深度威胁邮件网关介绍

1、深度威胁邮件网关介绍Deep Discovery Email Inspector DDEI防垃圾邮件防勒索邮件防恶意邮件防病毒邮件DDEI 3.0 将支持防垃圾邮件，2018 Q2发布什么是DDEI？“There is ample evidence that email is the preferred channel to launch advanced targeted attacks”的APT攻击始于社交工程邮件的加密勒索软件攻击始于社交工程邮件91%91%86%86%DDEI基本功能 - 防恶意、攻击、勒索邮件2013.3 韩国银行及媒体遭APT攻击2015.1 加密勒索软件2014.

2、11 索尼影业遭APT攻击2015.2 Anthem医疗保险用户资料外泄2013.9 Target 信用卡信息被窃2016.9 雅虎用户信息被窃2011.3 RSASecurID 被窃2017.9 德勤信息被窃近些年有影响的APT攻击事件案例一：全球最大的动态密码锁公司 RSA遭受APT攻击Excel文档RSA攻击事件：由一封以假乱真的邮件开始Adobe Flash 零日漏洞 (CVE2011-0609)根据Uni Rivner的调查，这起造成RSA史上最重大损害的源头，是2封锁定RSA公司内两小群员工的社交工程邮件。标题写着2011年招募计划，也夹带一个附加文档这个Excel档案其实已经包含

3、了一个当时还没有发现、也还没有被修补的Adobe Flash漏洞该员工计算机植入后门后，被远程遥控在内部做探测取得更高管理者权限入侵开发用服务器，加密并压缩机密数据用FTP传到远程主机，清除入侵痕迹RSA遭受APT攻击的来龙去脉时间：2013年3月20日下午2时范围：韩国多家媒体与金融机构约48,700台计算机与服务器无法使用影响：业务运行中断 银行：ATM、网银、营业厅交易停摆媒体：媒体向外播送的内容无法更新，对外网站无法连接受感染机器上的数据无法回复媒体银行韩国广播公司（KBS）韩国文化广播公司（MBC）韩联社新闻台（YTN）新韩银行农协银行济州银行案例二：320韩国APT攻击事件伪装的三

4、月份信用卡账单通知恶意附件，文件名为“信用卡交易记录”320韩国APT攻击事件：伪装成银行账单邮件攻击者带有恶意附件的社交工程钓鱼邮件恶意C&C站点下载监控性恶意程序植入木马程序安博士（Ahnlab）更新服务器攻击者利用合法更新机制将破坏性恶意程序快速部署到终端取得终端上留存的服务器登入信息，进行远程攻击删除所有文件破坏MBR破坏MBR删除所有文件Unix/Linux服务器区Windows终端受害企业在内部控制更多机器320韩国APT攻击事件过程案例三：美国Target信用卡外泄事件110,000,0001.1 亿信用卡与会员数据泄漏1,000,000,000治理成本超过 10 亿美金，包含银

5、行重新发卡费用及更换所有 POS 终端(46)%2013 年第四季获利下降 46%消费者合作伙伴攻击者部署恶意软件收集数据9 月以社交工程邮件窃取凭据C&C 服务器数据泄露11/15FTP通报11/27 内部治理12/12公开道歉12/1512/19美国Target信用卡外泄事件来龙去脉为什么黑客惯用社交工程邮件攻击？攻击者的平均攻击成本最低黑客成功实施社交工程邮件攻击的平均成本仅为￥5000，但对一个大型企业而言，其平均损失超过￥4000万容易获取目标个体或组织的社交网络信息与平台或操作系统无关被攻击者缺乏培训和教育什么是社交工程邮件？不是来自已知的垃圾邮件地址伪造成你认识的某人的邮箱地址收

6、件人数量不多经过详细调查写着你感兴趣的邮件内容伪装成合法文档的恶意文件社交工程邮件经常使用的文档漏洞攻击APT攻击邮件大量利用常见文件类型附件作为攻击途径PPT8%执行文件1%压缩文件1%其它1%反转字符（RTLO）3%PDF12%Word53%Excel23%16传统安全防御只能拦截45%的已知威胁，而还有55%的未知威胁可轻松绕开传统安全防御，进入企业网络超过90%高级威胁通过社交工程邮件方式发起社交工程邮件逐渐成为高级威胁的重要手段DDEI如何应对恶意&攻击邮件？使用防病毒/木马/间谍软件/恶意软件等特征码比对技术过滤常规恶意附件使用Web信誉过滤常规恶意URLAPT攻击黑客对目标发起定

7、向攻击通常会使用定制化高级恶意程序，以规避基于特征码的检查方式，动态沙箱分析技术可以模拟附件或URL打开过程，通过行为分析最终判断附件或URL是否夹杂高级恶意程序机器学习及人工智能技术可以帮助我们快速识别加密勒索软件的最新变种常规恶意&攻击邮件应对技术（第一代特征码匹配技术）APT邮件攻击应对技术（第二代定制化沙箱技术）加密勒索软件变种攻击应对技术（第三代机器学习XGen技术）图例已知好数据已知坏数据未知数据被拦截的恶意文档减噪第三代技术：机器学习/AI被允许的安全文档综合使用三代技术的样本分析流程第二代技术：动态沙箱第一代技术：特征码匹配深度威胁邮件网关 DDEIDeep Discovery

8、 Email Inspector用于检测并阻止社交工程邮件所导致的网络攻击、数据泄漏及加密勒索为国内首款沙箱类邮件安全网关深度威胁邮件网关 DDEI嵌入式URL邮件附件邮件内容定制化沙箱及检测引擎分析邮件附件全面分析嵌入式URL加密文件破解及分析和现有邮件安全产品协同工作检测并阻止含有恶意附件或URL的社交工程邮件: 连续 4 年最优攻击检测亚信安全深度威胁解决方案NSS Labs 2014/2015/2016/2017 攻击检测ICSA Labs 2015/2017深度威胁邮件网关 DDEIDeep Discovery Email Inspector定制化沙箱定制化的沙箱可模拟与您桌面系统精

9、确匹配的运行环境，准确地检测到针对贵公司的恶意软件附件分析使用多个检测引擎和定制化沙箱检测附件，包括多种 Windows 可执行文件、Microsoft Office、PDF、Zip、Web内容和压缩文件类型使用多种启发式密码提取技术对密码保护的文件附件或压缩附件进行解密策略控制根据告警严重性级别，您可以配置多种选项来处理恶意邮件，包括隔离、删除和带标记转发邮件等操作。邮件的沙箱分析可以按附件类型自定义控制（例如，对所有的 PDF文件进行沙箱分析）智能文件解密威胁分析详细的沙箱分析可用于深入威胁研究。此外，亚信安全云安全威胁百科门户提供了相关的趋势科技全球情报，可用于评估攻击的风险和起源多级嵌

10、入式 URL 分析通过web信誉检查、内容分析和沙箱模拟可识别嵌入在社交工程钓鱼邮件以及文档附件中的恶意URL，必要时对目标内容进行扫描和沙箱分析，发现隐蔽下载中使用的重定向、高级恶意软件和漏洞嵌入式URL分析 最优攻击检测亚信安全深度威胁解决方案NSS Labs 2014/2015 攻击检测测试检测分析阻止亚信安全深度威胁邮件网关DDEI附件分析及沙箱技术URL分析及沙箱技术邮件策略控制威胁分析邮箱安全设备管理和部署MTA（阻止）、BCC（监控）及SPAN/TAP（监控）部署模式可与任何现存邮件安全解决方案协同工作新的威胁标识（IOC）数据可以分享给亚信安全及第三方产品，用以阻止威胁IOC共

11、享DDEI 3.0 新增模块 - 防垃圾邮件垃圾邮件在过去两三年间增长了5倍僵尸网络使得垃圾邮件发送更容易实现，且绝大多数垃圾邮件是通过僵尸网络发送的基于图像的垃圾邮件新技术即使成功识别并过滤垃圾邮件，也无法避免该垃圾邮件占用网络带宽邮件信誉服务动态邮件流量分析统计分析/高级启发式分析/签名/黑白名单/图形垃圾邮件侦测技术侦测内部僵尸网络，阻止垃圾邮件外发的邮件是垃圾邮件DDEI 应对技术7590%7590%DDEI和传统邮件网关的区别-更侧重高级威胁防护防垃圾邮件防高级威胁传统邮件安全DDEI定向攻击加密软件后门Web威胁高级病毒社交钓鱼DDEI定向攻击勒索软件后门Web威胁高级病毒社交钓鱼DDEI+现有邮件网关 下一代邮件安全网关解决方案直接拦截威胁邮件提供威胁分析利用轮叫调度，支持高可用性MTA模式SPAN/TAP模式旁路分析威胁邮件提供威胁分析及告警 旁路分析威胁邮件提供威胁分析及告警 BCC模式邮件邮件服务器DDEI邮件邮件服务器DDEI交换机邮件DDEI邮件服务器DDEI 成功案例汇丰银行 80台广发银行东风汽车南方电网创维集团泉州银行锦州银行一汽丰田中国远洋宁波狮丹努迈瑞医疗天津银行