深度威胁邮件网关介绍
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Excel文档
RSA遭受APT攻击的来龙去脉
根据Uni Rivner的调查,这起造成RSA史上最重大损害的源头, 是2封锁定RSA公司内两小群员工的社交工程邮件。 标题写着「2011年招募计划」,也夹带一个附加文档
这个Excel档案其实已经包含了一个当时还没有发现、也还没 有被修补的Adobe Flash漏洞
深度威胁邮件网关 DDEI
邮件内容
邮件附件
嵌入式URL
检测并阻止含有恶意附件或URL的社交工程邮件:
• 定制化沙箱及检测引擎分析邮件附件 • 全面分析嵌入式URL • 加密文件破解及分析 • 和现有邮件安全产品协同工作
连续 4 年最优攻击检测
亚信安全深度威胁解决方案
NSS Labs 2014/2015/2016/2017 攻击检测
• 用于检测并阻止社交工程邮件所导致的网络攻击、数据泄漏及加密勒索 • 为国内首款沙箱类邮件安全网关
ICSA Labs 2015/2017
Deep Discovery Email Inspector
亚信安全深度威胁邮件网关DDEI
检测 分析 阻止
邮箱安全设备 附件分析及沙箱技术 URL分析及沙箱技术 邮件策略控制 威胁分析
该员工计算机植入后门后,被远程遥控在内部做探测取得更高 管理者权限
入侵开发用服务器,加密并压缩机密数据用FTP传到远程主机, 清除入侵痕迹
案例二:320韩国APT攻击事件
• 时间: • 2013年3月20日下午2时
• 范围: • 韩国多家媒体与金融机构约48,700台计算机与服务器无法使用
媒体
银行
恶意附件,文件名为 “信用卡交易记录”
伪装的三月份信用卡账单通知
320韩国APT攻击事件过程
攻击者
带有恶意附件的 社交工程钓鱼邮件
受害企业
Unix/Linux服务器区
植入木马 程序
删除所 有文件
破坏 MBR
恶意C&C站点下载监控性 恶意程序
在内部控制更多机器
取得终端上留存的服务器 Windows终端 登入信息,进行远程攻击
防勒索邮件 防恶意邮件 防病毒邮件
防垃圾邮件
DDEI 3.0 将支持防垃圾邮件,2018 Q2发布
91 的APT攻击始于社交工程邮件 %
86% 的加密勒索软件攻击始于社交工程邮件
2017.9 德勤 信息被窃
2016.9 雅虎 用户信息被窃
2015.2 Anthem 医疗保险用户资料外泄
2015.1 加密勒索软件
• 使用防病毒/木马/间谍软件/恶意软件等特征码比对技术过滤常规恶意附件 • 使用Web信誉过滤常规恶意URL
• APT邮件攻击应对技术(第二代定制化沙箱技术)
• APT攻击黑客对目标发起定向攻击通常会使用定制化高级恶意程序,以规避基于特 征码的检查方式,动态沙箱分析技术可以模拟附件或URL打开过程,通过行为分析 最终判断附件或URL是否夹杂高级恶意程序
管理和部署 IOC共享
最优攻击检测
亚信安全深度威胁解决方案
NSS Labs 2014/2015 攻击检测测试
MTA(阻止)、BCC(监控)及SPAN/TAP(监控)部署模 式可与任何现存邮件安全解决方案协同工作
新的威胁标识(IOC)数据可以分享给亚信安全及第三方产 和定制化沙箱检测附件,包括多种 Windows 可执行文件、Microsoft Office、PDF、Zip、Web内容和压缩文件 类型
(46)%
2013 年第四季获利下降 46%
美国Target信用卡外泄事件来龙去脉
9月
11/15
11/27
12/12
12/15
以社交工程邮件 部署恶意软
数据泄露
通报
内部治理
窃取凭据
件收集数据
12/19
公开道歉
消费者
C&C 服务器
合作伙伴
FTP
攻击者
攻击者的平均攻击成本最低 黑客成功实施社交工程邮件攻击的平均成本 仅为¥5000,但对一个大型企业而言,其平
• 加密勒索软件变种攻击应对技术(第三代机器学习XGen技术)
• 机器学习及人工智能技术可以帮助我们快速识别加密勒索软件的最新变种
被允许的 安全文档
图例
已知好数据 已知坏数据 未知数据
减噪
第一代技术:特征码匹配
第三代技术:机器学习/AI
第二代技术:动态沙箱
被拦截的 恶意文档
Deep Discovery Email Inspector
破坏 MBR
攻击者利用合法更新机制
安博士(Ahnlab) 将破坏性恶意程序快速部
更新服务器
署到终端
删除所 有文件
案例三:美国Target信用卡外泄事件
110,000,000
1.1 亿信用卡与会员数据泄漏
1,000,000,000
治理成本超过 10 亿美金,包含银行重 新发卡费用及更换所有 POS 终端
韩国广播公司(KBS) 韩国文化广播公司(MBC)
韩联社新闻台(YTN)
新韩银行 农协银行 济州银行
• 影响: • 业务运行中断 • 银行:ATM、网银、营业厅交易停摆 • 媒体:媒体向外播送的内容无法更新,对外网站无法连接 • 受感染机器上的数据无法回复
320韩国APT攻击事件:伪装成银行账单邮件
智能文件解密
使用多种启发式密码提取技术对密码保护的文件附件或 压缩附件进行解密
均损失超过¥4000万
被攻击者缺乏培训和教育
容易获取目标个体或组织的社交网络信息
与平台或操作系统无关
不是来自已知的垃圾邮件地址 伪造成你认识的某人的邮箱地址 收件人数量不多 经过详细调查写着你感兴趣的邮件内容 伪装成合法文档的恶意文件
PDF12%
反转字符 (RTLO)3% Excel23%
其它1%
PPT8%
压缩文件 1% 执行文件1%
Word53%
APT攻击邮件大量利用常见文件类型附件作为攻击途径
传统安全防御只能拦截45%的已知威胁,而还有55%的未知威胁可
轻松绕开传统安全防御,进入企业网络
超过90%高级威胁通过
社交工程邮件方式发起
16
• 常规恶意&攻击邮件应对技术(第一代特征码匹配技术)
2014.11 索尼影业 遭APT攻击
2013.9 Target 信用卡信息被窃
2013.3 韩国银行及媒体 遭APT攻击
2011.3 RSA SecurID 被窃
案例一:全球最大的动态密码锁公司 RSA遭受APT攻击
RSA攻击事件:由一封以假乱真的邮件开始
Adobe Flash 零日漏洞 (CVE2011-0609)
RSA遭受APT攻击的来龙去脉
根据Uni Rivner的调查,这起造成RSA史上最重大损害的源头, 是2封锁定RSA公司内两小群员工的社交工程邮件。 标题写着「2011年招募计划」,也夹带一个附加文档
这个Excel档案其实已经包含了一个当时还没有发现、也还没 有被修补的Adobe Flash漏洞
深度威胁邮件网关 DDEI
邮件内容
邮件附件
嵌入式URL
检测并阻止含有恶意附件或URL的社交工程邮件:
• 定制化沙箱及检测引擎分析邮件附件 • 全面分析嵌入式URL • 加密文件破解及分析 • 和现有邮件安全产品协同工作
连续 4 年最优攻击检测
亚信安全深度威胁解决方案
NSS Labs 2014/2015/2016/2017 攻击检测
• 用于检测并阻止社交工程邮件所导致的网络攻击、数据泄漏及加密勒索 • 为国内首款沙箱类邮件安全网关
ICSA Labs 2015/2017
Deep Discovery Email Inspector
亚信安全深度威胁邮件网关DDEI
检测 分析 阻止
邮箱安全设备 附件分析及沙箱技术 URL分析及沙箱技术 邮件策略控制 威胁分析
该员工计算机植入后门后,被远程遥控在内部做探测取得更高 管理者权限
入侵开发用服务器,加密并压缩机密数据用FTP传到远程主机, 清除入侵痕迹
案例二:320韩国APT攻击事件
• 时间: • 2013年3月20日下午2时
• 范围: • 韩国多家媒体与金融机构约48,700台计算机与服务器无法使用
媒体
银行
恶意附件,文件名为 “信用卡交易记录”
伪装的三月份信用卡账单通知
320韩国APT攻击事件过程
攻击者
带有恶意附件的 社交工程钓鱼邮件
受害企业
Unix/Linux服务器区
植入木马 程序
删除所 有文件
破坏 MBR
恶意C&C站点下载监控性 恶意程序
在内部控制更多机器
取得终端上留存的服务器 Windows终端 登入信息,进行远程攻击
防勒索邮件 防恶意邮件 防病毒邮件
防垃圾邮件
DDEI 3.0 将支持防垃圾邮件,2018 Q2发布
91 的APT攻击始于社交工程邮件 %
86% 的加密勒索软件攻击始于社交工程邮件
2017.9 德勤 信息被窃
2016.9 雅虎 用户信息被窃
2015.2 Anthem 医疗保险用户资料外泄
2015.1 加密勒索软件
• 使用防病毒/木马/间谍软件/恶意软件等特征码比对技术过滤常规恶意附件 • 使用Web信誉过滤常规恶意URL
• APT邮件攻击应对技术(第二代定制化沙箱技术)
• APT攻击黑客对目标发起定向攻击通常会使用定制化高级恶意程序,以规避基于特 征码的检查方式,动态沙箱分析技术可以模拟附件或URL打开过程,通过行为分析 最终判断附件或URL是否夹杂高级恶意程序
管理和部署 IOC共享
最优攻击检测
亚信安全深度威胁解决方案
NSS Labs 2014/2015 攻击检测测试
MTA(阻止)、BCC(监控)及SPAN/TAP(监控)部署模 式可与任何现存邮件安全解决方案协同工作
新的威胁标识(IOC)数据可以分享给亚信安全及第三方产 和定制化沙箱检测附件,包括多种 Windows 可执行文件、Microsoft Office、PDF、Zip、Web内容和压缩文件 类型
(46)%
2013 年第四季获利下降 46%
美国Target信用卡外泄事件来龙去脉
9月
11/15
11/27
12/12
12/15
以社交工程邮件 部署恶意软
数据泄露
通报
内部治理
窃取凭据
件收集数据
12/19
公开道歉
消费者
C&C 服务器
合作伙伴
FTP
攻击者
攻击者的平均攻击成本最低 黑客成功实施社交工程邮件攻击的平均成本 仅为¥5000,但对一个大型企业而言,其平
• 加密勒索软件变种攻击应对技术(第三代机器学习XGen技术)
• 机器学习及人工智能技术可以帮助我们快速识别加密勒索软件的最新变种
被允许的 安全文档
图例
已知好数据 已知坏数据 未知数据
减噪
第一代技术:特征码匹配
第三代技术:机器学习/AI
第二代技术:动态沙箱
被拦截的 恶意文档
Deep Discovery Email Inspector
破坏 MBR
攻击者利用合法更新机制
安博士(Ahnlab) 将破坏性恶意程序快速部
更新服务器
署到终端
删除所 有文件
案例三:美国Target信用卡外泄事件
110,000,000
1.1 亿信用卡与会员数据泄漏
1,000,000,000
治理成本超过 10 亿美金,包含银行重 新发卡费用及更换所有 POS 终端
韩国广播公司(KBS) 韩国文化广播公司(MBC)
韩联社新闻台(YTN)
新韩银行 农协银行 济州银行
• 影响: • 业务运行中断 • 银行:ATM、网银、营业厅交易停摆 • 媒体:媒体向外播送的内容无法更新,对外网站无法连接 • 受感染机器上的数据无法回复
320韩国APT攻击事件:伪装成银行账单邮件
智能文件解密
使用多种启发式密码提取技术对密码保护的文件附件或 压缩附件进行解密
均损失超过¥4000万
被攻击者缺乏培训和教育
容易获取目标个体或组织的社交网络信息
与平台或操作系统无关
不是来自已知的垃圾邮件地址 伪造成你认识的某人的邮箱地址 收件人数量不多 经过详细调查写着你感兴趣的邮件内容 伪装成合法文档的恶意文件
PDF12%
反转字符 (RTLO)3% Excel23%
其它1%
PPT8%
压缩文件 1% 执行文件1%
Word53%
APT攻击邮件大量利用常见文件类型附件作为攻击途径
传统安全防御只能拦截45%的已知威胁,而还有55%的未知威胁可
轻松绕开传统安全防御,进入企业网络
超过90%高级威胁通过
社交工程邮件方式发起
16
• 常规恶意&攻击邮件应对技术(第一代特征码匹配技术)
2014.11 索尼影业 遭APT攻击
2013.9 Target 信用卡信息被窃
2013.3 韩国银行及媒体 遭APT攻击
2011.3 RSA SecurID 被窃
案例一:全球最大的动态密码锁公司 RSA遭受APT攻击
RSA攻击事件:由一封以假乱真的邮件开始
Adobe Flash 零日漏洞 (CVE2011-0609)