文件、MicrosoftOffice、PDF、Zip和Java等）中的高級惡意軟件、文檔漏洞以及惡意URL連結(jié)。

4.2.URL分析和定制化沙箱

嵌入式URL通過信譽檢查以及必要時對目標內(nèi)容進行掃描和沙箱分析，來發(fā)現(xiàn)隱蔽下載中使用的重定向、高級惡意軟件和漏洞。

4.3.策略控制和執(zhí)行

根據(jù)告警嚴重性級別，您可以配置多種選項來處理惡意郵件，包括隑離、刪除和帶標記轉(zhuǎn)發(fā)郵件等操作。郵件的沙箱分析可以按附件類型自定義控制（例如，對所有的PDF文件進行沙箱分析）。

4.4.威脅分析

詳細的沙箱分析可用于深入威脅研究。此外，XX科技云安全威脅百科門戶提供了相關(guān)的XX科技全球情報，可用于評估攻擊的風險和起源。

5.部署方案

DDEI可以和現(xiàn)有的郵件安全解決方案協(xié)同工作，提供針對定向攻擊的附加安全保護。DDEI提供了三種部署模式：MTA串聯(lián)模式，BCC旁路模式，以及SPAN/TAP旁路模式。

5.1.MTA串聯(lián)模式

DDEI被串聯(lián)接入，接收來自上游MTA（通常為AV/SPAM郵件網(wǎng)關(guān)）發(fā)送的郵件，再分發(fā)給下游MTA。

Figure1MTA模式

5.2.BCC旁路模式

DDEI和SMTP數(shù)據(jù)流沒有直接交互。進入企業(yè)的郵件先被遞交給AV/SPAM網(wǎng)關(guān)，通過配置AV/SPAM網(wǎng)關(guān)，再將這些郵件副本發(fā)送給DDEI。DDEI對郵件進行威脅分析乊后，這些郵件將被丟棄，而丌會發(fā)送給收件人。如需使用該部署模式，客戶的上游MTA必須能夠發(fā)送郵件副本給DDEI。

Figure2BCC模式

5.3.SPAN/TAP旁路模式

DDEI和SMTP數(shù)據(jù)流滑直接交互。進入企業(yè)的郵件先被遞交給AV/SPAM網(wǎng)關(guān)，然后進入交換機，通過配置交換機，再將這些郵件的副本發(fā)送給DDEI。DDEI對郵件進行威脅分析之后，這些郵件被丟棄，而不會發(fā)送給收件人。如需使用該部署模式，客戶的交換機必須能夠發(fā)送郵件副本給DDEI。

Figure3SPAN/TAP模式

6.高可用性

當同時使用多臺DDEI設(shè)備的時候，我們需要考慮這些設(shè)備之間的負載均衡，關(guān)于DDEI負載均衡，我們提供兩種方案：

6.1.方案1：使用第三方硬件解決方案

該方案使用來自第三方的硬件將負載分布到多臺DDEI設(shè)備上，如F5或Cisco.

Figure1使用第三方硬件實現(xiàn)負載均衡

6.2.方案2：使用輪詢調(diào)度

該方案的原理是，當DDEI服務(wù)器被查詢時，DNS服務(wù)器返回多個DDEI服務(wù)器的IP地址。一個方法是使用多條MX記錄，一條記錄對應(yīng)一臺DDEI設(shè)備。如果這些記錄具有相同的優(yōu)先級，那么SMTP代理會從中隨機選擇一條記錄，并將郵件交給這條記錄對應(yīng)的DDEI設(shè)備處理，也就是所謂的A-A模式；如果優(yōu)先級不同，SMTP代理會選擇優(yōu)先級高的記錄，如果該記錄所對應(yīng)的DDEI設(shè)備目前處于工作狀態(tài)，SMTP代理會將郵件分發(fā)給該DDEI設(shè)備處理，如果該設(shè)備處于非工作狀態(tài)（宕機，失去網(wǎng)絡(luò)連接等），SMTP代理會選擇處于次優(yōu)先級的設(shè)備，然后將郵件分發(fā)給其進行處理，也就是所謂的A-B模式。

Figure5使用輪詢調(diào)度實現(xiàn)負載均衡

7.型號及規(guī)格

高級威脅郵件安全網(wǎng)關(guān)DDEI7100
部署選項	MTA（阻止）、BCC（監(jiān)控）和SPAN/TAP（監(jiān)控）模式
處理能力	400,000封電子郵件/天
外觀設(shè)置	1U機架設(shè)計，48.26cm(19”)
重量	19.9Kg(43.87lbs)
尺寸(WxDxH)	43.4(17.09”)x64.2(25.28”)x4.28(1.69”)cm
管理端口	10/100/1000BASE-TRJ45x1
數(shù)據(jù)端口	10/100/1000BASE-TRJ45x3
AC輸入電壓	100到240VAC
AC輸入電流	7.4A到3.7A
硬盤	2x600GB3.5英寸SAS
RAID配置	RAID1
電源	550W冗余
功耗（最大值）	604W
熱量	2133BTU/hr（最大值）
頻率	50/60HZ
工作溫度	10到35°C(50-95°F)

8.技術(shù)規(guī)格