高級(jí)社工郵件識(shí)別
高級(jí)社工郵件具備“精投遞,、強(qiáng)偽裝、極誘導(dǎo),、高可信”特征,,采用惡意樣本智能分析、URL重寫(xiě)與附件剝離等技術(shù),,快速識(shí)別攻擊者行為,,甄別攻擊者意圖。
郵件安全聯(lián)防預(yù)警系統(tǒng)
公安部第一研究所-M01
郵件安全聯(lián)防預(yù)警平臺(tái)立足郵件安全綜合防護(hù)需要,利用惡意URL識(shí)別,、惡意二維碼識(shí)別,、賬號(hào)安全風(fēng)險(xiǎn)識(shí)別、惡意樣本智能分析,、賬戶(hù)異常行為監(jiān)測(cè),、DMARC數(shù)據(jù)分析、郵箱蜜罐誘捕,、威脅情報(bào)聯(lián)動(dòng)共享等關(guān)鍵技術(shù),,全面協(xié)同重要行業(yè)單位實(shí)時(shí)開(kāi)展惡意樣本特征、惡意URL規(guī)則庫(kù)、異常行為規(guī)則等威脅情報(bào)聯(lián)動(dòng)共享,。做到“精準(zhǔn)攔截,、監(jiān)控全面、情報(bào)及時(shí),、貼合業(yè)務(wù)”,,解決實(shí)戰(zhàn)對(duì)抗過(guò)程中人員郵件安全意識(shí)參差不齊問(wèn)題,通過(guò)威脅及時(shí)預(yù)警實(shí)現(xiàn)全面應(yīng)對(duì)郵件釣魚(yú)及惡意程序攻擊,。
產(chǎn)品核心能力
-
-
多重郵件預(yù)警及處置通過(guò)流量重定向,、數(shù)據(jù)包丟棄阻斷等技術(shù),,有效阻斷惡意郵件、惡意鏈接,。串聯(lián)部署時(shí)可開(kāi)啟自動(dòng)化主動(dòng)防護(hù),,對(duì)置信度較高的威脅直接攔截;BCC抄送或旁路部署時(shí)可通過(guò)鏡像流量分析識(shí)別郵件威脅,快速預(yù)警并處置郵件失陷事件,。
-
蜜罐郵箱賬號(hào)誘捕通過(guò)設(shè)立高迷惑性蜜罐郵箱賬號(hào),,捕獲釣魚(yú)、社工類(lèi)郵件,,捕獲收發(fā)件人,、發(fā)件IP、郵件內(nèi)容等信息,。契合“主動(dòng)防御”的理念,,改變被動(dòng)等待攻擊者進(jìn)入蜜罐的局面,主動(dòng)引誘攻擊者進(jìn)入非業(yè)務(wù)環(huán)境,,對(duì)攻擊行為進(jìn)行捕獲,。
-
威脅情報(bào)聯(lián)動(dòng)共享匯集各節(jié)點(diǎn)日均百萬(wàn)級(jí)的惡意發(fā)件地址庫(kù)、URL庫(kù),、惡意樣本特征庫(kù)等郵件威脅情報(bào)因子,,組成行業(yè)級(jí)/跨行業(yè)級(jí)的郵件威脅情報(bào)庫(kù),面向重要行業(yè)單位實(shí)時(shí)共享,,實(shí)現(xiàn)“一處預(yù)警,、處處響應(yīng)”,,提升行業(yè)單位事前預(yù)警能力。
-
身份偽造檢測(cè)通過(guò)配置郵件安全傳輸協(xié)議DMARC,,識(shí)別偽造發(fā)件人,,建立郵件身份賬號(hào)冒用機(jī)制,彌補(bǔ)SPF和DKIM協(xié)議除錯(cuò)功能機(jī)制的缺失,,通過(guò)識(shí)別偽造發(fā)件人身份信息的方式識(shí)別偽造郵件,,降低正常用戶(hù)被偽造電子郵件攻擊的風(fēng)險(xiǎn)。
-
智能惡意樣本行為分析畫(huà)像七大引擎檢測(cè):無(wú)文件攻擊檢測(cè),、WEBSHELL檢測(cè),、智能逆向、行為分析,、復(fù)合式殺毒,、二進(jìn)制漏洞檢測(cè)、威脅情報(bào)聯(lián)防聯(lián)控,,對(duì)DOC,、EXE、ZIP,、PowerShell,、VBS等十余種格式的惡意樣本進(jìn)行全方位檢測(cè)分析。
-
威脅情報(bào)專(zhuān)項(xiàng)查詢(xún)支持對(duì)威脅情報(bào)進(jìn)行溯源查詢(xún),,通過(guò)該模塊與本地郵件業(yè)務(wù)數(shù)據(jù)流實(shí)時(shí)匹配,,可溯源到惡意發(fā)件人、攻擊IP及歷史攻擊軌跡,,還原真實(shí)攻擊意圖,。
-
惡意URL動(dòng)態(tài)識(shí)別提取郵件正文、附件等包含的URL連接地址,,通過(guò)模擬點(diǎn)擊,、響應(yīng)檢測(cè)、指紋匹配等技術(shù)全面檢測(cè)郵件中惡意URL,,支持將可疑URL發(fā)送到云端,,隔離處置后將結(jié)果返回用戶(hù)本地瀏覽器,保護(hù)用戶(hù)免受侵害,。
-
惡意樣本情報(bào)聯(lián)動(dòng)共享實(shí)時(shí)與公安部一所云中心進(jìn)行威脅情報(bào)聯(lián)動(dòng),,對(duì)已知的惡意樣本實(shí)現(xiàn)秒級(jí)檢測(cè)和分析報(bào)告輸出;對(duì)于未知的惡意樣本,實(shí)現(xiàn)“一次分析,,全網(wǎng)共享”。
產(chǎn)品結(jié)構(gòu)
關(guān)鍵技術(shù)
-
多維度情報(bào)實(shí)時(shí)關(guān)聯(lián)技術(shù)從發(fā)件人,、發(fā)件IP,、附件哈希值,、URL鏈接等多個(gè)維度關(guān)聯(lián)情報(bào),對(duì)郵件進(jìn)行情報(bào)匹配,,提升同一攻擊組織發(fā)送釣魚(yú)郵件的識(shí)別率,,采用增量更新的情報(bào)數(shù)據(jù)的技術(shù)手段,對(duì)歷史郵件進(jìn)行輪詢(xún)回溯關(guān)聯(lián)分析,,從而識(shí)別歷史郵件中的“漏網(wǎng)之魚(yú)”,。 -
遠(yuǎn)端虛擬瀏覽器URL隔離技術(shù)利用遠(yuǎn)程瀏覽器隔離技術(shù)重寫(xiě)URL鏈接地址,使URL鏈接在遠(yuǎn)端的虛擬瀏覽器中打開(kāi),,郵件用戶(hù)本地瀏覽器只獲取重新渲染后絕對(duì)安全的網(wǎng)頁(yè)視覺(jué)編碼,,不再執(zhí)行任何動(dòng)態(tài)腳本,從而阻斷執(zhí)行惡意腳本,、信任憑證釣魚(yú),、偷渡式下載等行為。 -
釣魚(yú)行為檢測(cè)模型構(gòu)建技術(shù)通過(guò)深度分析歷年攻防演練郵件釣魚(yú)技戰(zhàn)法及大量真實(shí)案例,,提取釣魚(yú)技術(shù)手段實(shí)施方法,,提煉構(gòu)建近百種釣魚(yú)郵件攻擊檢測(cè)模型,能高效識(shí)別釣魚(yú)攻擊行為,。
-
人工智能語(yǔ)義分析技術(shù)利用人工智能語(yǔ)義分析技術(shù),,實(shí)現(xiàn)詞語(yǔ)級(jí)語(yǔ)義分析、句子級(jí)語(yǔ)義分析,、篇章級(jí)語(yǔ)義分析,、面向業(yè)務(wù)建模級(jí)語(yǔ)義分析等,結(jié)合深度學(xué)習(xí)技術(shù)與中文分詞技術(shù)拆分詞,、句,、段、篇,、章;揣摩攻擊者心理,,識(shí)別攻擊者意圖,對(duì)攻擊者進(jìn)行畫(huà)像,。 -
二進(jìn)制漏洞檢測(cè)技術(shù)檢測(cè)惡意樣本運(yùn)行期間在內(nèi)存層面是否具有惡意行為,,包括修改內(nèi)存屬性、堆攻擊,、堆噴射,、加載遠(yuǎn)程模塊、棧代碼執(zhí)行,、ROP等,,從系統(tǒng)底層對(duì)樣本進(jìn)行檢測(cè),實(shí)現(xiàn)深層次漏洞風(fēng)險(xiǎn)快速發(fā)現(xiàn),。 -
無(wú)文件攻擊檢測(cè)技術(shù)內(nèi)置無(wú)文件攻擊檢測(cè)引擎,,檢測(cè)惡意樣本運(yùn)行后利用系統(tǒng)信任進(jìn)程執(zhí)行惡意操作的行為,,包括利用PowerShell、WMI,、VBS,、JSVBA等系統(tǒng)信任進(jìn)程進(jìn)行惡意下載、外聯(lián)及獲取系統(tǒng)信息等行為,。
-
內(nèi)存Web shell檢測(cè)技術(shù)在網(wǎng)絡(luò)威脅樣本異常分析平臺(tái)中模擬用戶(hù)的業(yè)務(wù)環(huán)境,,將郵件附件在業(yè)務(wù)環(huán)境中運(yùn)行,檢測(cè)附件運(yùn)行期間是否會(huì)注入業(yè)務(wù),、在內(nèi)存中滯留,、劫持關(guān)鍵的類(lèi)和函數(shù),執(zhí)行惡意操作等,。 -
多引擎病毒檢測(cè)技術(shù)采用復(fù)合式病毒檢測(cè),,接入安天、火絨,、Kaspersky,、Nod32、Avast,、Avira等6款國(guó)內(nèi)外主流的病毒引擎,,支持不同引擎快速接入和刪除,提升檢測(cè)病毒能力,。 -
智能逆向技術(shù)支持惡意樣本自動(dòng)化脫殼處理,、逆向分析,發(fā)現(xiàn)并提取節(jié)對(duì)齊屬性異常,、PE頭部位置異常,、PE頭大小異常等敏感信息,分析靜態(tài)API調(diào)用關(guān)系,,識(shí)別深層次風(fēng)險(xiǎn),。
應(yīng)用場(chǎng)景
-
場(chǎng)景一:跨行業(yè)社工釣魚(yú)威脅情報(bào)共享與聯(lián)防預(yù)警主要解決高級(jí)社工釣魚(yú)郵件識(shí)別難,、情報(bào)源少,、預(yù)警不及時(shí)的問(wèn)題。依托公安部一所郵件聯(lián)防聯(lián)控云端中心與各重要行業(yè)單位部署的M01實(shí)時(shí)聯(lián)動(dòng),,開(kāi)展惡意樣本特征,、惡意URL、異常行為等威脅情報(bào)共享,,匯聚郵件威脅情報(bào)因子,,組成跨行業(yè)級(jí)郵件威脅情報(bào)庫(kù),。實(shí)現(xiàn)“一點(diǎn)被釣魚(yú)、全網(wǎng)共勉疫”,。
-
場(chǎng)景二:高級(jí)社工釣魚(yú)郵件即時(shí)預(yù)警場(chǎng)景主要用于當(dāng)前各行業(yè)單位面臨的社工釣魚(yú)攻擊情況。M01在原始郵件中嵌入醒目的警示標(biāo)簽后投遞,,每一個(gè)郵件用戶(hù)都可以直觀的看到郵件威脅警示信息,,從而大大降低高級(jí)社工釣魚(yú)郵件的中招率。根本上提升全體郵件用戶(hù)防社工,、防釣魚(yú)意識(shí),。
-
場(chǎng)景三:惡意URL釣魚(yú)防護(hù)場(chǎng)景主要解決信任憑證釣魚(yú)、偷渡式下載,、瀏覽器0Day不易察覺(jué)的問(wèn)題,。此場(chǎng)景下,M01自動(dòng)提取隱藏/變形URL/二維碼不同類(lèi)型的鏈接,,通過(guò)遠(yuǎn)程瀏覽器隔離技術(shù)重寫(xiě)風(fēng)險(xiǎn)URL,,模擬用戶(hù)點(diǎn)擊,將可疑URL與實(shí)際用戶(hù)進(jìn)行隔離,,保護(hù)用戶(hù)免受侵害,。
做到“精準(zhǔn)攔截、監(jiān)控全面,、情報(bào)及時(shí),、貼合業(yè)務(wù)”
解決實(shí)戰(zhàn)對(duì)抗過(guò)程中人員郵件安全意識(shí)參差不齊問(wèn)題,通過(guò)威脅及時(shí)預(yù)警實(shí)現(xiàn)全面應(yīng)對(duì)郵件釣魚(yú)及惡意程序攻擊,。