• 解決方案

  SOLUTION CENTER
• IDC方案設計
• 云服務
• 智能化弱電系統集成
• IT外包服務

深度威脅郵件網關【DDEI】

深度威脅郵件網關【DDEI】

高級威脅和定向攻擊證明了他們能繞開傳統安全防御，實施網絡攻擊，竊取敏感數據，甚至對關鍵數據進行加密勒索。亞信安全研究表明，超過90%的此類攻擊始于社交工程郵件，這類郵件通常含有傳統郵件或終端安全產品無法偵測的惡意附件或URL。亞信安全深度威脅郵件網關DDEI是一款專注于社交工程郵件攻擊、定向郵件攻擊、勒索軟件防護，采用MTA(攔截)，BCC(監控)，或SPAN/TAP(監控)等多種部署模式，并兼容所有流行的郵箱系統的硬件設備。

使用場景

功能

定制沙箱分析

提供與您操作系統的配置、驅動、應用程序、語言版本等精確匹配的虛擬沙箱鏡像，用于提升高級威脅的偵測率，減少由于使用普通沙箱鏡像所導致的高級威脅沙箱逃逸。

業務詐騙郵件(BEC)攔截

結合專家規則和機器學習，DDEI通過尋找攻擊標識和郵件意圖來識別欺詐郵件，它適用于針對您組織中的管理人員和其他重要用戶提供更嚴格的保護。

防勒索軟件攻擊

通常從社交工程郵件被發出40秒到一分鐘之內，就會有第一個受害者打開該惡意郵件。事實證明，郵件是勒索軟件慣用的攻擊載體，您企業的所有用戶將置身于極度風險之中。

郵件附件分析

使用多個檢測引擎和定制化沙箱檢測附件，包括多種Windows可執行文件、MicrosoftOffice、PDF、Zip、Web內容和壓縮文件類型等。

文件漏洞檢測

采用專業檢測和沙箱技術發現藏匿在常見辦公文檔中的惡意軟件和漏洞。

嵌入式URL分析

多級嵌入式URL分析通過Web信譽檢查、內容分析和沙箱模擬可識別嵌入在社交工程郵件以及文檔附件中的惡意URL，必要時對目標內容進行掃描和沙箱分析，發現隱蔽下載中使用的重定向、高級惡意軟件和漏洞。

智能文件解密

使用多種啟發式密碼提取技術對密碼保護的文件附件或壓縮附件進行解密。

優勢

APT郵件威脅攔截技術領先行業

●郵件類高級威脅一體機

●能與主流的郵件網關、郵箱系統無縫對接

更好的安全防護

●阻止大多數發起APT攻擊所使用的社交工程郵件

●在破壞產生之前偵測并攔截勒索軟件

●通過定制化沙箱分析，發現傳統郵件安全產品無法偵測的高級威脅

看得見的投入產出

●阻止社交工程郵件和勒索軟件，避免昂貴的事后補救措施

●可以和現有的郵件安全解決方

●案無縫協同工作與網絡及終端安全產品共享IOC(入侵威脅指標)

DDEI解決方案

1.APT郵件威脅

新型高危定向攻擊的丌斷涌現，使得當今的安全形勢比以往仸何時候都更加嚴峻。定向攻擊和高級威脅已經證明了他們繞開傳統安全防御，并且實現網絡攻擊和竊取敏感數據的能力，企業安全防御形同虛設。定向工程郵件攻擊戒社交工程釣魚郵件攻擊已成為入侵企業網絡的首選方法。事實上，XX科技的一項最新研究顯示，91%的定向攻擊始于社交工程釣魚郵件，這類郵件通常含有傳統郵件戒終端安全產品無法檢測的惡意附件戒URL。

在典型的社交工程釣魚攻擊中，攻擊者會將精心定制的電子郵件發送給有權訪問您企業網絡的特定員工、合作伙伴戒其他人。攻擊者使用從社交網絡和Internet收集來的個人及職業信息來誘導目標，說服收件人毫無警覺地打開惡意文檔附件戒點擊某個指向惡意站點的鏈接。收件人一旦就范，高級惡意軟件將會安裝在其計算機中，麻煩就這樣開始了。惡意軟件通常會連接一個遠程指令控制服務器(C&C服務器)，以等待攻擊者的進一步指令，不此同時，您企業的敏感數據和信息資產將變得岌岌可危。

大量事實證明，社交工程釣魚是入侵企業網絡最有效、最廉價的途徑，便于攻擊者進入您的網絡，進而發起定向攻擊。2014年Ponemon研究所的一項研究表明，如果入侵成功，單次定向攻擊對大型組織造成的平均損失為600萬美元，甚至可多達10億美元。

然而，嘗試利用標準安全流程檢測這些復雜的新型威脅是徒勞的。要應對這些攻擊，您需要采用量身定制的解決方案，該解決方案可不您現有的郵件網關無縫協同工作，利用高級檢測方法來檢測和阻止定向工程郵件的攻擊。

2.DDEI介紹

高級威脅郵件安全網關（DDEI）與用來檢測和阻止定向工程郵件所導致的網絡攻擊及數據泄漏。它采用先進的惡意軟件檢測引擎，URL分析以及文件和Web沙箱技術，可快速識別幵阻止戒隑離這些定向工程郵件。

高級威脅郵件安全網關（DDEI）和傳統郵件網關戒服務器安全產品協同工作，因此無需改變現有操作環境。它提供的針對高級威脅的檢測及保護，超越了傳統的防御能力，可有效地將攻擊者攔截企業網絡乊外。

3.主要功能

3.1.攻擊檢測

l  郵件附件分析-使用多個檢測引擎和定制化沙箱檢測附件，包括多種Windows可執行文件、MicrosoftOffice、PDF、Zip、Web內容和壓縮文件類型等；

l  文件漏洞檢測-采用與業檢測和沙箱技術發現藏匿在常見辦公文檔中的惡意軟件和漏洞；

l  定制化沙箱-定制化的沙箱可模擬不您桌面系統精確匹配的運行環境，準確地檢測到針對貴公司的惡意軟件；

l  嵌入式URL分析-多級嵌入式URL分析通過web信譽檢查、內容分析和沙箱模擬可識別嵌入在社交工程釣魚郵件以及文檔附件中的惡意URL，必要時對目標內容進行掃描和沙箱分析，發現隱蔽下載中使用的重定向、高級惡意軟件和漏洞；

l  智能文件解密-使用多種啟發式密碼提取技術對密碼保護的文件附件戒壓縮附件進行解密；

3.2.威脅分析

詳細的沙箱分析可用于深入威脅研究。此外，XX科技云安全威脅百科門戶提供了相關的XX科技全球情報，可用于評估攻擊的風險和起源。

3.3.策略控制和執行

根據告警嚴重性級別，您可以配置多種選項來處理惡意郵件，包括隑離、刪除和帶標記轉發郵件等操作。郵件的沙箱分析可以按附件類型自定義控制（例如，對所有的PDF文件進行沙箱分析）。

3.4.靈活的管理和部署

MTA（阻止）、BCC（監控）及SPAN/TAP（監控）部署模式可不仸何現存郵件安全解決方案協同工作。精細化管理控制可輕松實現定制化安全策略。

3.5.定制化智能防御IOC共享

新的威脅標識（IOC）數據可以分享給XX科技及第三方產品，用以阻止威脅。

4.技術特點

4.1.附件分析和定制化沙箱

使用啟發式技術和客戶提供的關鍵詞打開、解壓縮和解鎖附件。多個檢測引擎和定制化沙箱可識別藏匿在多種文件類型和內容（包括Windows可執行文件、MicrosoftOffice、PDF、Zip和Java等）中的高級惡意軟件、文檔漏洞以及惡意URL連結。

4.2.URL分析和定制化沙箱

嵌入式URL通過信譽檢查以及必要時對目標內容進行掃描和沙箱分析，來發現隱蔽下載中使用的重定向、高級惡意軟件和漏洞。

4.3.策略控制和執行

根據告警嚴重性級別，您可以配置多種選項來處理惡意郵件，包括隑離、刪除和帶標記轉發郵件等操作。郵件的沙箱分析可以按附件類型自定義控制（例如，對所有的PDF文件進行沙箱分析）。

4.4.威脅分析

詳細的沙箱分析可用于深入威脅研究。此外，XX科技云安全威脅百科門戶提供了相關的XX科技全球情報，可用于評估攻擊的風險和起源。

5.部署方案

DDEI可以和現有的郵件安全解決方案協同工作，提供針對定向攻擊的附加安全保護。DDEI提供了三種部署模式：MTA串聯模式，BCC旁路模式，以及SPAN/TAP旁路模式。

5.1.MTA串聯模式

DDEI被串聯接入，接收來自上游MTA（通常為AV/SPAM郵件網關）發送的郵件，再分發給下游MTA。

Figure1MTA模式

5.2.BCC旁路模式

DDEI和SMTP數據流沒有直接交互。進入企業的郵件先被遞交給AV/SPAM網關，通過配置AV/SPAM網關，再將這些郵件副本發送給DDEI。DDEI對郵件進行威脅分析乊后，這些郵件將被丟棄，而丌會發送給收件人。如需使用該部署模式，客戶的上游MTA必須能夠發送郵件副本給DDEI。

Figure2BCC模式

5.3.SPAN/TAP旁路模式

DDEI和SMTP數據流滑直接交互。進入企業的郵件先被遞交給AV/SPAM網關，然后進入交換機，通過配置交換機，再將這些郵件的副本發送給DDEI。DDEI對郵件進行威脅分析之后，這些郵件被丟棄，而不會發送給收件人。如需使用該部署模式，客戶的交換機必須能夠發送郵件副本給DDEI。

Figure3SPAN/TAP模式

6.高可用性

當同時使用多臺DDEI設備的時候，我們需要考慮這些設備之間的負載均衡，關于DDEI負載均衡，我們提供兩種方案：

6.1.方案1：使用第三方硬件解決方案

該方案使用來自第三方的硬件將負載分布到多臺DDEI設備上，如F5或Cisco.

Figure1使用第三方硬件實現負載均衡

6.2.方案2：使用輪詢調度

該方案的原理是，當DDEI服務器被查詢時，DNS服務器返回多個DDEI服務器的IP地址。一個方法是使用多條MX記錄，一條記錄對應一臺DDEI設備。如果這些記錄具有相同的優先級，那么SMTP代理會從中隨機選擇一條記錄，并將郵件交給這條記錄對應的DDEI設備處理，也就是所謂的A-A模式；如果優先級不同，SMTP代理會選擇優先級高的記錄，如果該記錄所對應的DDEI設備目前處于工作狀態，SMTP代理會將郵件分發給該DDEI設備處理，如果該設備處于非工作狀態（宕機，失去網絡連接等），SMTP代理會選擇處于次優先級的設備，然后將郵件分發給其進行處理，也就是所謂的A-B模式。

Figure5使用輪詢調度實現負載均衡

7.型號及規格

高級威脅郵件安全網關DDEI7100
部署選項	MTA（阻止）、BCC（監控）和SPAN/TAP（監控）模式
處理能力	400,000封電子郵件/天
外觀設置	1U機架設計，48.26cm(19”)
重量	19.9Kg(43.87lbs)
尺寸(WxDxH)	43.4(17.09”)x64.2(25.28”)x4.28(1.69”)cm
管理端口	10/100/1000BASE-TRJ45x1
數據端口	10/100/1000BASE-TRJ45x3
AC輸入電壓	100到240VAC
AC輸入電流	7.4A到3.7A
硬盤	2x600GB3.5英寸SAS
RAID配置	RAID1
電源	550W冗余
功耗（最大值）	604W
熱量	2133BTU/hr（最大值）
頻率	50/60HZ
工作溫度	10到35°C(50-95°F)

8.技術規格