《《DDEI解决方案》doc版》由会员分享,可在线阅读,更多相关《《DDEI解决方案》doc版(9页珍藏版)》请在金锄头文库上搜索。
1、趋势科技高级威胁邮件安全网关 DDEIDeep Discovery Email Inspector检测并阻止定向工程邮件导致的网络攻击及数据泄漏解决方案2015.03.051. APT邮件威胁新型高危定向攻击的不断涌现,使得当今的安全形势比以往任何时候都更加严峻。定向攻击和高级威胁已经证明了他们绕开传统安全防御,并且实现网络攻击和窃取敏感数据的能力,企业安全防御形同虚设。定向工程邮件攻击或社交工程钓鱼邮件攻击已成为入侵企业网络的首选方法。事实上,趋势科技的一项最新研究显示,91% 的定向攻击始于社交工程钓鱼邮件,这类邮件通常含有传统邮件或终端安全产品无法检测的恶意附件或URL。在典型的社交工程
2、钓鱼攻击中,攻击者会将精心定制的电子邮件发送给有权访问您企业网络的特定员工、合作伙伴或其他人。攻击者使用从社交网络和 Internet 收集来的个人及职业信息来诱导目标,说服收件人毫无警觉地打开恶意文档附件或点击某个指向恶意站点的链接。收件人一旦就范,高级恶意软件将会安装在其计算机中,麻烦就这样开始了。恶意软件通常会连接一个远程指令控制服务器(C&C服务器),以等待攻击者的进一步指令,与此同时,您企业的敏感数据和信息资产将变得岌岌可危。大量事实证明,社交工程钓鱼是入侵企业网络最有效、最廉价的途径,便于攻击者进入您的网络,进而发起定向攻击。2014 年 Ponemon 研究所的一项研究表明,如果
3、入侵成功,单次定向攻击对大型组织造成的平均损失为 600 万美元,甚至可多达 10 亿美元。然而,尝试利用标准安全流程检测这些复杂的新型威胁是徒劳的。要应对这些攻击,您需要采用量身定制的解决方案,该解决方案可与您现有的邮件网关无缝协同工作,利用高级检测方法来检测和阻止定向工程邮件的攻击。2. DDEI介绍高级威胁邮件安全网关(DDEI)专用来检测和阻止定向工程邮件所导致的网络攻击及数据泄漏。它采用先进的恶意软件检测引擎,URL分析以及文件和Web沙箱技术,可快速识别并阻止或隔离这些定向工程邮件。高级威胁邮件安全网关(DDEI)和传统邮件网关或服务器安全产品协同工作,因此无需改变现有操作环境。它
4、提供的针对高级威胁的检测及保护,超越了传统的防御能力,可有效地将攻击者拦截企业网络之外。3. 主要功能3.1. 攻击检测l 邮件附件分析 - 使用多个检测引擎和定制化沙箱检测附件,包括多种 Windows 可执行文件、Microsoft Office、PDF、Zip、Web内容和压缩文件类型等;l 文件漏洞检测 - 采用专业检测和沙箱技术发现藏匿在常见办公文档中的恶意软件和漏洞;l 定制化沙箱 - 定制化的沙箱可模拟与您桌面系统精确匹配的运行环境,准确地检测到针对贵公司的恶意软件;l 嵌入式 URL 分析 - 多级嵌入式 URL 分析通过web信誉检查、内容分析和沙箱模拟可识别嵌入在社交工程钓
5、鱼邮件以及文档附件中的恶意URL,必要时对目标内容进行扫描和沙箱分析,发现隐蔽下载中使用的重定向、高级恶意软件和漏洞;l 智能文件解密 - 使用多种启发式密码提取技术对密码保护的文件附件或压缩附件进行解密;3.2. 威胁分析详细的沙箱分析可用于深入威胁研究。此外,趋势科技云安全威胁百科门户提供了相关的趋势科技全球情报,可用于评估攻击的风险和起源。3.3. 策略控制和执行根据告警严重性级别,您可以配置多种选项来处理恶意邮件,包括隔离、删除和带标记转发邮件等操作。邮件的沙箱分析可以按附件类型自定义控制(例如,对所有的 PDF文件进行沙箱分析)。3.4. 灵活的管理和部署MTA(阻止)、BCC(监控
6、)及SPAN/TAP(监控)部署模式可与任何现存邮件安全解决方案协同工作。精细化管理控制可轻松实现定制化安全策略。3.5. 定制化智能防御 IOC 共享新的威胁标识(IOC)数据可以分享给趋势科技及第三方产品,用以阻止威胁。4. 技术特点4.1. 附件分析和定制化沙箱使用启发式技术和客户提供的关键词打开、解压缩和解锁附件。多个检测引擎和定制化沙箱可识别藏匿在多种文件类型和内容(包括 Windows 可执行文件、Microsoft Office、PDF、Zip 和 Java等)中的高级恶意软件、文档漏洞以及恶意URL连结。4.2. URL 分析和定制化沙箱嵌入式 URL 通过信誉检查以及必要时对
7、目标内容进行扫描和沙箱分析,来发现隐蔽下载中使用的重定向、高级恶意软件和漏洞。4.3. 策略控制和执行根据告警严重性级别,您可以配置多种选项来处理恶意邮件,包括隔离、删除和带标记转发邮件等操作。邮件的沙箱分析可以按附件类型自定义控制(例如,对所有的 PDF文件进行沙箱分析)。4.4. 威胁分析详细的沙箱分析可用于深入威胁研究。此外,趋势科技云安全威胁百科门户提供了相关的趋势科技全球情报,可用于评估攻击的风险和起源。5. 部署方案DDEI可以和现有的邮件安全解决方案协同工作,提供针对定向攻击的附加安全保护。DDEI提供了三种部署模式:MTA 串联模式,BCC旁路 模式,以及SPAN/TAP旁路模
8、式。 5.1. MTA串联模式DDEI被串联接入,接收来自上游MTA(通常为AV/SPAM邮件网关)发送的邮件,再分发给下游MTA。Figure 1 MTA 模式5.2. BCC旁路模式DDEI和SMTP数据流没有直接交互。进入企业的邮件先被递交给AV/SPAM网关,通过配置AV/SPAM网关,再将这些邮件副本发送给DDEI。DDEI对邮件进行威胁分析之后,这些邮件将被丢弃,而不会发送给收件人。如需使用该部署模式,客户的上游MTA必须能够发送邮件副本给DDEI。Figure 2 BCC 模式5.3. SPAN/TAP旁路模式DDEI和SMTP数据流没有直接交互。进入企业的邮件先被递交给AV/S
9、PAM网关,然后进入交换机。通过配置交换机,再将这些邮件的副本发送给DDEI。DDEI对邮件进行威胁分析之后,这些邮件将被丢弃,而不会发送给收件人。如需使用该部署模式,客户的交换机必须能够发送邮件副本给DDEI。Figure 3 SPAN/TAP 模式6. 高可用性当同时使用多台DDEI设备的时候,我们需要考虑这些设备之间的负载均衡。关于DDEI负载均衡,我们提供两种方案:6.1. 方案 1: 使用第三方硬件解决方案该方案使用来自第三方的硬件将负载分布到多台DDEI设备上,如F5或Cisco。Figure 4 使用第三方硬件实现负载均衡6.2. 方案 2: 使用轮询调度该方案的原理是,当DDE
10、I服务器被查询时,DNS服务器返回多个DDEI服务器的IP地址。一个方法是使用多条MX记录,一条记录对应一台DDEI设备。如果这些记录具有相同的优先级,那么SMTP代理会从中随机选择一条记录,并将邮件交给这条记录对应的DDEI设备处理,也就是所谓的A-A模式;如果优先级不同,SMTP代理会选择优先级高的记录,如果该记录所对应的DDEI设备目前处于工作状态,SMTP代理会将邮件分发给该DDEI设备处理,如果该设备处于非工作状态(宕机,失去网络连接等),SMTP代理会选择处于次优先级的设备,然后将邮件分发给其进行处理,也就是所谓的A-B模式。 Figure 5 使用轮询调度实现负载均衡7. 型号及
11、规格高级威胁邮件安全网关 DDEI 7100部署选项MTA(阻止)、BCC(监控)和SPAN/TAP(监控)模式处理能力400,000 封电子邮件/天外观设置1U 机架设计,48.26 cm (19”)重量19.9 Kg (43.87lbs)尺寸 (WxDxH)43.4 (17.09”) x 64.2 (25.28”) x 4.28 (1.69”) cm管理端口10/100/1000 BASE-T RJ45 x 1数据端口10/100/1000 BASE-T RJ45 x 3AC 输入电压100 到 240 VACAC 输入电流7.4A 到 3.7A硬盘2 x 600GB 3.5 英寸 SASRAID 配置RAID 1电源550W 冗余功耗(最大值)604W热量2133 BTU/hr(最大值)频率50/60 HZ工作温度10 到 35 C (50-95 F)
