高級社工郵件識別
高級社工郵件具備“精投遞、強偽裝,、極誘導,、高可信”特征,采用惡意樣本智能分析,、URL重寫與附件剝離等技術,,快速識別攻擊者行為,甄別攻擊者意圖,。
郵件安全聯(lián)防預警系統(tǒng)
公安部第一研究所-M01
郵件安全聯(lián)防預警平臺立足郵件安全綜合防護需要,,利用惡意URL識別,、惡意二維碼識別、賬號安全風險識別,、惡意樣本智能分析,、賬戶異常行為監(jiān)測、DMARC數(shù)據(jù)分析,、郵箱蜜罐誘捕,、威脅情報聯(lián)動共享等關鍵技術,全面協(xié)同重要行業(yè)單位實時開展惡意樣本特征,、惡意URL規(guī)則庫,、異常行為規(guī)則等威脅情報聯(lián)動共享。做到“精準攔截,、監(jiān)控全面,、情報及時,、貼合業(yè)務”,解決實戰(zhàn)對抗過程中人員郵件安全意識參差不齊問題,,通過威脅及時預警實現(xiàn)全面應對郵件釣魚及惡意程序攻擊,。
產(chǎn)品核心能力
-
-
多重郵件預警及處置通過流量重定向,、數(shù)據(jù)包丟棄阻斷等技術,有效阻斷惡意郵件,、惡意鏈接,。串聯(lián)部署時可開啟自動化主動防護,對置信度較高的威脅直接攔截;BCC抄送或旁路部署時可通過鏡像流量分析識別郵件威脅,,快速預警并處置郵件失陷事件,。
-
蜜罐郵箱賬號誘捕通過設立高迷惑性蜜罐郵箱賬號,捕獲釣魚,、社工類郵件,,捕獲收發(fā)件人、發(fā)件IP,、郵件內容等信息,。契合“主動防御”的理念,改變被動等待攻擊者進入蜜罐的局面,,主動引誘攻擊者進入非業(yè)務環(huán)境,,對攻擊行為進行捕獲。
-
威脅情報聯(lián)動共享匯集各節(jié)點日均百萬級的惡意發(fā)件地址庫,、URL庫,、惡意樣本特征庫等郵件威脅情報因子,組成行業(yè)級/跨行業(yè)級的郵件威脅情報庫,,面向重要行業(yè)單位實時共享,,實現(xiàn)“一處預警、處處響應”,,提升行業(yè)單位事前預警能力,。
-
身份偽造檢測通過配置郵件安全傳輸協(xié)議DMARC,識別偽造發(fā)件人,建立郵件身份賬號冒用機制,,彌補SPF和DKIM協(xié)議除錯功能機制的缺失,,通過識別偽造發(fā)件人身份信息的方式識別偽造郵件,降低正常用戶被偽造電子郵件攻擊的風險,。
-
智能惡意樣本行為分析畫像七大引擎檢測:無文件攻擊檢測,、WEBSHELL檢測、智能逆向,、行為分析,、復合式殺毒、二進制漏洞檢測,、威脅情報聯(lián)防聯(lián)控,,對DOC、EXE,、ZIP,、PowerShell、VBS等十余種格式的惡意樣本進行全方位檢測分析,。
-
威脅情報專項查詢支持對威脅情報進行溯源查詢,通過該模塊與本地郵件業(yè)務數(shù)據(jù)流實時匹配,,可溯源到惡意發(fā)件人,、攻擊IP及歷史攻擊軌跡,還原真實攻擊意圖,。
-
惡意URL動態(tài)識別提取郵件正文,、附件等包含的URL連接地址,通過模擬點擊,、響應檢測,、指紋匹配等技術全面檢測郵件中惡意URL,支持將可疑URL發(fā)送到云端,,隔離處置后將結果返回用戶本地瀏覽器,,保護用戶免受侵害。
-
惡意樣本情報聯(lián)動共享實時與公安部一所云中心進行威脅情報聯(lián)動,,對已知的惡意樣本實現(xiàn)秒級檢測和分析報告輸出;對于未知的惡意樣本,,實現(xiàn)“一次分析,全網(wǎng)共享”,。
產(chǎn)品結構
關鍵技術
-
多維度情報實時關聯(lián)技術從發(fā)件人,、發(fā)件IP、附件哈希值,、URL鏈接等多個維度關聯(lián)情報,,對郵件進行情報匹配,提升同一攻擊組織發(fā)送釣魚郵件的識別率,采用增量更新的情報數(shù)據(jù)的技術手段,,對歷史郵件進行輪詢回溯關聯(lián)分析,,從而識別歷史郵件中的“漏網(wǎng)之魚”。 -
遠端虛擬瀏覽器URL隔離技術利用遠程瀏覽器隔離技術重寫URL鏈接地址,,使URL鏈接在遠端的虛擬瀏覽器中打開,,郵件用戶本地瀏覽器只獲取重新渲染后絕對安全的網(wǎng)頁視覺編碼,不再執(zhí)行任何動態(tài)腳本,,從而阻斷執(zhí)行惡意腳本,、信任憑證釣魚、偷渡式下載等行為,。 -
釣魚行為檢測模型構建技術通過深度分析歷年攻防演練郵件釣魚技戰(zhàn)法及大量真實案例,,提取釣魚技術手段實施方法,提煉構建近百種釣魚郵件攻擊檢測模型,,能高效識別釣魚攻擊行為,。
-
人工智能語義分析技術利用人工智能語義分析技術,實現(xiàn)詞語級語義分析,、句子級語義分析,、篇章級語義分析、面向業(yè)務建模級語義分析等,,結合深度學習技術與中文分詞技術拆分詞,、句、段,、篇,、章;揣摩攻擊者心理,識別攻擊者意圖,,對攻擊者進行畫像,。 -
二進制漏洞檢測技術檢測惡意樣本運行期間在內存層面是否具有惡意行為,包括修改內存屬性,、堆攻擊,、堆噴射、加載遠程模塊,、棧代碼執(zhí)行,、ROP等,從系統(tǒng)底層對樣本進行檢測,,實現(xiàn)深層次漏洞風險快速發(fā)現(xiàn),。 -
無文件攻擊檢測技術內置無文件攻擊檢測引擎,檢測惡意樣本運行后利用系統(tǒng)信任進程執(zhí)行惡意操作的行為,,包括利用PowerShell,、WMI,、VBS、JSVBA等系統(tǒng)信任進程進行惡意下載,、外聯(lián)及獲取系統(tǒng)信息等行為,。
-
內存Web shell檢測技術在網(wǎng)絡威脅樣本異常分析平臺中模擬用戶的業(yè)務環(huán)境,將郵件附件在業(yè)務環(huán)境中運行,,檢測附件運行期間是否會注入業(yè)務,、在內存中滯留、劫持關鍵的類和函數(shù),,執(zhí)行惡意操作等,。 -
多引擎病毒檢測技術采用復合式病毒檢測,接入安天,、火絨,、Kaspersky、Nod32,、Avast,、Avira等6款國內外主流的病毒引擎,支持不同引擎快速接入和刪除,,提升檢測病毒能力,。 -
智能逆向技術支持惡意樣本自動化脫殼處理、逆向分析,,發(fā)現(xiàn)并提取節(jié)對齊屬性異常,、PE頭部位置異常、PE頭大小異常等敏感信息,,分析靜態(tài)API調用關系,,識別深層次風險,。
應用場景
-
場景一:跨行業(yè)社工釣魚威脅情報共享與聯(lián)防預警主要解決高級社工釣魚郵件識別難,、情報源少,、預警不及時的問題。依托公安部一所郵件聯(lián)防聯(lián)控云端中心與各重要行業(yè)單位部署的M01實時聯(lián)動,,開展惡意樣本特征,、惡意URL、異常行為等威脅情報共享,,匯聚郵件威脅情報因子,,組成跨行業(yè)級郵件威脅情報庫,。實現(xiàn)“一點被釣魚、全網(wǎng)共勉疫”,。
-
場景二:高級社工釣魚郵件即時預警場景主要用于當前各行業(yè)單位面臨的社工釣魚攻擊情況,。M01在原始郵件中嵌入醒目的警示標簽后投遞,每一個郵件用戶都可以直觀的看到郵件威脅警示信息,,從而大大降低高級社工釣魚郵件的中招率,。根本上提升全體郵件用戶防社工、防釣魚意識,。
-
場景三:惡意URL釣魚防護場景主要解決信任憑證釣魚,、偷渡式下載、瀏覽器0Day不易察覺的問題,。此場景下,,M01自動提取隱藏/變形URL/二維碼不同類型的鏈接,通過遠程瀏覽器隔離技術重寫風險URL,,模擬用戶點擊,,將可疑URL與實際用戶進行隔離,保護用戶免受侵害,。
做到“精準攔截,、監(jiān)控全面、情報及時,、貼合業(yè)務”
解決實戰(zhàn)對抗過程中人員郵件安全意識參差不齊問題,,通過威脅及時預警實現(xiàn)全面應對郵件釣魚及惡意程序攻擊。