高級社工郵件識別
高級社工郵件具備“精投遞,、強(qiáng)偽裝,、極誘導(dǎo)、高可信”特征,,采用惡意樣本智能分析,、URL重寫與附件剝離等技術(shù),快速識別攻擊者行為,,甄別攻擊者意圖,。
郵件安全聯(lián)防預(yù)警系統(tǒng)
公安部第一研究所-M01
郵件安全聯(lián)防預(yù)警平臺立足郵件安全綜合防護(hù)需要,,利用惡意URL識別、惡意二維碼識別,、賬號安全風(fēng)險識別,、惡意樣本智能分析、賬戶異常行為監(jiān)測,、DMARC數(shù)據(jù)分析,、郵箱蜜罐誘捕、威脅情報聯(lián)動共享等關(guān)鍵技術(shù),,全面協(xié)同重要行業(yè)單位實(shí)時開展惡意樣本特征,、惡意URL規(guī)則庫、異常行為規(guī)則等威脅情報聯(lián)動共享,。做到“精準(zhǔn)攔截,、監(jiān)控全面,、情報及時、貼合業(yè)務(wù)”,,解決實(shí)戰(zhàn)對抗過程中人員郵件安全意識參差不齊問題,,通過威脅及時預(yù)警實(shí)現(xiàn)全面應(yīng)對郵件釣魚及惡意程序攻擊。
產(chǎn)品核心能力
-
-
多重郵件預(yù)警及處置通過流量重定向、數(shù)據(jù)包丟棄阻斷等技術(shù),,有效阻斷惡意郵件,、惡意鏈接。串聯(lián)部署時可開啟自動化主動防護(hù),,對置信度較高的威脅直接攔截;BCC抄送或旁路部署時可通過鏡像流量分析識別郵件威脅,,快速預(yù)警并處置郵件失陷事件。
-
蜜罐郵箱賬號誘捕通過設(shè)立高迷惑性蜜罐郵箱賬號,,捕獲釣魚,、社工類郵件,捕獲收發(fā)件人,、發(fā)件IP,、郵件內(nèi)容等信息。契合“主動防御”的理念,,改變被動等待攻擊者進(jìn)入蜜罐的局面,,主動引誘攻擊者進(jìn)入非業(yè)務(wù)環(huán)境,對攻擊行為進(jìn)行捕獲,。
-
威脅情報聯(lián)動共享匯集各節(jié)點(diǎn)日均百萬級的惡意發(fā)件地址庫,、URL庫、惡意樣本特征庫等郵件威脅情報因子,,組成行業(yè)級/跨行業(yè)級的郵件威脅情報庫,,面向重要行業(yè)單位實(shí)時共享,實(shí)現(xiàn)“一處預(yù)警,、處處響應(yīng)”,,提升行業(yè)單位事前預(yù)警能力。
-
身份偽造檢測通過配置郵件安全傳輸協(xié)議DMARC,識別偽造發(fā)件人,,建立郵件身份賬號冒用機(jī)制,,彌補(bǔ)SPF和DKIM協(xié)議除錯功能機(jī)制的缺失,通過識別偽造發(fā)件人身份信息的方式識別偽造郵件,,降低正常用戶被偽造電子郵件攻擊的風(fēng)險,。
-
智能惡意樣本行為分析畫像七大引擎檢測:無文件攻擊檢測、WEBSHELL檢測,、智能逆向、行為分析,、復(fù)合式殺毒,、二進(jìn)制漏洞檢測、威脅情報聯(lián)防聯(lián)控,,對DOC,、EXE、ZIP,、PowerShell,、VBS等十余種格式的惡意樣本進(jìn)行全方位檢測分析。
-
威脅情報專項查詢支持對威脅情報進(jìn)行溯源查詢,,通過該模塊與本地郵件業(yè)務(wù)數(shù)據(jù)流實(shí)時匹配,,可溯源到惡意發(fā)件人、攻擊IP及歷史攻擊軌跡,,還原真實(shí)攻擊意圖,。
-
惡意URL動態(tài)識別提取郵件正文、附件等包含的URL連接地址,,通過模擬點(diǎn)擊,、響應(yīng)檢測、指紋匹配等技術(shù)全面檢測郵件中惡意URL,,支持將可疑URL發(fā)送到云端,,隔離處置后將結(jié)果返回用戶本地瀏覽器,保護(hù)用戶免受侵害,。
-
惡意樣本情報聯(lián)動共享實(shí)時與公安部一所云中心進(jìn)行威脅情報聯(lián)動,,對已知的惡意樣本實(shí)現(xiàn)秒級檢測和分析報告輸出;對于未知的惡意樣本,實(shí)現(xiàn)“一次分析,,全網(wǎng)共享”,。
產(chǎn)品結(jié)構(gòu)
關(guān)鍵技術(shù)
-
多維度情報實(shí)時關(guān)聯(lián)技術(shù)從發(fā)件人、發(fā)件IP,、附件哈希值,、URL鏈接等多個維度關(guān)聯(lián)情報,對郵件進(jìn)行情報匹配,提升同一攻擊組織發(fā)送釣魚郵件的識別率,,采用增量更新的情報數(shù)據(jù)的技術(shù)手段,,對歷史郵件進(jìn)行輪詢回溯關(guān)聯(lián)分析,從而識別歷史郵件中的“漏網(wǎng)之魚”,。 -
遠(yuǎn)端虛擬瀏覽器URL隔離技術(shù)利用遠(yuǎn)程瀏覽器隔離技術(shù)重寫URL鏈接地址,,使URL鏈接在遠(yuǎn)端的虛擬瀏覽器中打開,郵件用戶本地瀏覽器只獲取重新渲染后絕對安全的網(wǎng)頁視覺編碼,,不再執(zhí)行任何動態(tài)腳本,,從而阻斷執(zhí)行惡意腳本、信任憑證釣魚,、偷渡式下載等行為,。 -
釣魚行為檢測模型構(gòu)建技術(shù)通過深度分析歷年攻防演練郵件釣魚技戰(zhàn)法及大量真實(shí)案例,提取釣魚技術(shù)手段實(shí)施方法,,提煉構(gòu)建近百種釣魚郵件攻擊檢測模型,,能高效識別釣魚攻擊行為。
-
人工智能語義分析技術(shù)利用人工智能語義分析技術(shù),,實(shí)現(xiàn)詞語級語義分析,、句子級語義分析、篇章級語義分析,、面向業(yè)務(wù)建模級語義分析等,,結(jié)合深度學(xué)習(xí)技術(shù)與中文分詞技術(shù)拆分詞、句,、段,、篇、章;揣摩攻擊者心理,,識別攻擊者意圖,,對攻擊者進(jìn)行畫像。 -
二進(jìn)制漏洞檢測技術(shù)檢測惡意樣本運(yùn)行期間在內(nèi)存層面是否具有惡意行為,,包括修改內(nèi)存屬性,、堆攻擊、堆噴射,、加載遠(yuǎn)程模塊,、棧代碼執(zhí)行、ROP等,,從系統(tǒng)底層對樣本進(jìn)行檢測,,實(shí)現(xiàn)深層次漏洞風(fēng)險快速發(fā)現(xiàn)。 -
無文件攻擊檢測技術(shù)內(nèi)置無文件攻擊檢測引擎,,檢測惡意樣本運(yùn)行后利用系統(tǒng)信任進(jìn)程執(zhí)行惡意操作的行為,,包括利用PowerShell,、WMI、VBS,、JSVBA等系統(tǒng)信任進(jìn)程進(jìn)行惡意下載,、外聯(lián)及獲取系統(tǒng)信息等行為。
-
內(nèi)存Web shell檢測技術(shù)在網(wǎng)絡(luò)威脅樣本異常分析平臺中模擬用戶的業(yè)務(wù)環(huán)境,,將郵件附件在業(yè)務(wù)環(huán)境中運(yùn)行,,檢測附件運(yùn)行期間是否會注入業(yè)務(wù)、在內(nèi)存中滯留,、劫持關(guān)鍵的類和函數(shù),,執(zhí)行惡意操作等。 -
多引擎病毒檢測技術(shù)采用復(fù)合式病毒檢測,,接入安天,、火絨、Kaspersky,、Nod32、Avast,、Avira等6款國內(nèi)外主流的病毒引擎,,支持不同引擎快速接入和刪除,提升檢測病毒能力,。 -
智能逆向技術(shù)支持惡意樣本自動化脫殼處理,、逆向分析,發(fā)現(xiàn)并提取節(jié)對齊屬性異常,、PE頭部位置異常,、PE頭大小異常等敏感信息,分析靜態(tài)API調(diào)用關(guān)系,,識別深層次風(fēng)險,。
應(yīng)用場景
-
場景一:跨行業(yè)社工釣魚威脅情報共享與聯(lián)防預(yù)警主要解決高級社工釣魚郵件識別難,、情報源少、預(yù)警不及時的問題,。依托公安部一所郵件聯(lián)防聯(lián)控云端中心與各重要行業(yè)單位部署的M01實(shí)時聯(lián)動,,開展惡意樣本特征、惡意URL,、異常行為等威脅情報共享,,匯聚郵件威脅情報因子,,組成跨行業(yè)級郵件威脅情報庫。實(shí)現(xiàn)“一點(diǎn)被釣魚,、全網(wǎng)共勉疫”,。
-
場景二:高級社工釣魚郵件即時預(yù)警場景主要用于當(dāng)前各行業(yè)單位面臨的社工釣魚攻擊情況。M01在原始郵件中嵌入醒目的警示標(biāo)簽后投遞,,每一個郵件用戶都可以直觀的看到郵件威脅警示信息,,從而大大降低高級社工釣魚郵件的中招率。根本上提升全體郵件用戶防社工,、防釣魚意識,。
-
場景三:惡意URL釣魚防護(hù)場景主要解決信任憑證釣魚、偷渡式下載,、瀏覽器0Day不易察覺的問題,。此場景下,M01自動提取隱藏/變形URL/二維碼不同類型的鏈接,,通過遠(yuǎn)程瀏覽器隔離技術(shù)重寫風(fēng)險URL,,模擬用戶點(diǎn)擊,將可疑URL與實(shí)際用戶進(jìn)行隔離,,保護(hù)用戶免受侵害,。
做到“精準(zhǔn)攔截、監(jiān)控全面,、情報及時,、貼合業(yè)務(wù)”
解決實(shí)戰(zhàn)對抗過程中人員郵件安全意識參差不齊問題,通過威脅及時預(yù)警實(shí)現(xiàn)全面應(yīng)對郵件釣魚及惡意程序攻擊,。