企業應用雲端郵件服務時,像是微軟Office 365平臺的Exchange Online與Google G Suite等,往往會擔心相關安全防護功能是否到位,就像企業自建郵件系統主機時,通常也會搭配硬體或軟體式郵件安全閘道,強化內建安全與外寄管控力,而在雲端郵件服務上,想要強化使用者收發信的安全,如今也有不少選擇。

隨著雲端安全應用日益盛行,現在一些電子郵件安全廠商,也以雲端方式提供服務,對於企業用戶來說,考量企業郵件上雲時,也就能有更多選搭第三方技術的組合性,而且,這類產品同屬雲端服務,因此也具有快速部署,並帶來簡化軟硬體維護的優勢。

因此,如果企業想要導入雲端郵件服務,又不想只依靠郵件服務商,所提供的內建安全功能與加值方案,或是想選擇其他專業電子郵件安全廠商的服務,就可透過搭配方式組合。

我們這次共介紹了5家廠商推出的電子郵件安全雲端服務,像是基點資訊Cellopoint Online Pretection、Sophos Central Email Standard、HDE One、趨勢科技Hosted Email Security與Cisco Cloud Email Security。讓你瞭解這些產品的防護面向與特色。

進階威脅防護成為普遍內建功能

以運作架構而言,簡單來說,這類電子郵件安全雲端服務的設置上,主要透過的方式,修改DNS的MX記錄指向,讓企業收發的電子郵件,都能多經過一層雲端安全閘道的防護。而且,這類電子郵件雲端安全服務都是SaaS應用,同樣不需企業編制專屬人力維護,要獲取最新防護技術與功能強化,也更容易。

就這次我們接觸的電子郵件雲端安全廠商而言,防護功能各有所長,涵蓋的面向也有不同差異。

像是趨勢、Cisco與網擎的雲端服務功能面向較廣,內寄外送都有管控原則可以設定,而基點與Sophos的產品著重在收信安全的防護,但沒有DLP相關功能。基本上,這些產品其實都能對應企業自建與SaaS郵件服務,應用範圍廣。

還有一些功能面向也很特別,像是HDE的產品,在郵件DLP與備份功能之外,還結合了存取管控的機制,以強化登入與裝置驗證的能力,並以企業雲端郵件服務為主要支援對象,而Sophos額外提供的釣魚測試信服務,也是市場上少有的解決方案。

接下來,讓我們逐一瞭解這些產品的功能與特色。

強化郵件APT抵抗力,可透過雲端安全服務防護

針對郵件APT防護,近年不少廠商應用雲端沙箱來防護,還有重寫郵件內連結的技術,並讓企業使用者能夠方便地查看APT資訊,了解詳細資訊。(圖中為Cellopoint Online Protection管理介面)

從存取控制防護企業雲端郵件的資訊洩漏

防止企業雲端郵件遭不當存取或登入,導致郵件資訊洩漏,也有廠商針對提供存取管控的防護,並搭配安全瀏覽器與裝置憑證的機制,相當特別。(圖中為HDE Access Control管理介面)

增加更多元的惡意郵件威脅防護技術,是近年各家業者發展的一大焦點

在這次介紹的5家郵件安全服務商中,有4家都能提供內寄郵件威脅防護功能,包括基點資訊、Sophos,以及趨勢科技與Cisco的產品,只有HDE產品不具備,強調面向較為不同。

對於近年的惡意郵件威脅,可說是近年企業關注的郵件安全問題,也是近年來企業在意的資安防護重點之一。

針對近年釣魚郵件與目標式攻擊的手法,以及郵件中帶有惡意連結與商用郵件冒用詐騙等,我們已經看到這些廠商開始提供對應機制。譬如說,在這些雲端防護服務的後面,各廠商也積極建立全球威脅情報網;針對郵件APT防護上,像是基點產品也針對可疑郵件連結與附檔,提供URL重寫與雲端沙箱偵測的方案,而在趨勢與Cisco的方案中,也具備雲端沙箱的防護技術,同時還針對變臉詐騙的攻擊提供偵測能力。

 基點資訊  Cellopoint Online Protection

以發展電子郵件安全的本土廠商基點資訊(Cellopoint),近年推出了Cellopoint Online Protection(COP)雲端安全服務,可幫助企業電子郵件提供垃圾郵件、病毒偵測。

強調從郵件發送特徵、行為趨勢,以動態方式偵測郵件威脅,提供即時防禦,防範傳統防護機制難以偵測的APT攻擊,像是可針對郵件連結與附件,提供未知威脅的偵測與攔截。

在販售方式上,COP可分成標準版(Standard)與進階版(Advanced),方便企業選擇所需防護功能,前者包含防垃圾郵件與病毒過濾的功能,建議售價是每人每月60元,後者則提供APT郵件攻擊防禦機制,每人每月100元。因此,企業可以同時選購兩者,也能只針對APT防護功能選擇後者,相當彈性。

基本的應用方式上,主要是使所有電子郵件,都能經過COP雲端安全服務的過濾。管理者不用太多設定,就能做到防護,企業登入Cellopoint提供的專屬後臺管理介面,即可檢視隔離郵件區、病毒郵件區、APT郵件區,以及惡意網址隔離郵件區的內容,另外也可設定是否自動通知收件人有信被隔離。

這背後的防護機制上,CelloPoint建立了電子郵件全球威脅情報分析平臺,以及多層次防護的架構。在基本防垃圾郵件功能上,提供可辨識正常的寄件端主機、阻擋自動發信程式、防止冒用他人郵件地址寄信等功能,以及防止DoS攻擊影響郵件系統運作,防字典攻擊等安全機制。

在病毒郵件偵測方面,COP標準版本身搭配的是Sophos防毒引擎,如果用戶有更多病毒防護需求,這裡還能支援其他防毒引擎,像是可額外選購Bitdefender防毒引擎。

這款產品的最大特點在於,具有APT防護功能,並且可以分成郵件網址與郵件附檔過濾兩大部分。

其中的郵件連結過濾,強調可偵測釣魚與惡意連結,像是透過CelloCloud即時更新的最新威脅情資,進行靜態比對,也會重寫未知可疑網址,導向未知URL檢查中心進行檢查。

因此,當收件人將滑鼠游標移至郵件連結上時,就可以看到原始連結前方多了一段前綴網址,可導向CelloCloud執行動態即時比對。如果發現該網址具有威脅性,就會跳出警告頁面,不讓使用者前往。

在郵件附檔的防護偵測上,COP提供雲端沙箱偵測能力,可運用本身的深層檢測DI(Deep Inspection)引擎拆解郵件標頭、本文與附檔,再將可疑郵件打包加密進行動態沙箱掃描,並透過全系統模擬技術,以觸發與誘捕潛藏的惡意程式,最後回傳至主控臺後,利用關聯式分析與威脅評分機制,以判別隔離或放行。

而且,這裡的防護效果也很直觀,COP後臺介面已提供鑑識報告。舉例來說,當COP偵測到一個最新的APT攻擊郵件後,會將郵件送至隔離區,企業管理者從後臺介面能夠檢視詳細的APT資訊,包括惡意威脅評分、惡意檔案名稱、網路活動、惡意行為、執行程序與Registry歷程等,相當實用。

Cellopoint Online Protection

● 原廠:基點資訊(02)8969-2558

● 建議售價:標準版每人每月60元,進階版每人每月100元

● 支援郵件系統:微軟Exchange Online/Office 365、Google G Suite,以及其他企業電子郵件伺服器平臺

透過Cellopoint Online Protection,可針對使用者收到郵件中夾帶的網址連結與附檔,提供安全檢查機制,防範未知攻擊行為;而在管理後臺的隔離區介面上,還能夠查看詳細的進階威脅資訊。

主要特色:

1. 可直接選購APT防護功能,相當彈性

2. 提供郵件內可疑URL重寫,用戶點擊即時檢測

3. 郵件附檔也有靜態檢測與動態沙箱分析,可進一步偵測全新未知威脅

 

 Sophos  Central Email Standard

由資安與防毒廠商Sophos推出的Sophos Central Email Standard,也是專攻郵件威脅防護的產品。

它是基於自家Sophos Central雲端平臺的服務,也可稱為Cloud Email Security,與基點Cellopoint Online Protection服務的功能面向類似,主要強化郵件接收的安全性。

從防護機制來看,Sophos Central Email Standard的功能相當精簡,主要強調垃圾郵件過濾,以及釣魚與惡意程式防護,平臺本身主要應用Sophos自身的垃圾郵件過濾與防毒引擎,同時也透過自家SXL(Sophos Extensible List)技術,從SophosLab取得最新的安全威脅資訊,像是防範最新垃圾郵件與動態檢查網址等,攔截可疑內容或網址。它的建議售價是每人每年1,168元。

在這次介紹的電子郵件雲端安全產品中,Sophos Central Email Standard的功能最單純,方案也只有一種,企業用戶管理設定也很簡易,透過Sophos Central電子郵件閘道的儀表板介面,以及日誌記錄與報告項目,可以檢視所有郵件處理動作與安全狀態,也提供記錄,便於查詢郵件動向。

這裡也提供AD同步程式,方便針對公司網域使用者套用政策,在電子郵件安全防護的內容篩選上,也有不同內容種類設定與處置動作。

值得注意的是,Sophos Central雲端平臺上的郵件防護功能,並不像自家硬體式郵件閘道產品那樣豐富,但仍有一些獨有的特色。

像是緊急收信匣,舉例來說,當企業使用的郵件系統發生問題,Sophos Central Email平臺將能夠為使用者保留寄來的信件,而不會退信,在這段期間當中,使用者就可以登入自助服務網頁來檢視電子郵件,確保郵件接收不至於中斷。

另外,在提升使用者面對釣魚郵件的防護意識上,Sophos Central平臺中,也針對這樣的需求提供了,可寄送釣魚測試信件的雲端服務Central Phish Threat,企業可獨立選購租用,相當特別且少見,它的建議售價是每人每年1,330元。

Central Phish Threat的功能也很簡單,可供企業不定期寄送釣魚測試信,並內建不少釣魚郵件範本,管理者透過報告可以檢視哪些員工開了信件、點了連結,並且,能夠立即警示並跳出影片,讓使用者立即知道錯在哪,做到即時教育的目的。

在電子郵件安全之外,其實Sophos Central平臺本身也綜合了多種面向的安全防護,像是防毒軟體、網頁安全閘道、企業行動管理、無線網路,以及電腦硬碟加密等,橫向整合性高,而這也是Sophos與其他廠商的一大差異。

Sophos Central Email Standard

● 原廠:Sophos(02)7709-1980

● 建議售價:每人每年1168元

● 支援郵件系統:微軟Exchange Online/Office 365、Google G Suite,以及微軟Exchange 2003等

Sophos Central Email Standard的防護功能很單純,強調垃圾郵件過濾,以及釣魚郵件與惡意程式防護,另外也提供郵件記錄能查詢郵件動向,並有緊急收信匣的機制能確保收信不中斷。

主要特色:

1.阻擋垃圾郵件、防毒設定不複雜

2.提供緊急收信匣,可在郵件系統服務中斷時,保留寄來的信件,而不會退信。

3.另有可供企業寄送釣魚測試信的雲端服務,並提供報告與即時教育機制

 

 趨勢  Hosted Email Security

如果企業用戶想要更為豐富的電子郵件安全雲端服務,資安大廠趨勢科技推出的Hosted Email Security(HES)是一種選擇,它的防護功能豐富且販售方式單純,範圍涵蓋防垃圾郵件、防毒,兼具APT防護技術與DLP資料外洩防護,功能相當全面。它的建議售價是每人每年1,500元,一次最少需購買50個授權數。

在Hosted Email Security提供的安全機制中,最大特色就是包含許多趨勢自家的資安防護技術,像是搭配動態網路層郵件信譽評等服務Email Reputation Services(ERS),以及網頁信譽評等服務(WRS),因此可在建立郵件連線時,偵知發信主機的安全等級,以及檢視電子郵件中的惡意連結,而預設處置方式會放在隔離區。

HES本身也內含今年趨勢科技主打的XGen防護技術,以機器學習能力偵測那些更難偵測的未知威脅,像是即時防禦勒索軟體的威脅,也可以針對釣魚網址精準封鎖。

HES也利用自家發展的進階威脅掃描引擎(ATSE),來偵測文件漏洞攻擊碼,像是Adobe PDF、微軟Office等文件中的進階惡意程式,透過靜態及行為分析邏輯來偵測;至於雲端沙箱機制,HES也有,能針對可疑郵件進一步分析,做到惡意附檔的模擬執行與分析,並強調很多元件都可與之搭配,提供動態即時掃描防護。

值得一提的是,HES還提供了新的社交工程攻擊防護技術,內建了商業郵件詐騙(Business Email Compromise,BEC)的防護選項,可對應近年橫行的變臉詐騙攻擊威脅。一旦偵測到有問題,系統預設動作就會在郵件內加上文字戳記(Stamp),提醒使用者注意。這項社交工程攻擊防護技術的背後,係藉由偵測與交叉分析,針對像是郵件標題、內文與遞送資訊等,進而找出這類魚叉式網路釣魚郵件。

而在安全防護的設定上,HES的原則設定很方便,其中的郵件接收部分,已經預設了多項政策,可簡化操作,管理者也可直接進入原則修改調整。只是,不像其他產品提供中文化管理介面。

值得一提的是,原本是HES選購項目的DLP功能,今年也改為內建,可協助檢測郵件外寄內容,以攔阻機敏資料不至透過電子郵件管道外洩。這裡的處置方式上,也提供了以密件副本方式發送給指定相關人員,以及隔離區的機制,讓主管審核通過才能放行,並可設定一天3次的通知信提醒。

趨勢Hosted Email Security

● 原廠:趨勢科技(02)2378-3666

● 建議售價:每人每年1500元

● 支援郵件系統:微軟Exchange Online/Office 365、Google G Suite,以及其他企業電子郵件伺服器平臺

趨勢Hosted Email Security的管理上,針對內寄、外送的政策管理預設豐富的過濾設定,像是針對商用郵件冒用詐騙的手法,也提供了相關原則設定選項。

主要特色:

1. 結合趨勢自家多種資安防護技術

2. 可檢視郵件中的惡意連結,支援雲端沙箱掃描附檔,具APT防護,並內建DLP功能

3.新加入社交工程攻擊防護技術,可對應變臉詐騙攻擊的威脅

 

 Cisco  Cloud Email Security

由網路設備大廠Cisco推出的Cloud Email Security(CES),與趨勢HES同屬防護功能較豐富的產品。

CES基本方案內建垃圾郵件、防毒功能,也提供了特殊的內容過濾機制,還有3個可額外選購的功能項目,像是進階惡意程式防護,以及DLP與金鑰加密等,讓企業能彈性搭配。可惜,原廠並未提供建議售價,不像一般雲端服務那樣價格透明。

就基本安全防護特色而言,CES內建了併購自IronProt的防垃圾郵件等功能,並提供內文脈絡自我適應的掃描引擎(Context Adaptive Scanning Engine,CASE),強化垃圾郵件過濾與網址分析的偵測技術。在防毒機制上,這裡採用的是Sophos防毒引擎,並提供搭配McAfee防毒引擎的額外選項。

在CES的郵件防護功能中,有幾個獨到的機制相當值得一提,像是在內建的內容過濾技術當中,提供了Forged Email Detection,以及Macro detection技術,前者可對應商業郵件詐騙攻擊,後者是能偵測內含巨集的Office檔案。

舉例來說,偵測到高階主管信件可能有冒名問題時,CES會在郵件標題自動添加「Possibly Forged」的提示;若是附檔Office文件格式包含巨集,CES將透過設定條件執行過濾,可讓使用者在收信開啟附檔時,只會看到檔案內容已經被系統清除的提示,相當實用。

對應更高層次的郵件防護面向,CES則提供了進階惡意程式防護、DLP與金鑰加密等功能,作為額外選購的項目。

這裡所謂的進階惡意程式防護功能(Advanced Malware Protection,AMP),主要針對郵件附檔的安全,以Cisco Talos全球威脅情報服務為基礎,並整合了併購自ThreatGRID而得到的技術,提供檔案信譽、動態沙箱分析與追溯安全等功能。

在運作方式上,郵件附檔會先經過檔案信譽的比對,可疑檔案還會再以沙箱來偵測其行為。原廠也強調採用實體沙箱環境,非以虛擬環境模擬,具有降低惡意程式反制沙箱偵測的能力。

與一般郵件APT防護的不同之處在於,Cisco在這裡具備了檔案回溯(File Retrospection)的技術,可針對放行的郵件附檔持續分析與記錄檔案活動。日後CES一旦察覺到惡意行為,若使用者郵件服務採用的是微軟Exchange Online,系統還能使用檔案追蹤能力,自動透過微軟開放的API,將原本沒發現的威脅檔案移除,相當特別。

至於DLP資料外洩防護功能,也是CES可額外選購的項目。像是可設定符合條件的機敏資訊無法寄到外部信箱,也提供隔離區的做法,讓管理者可以決定放行與否。而在整體安全管理上,CES的管理後臺介面上,也提供儀表板介面可針對郵件內寄與外發檢視報告。

Cisco Cloud Email Security

● 原廠:Cisco (02)8758-7100

● 建議售價:廠商未提供

● 支援郵件系統:微軟Exchange Online/Office 365、Google G Suite,以及其他企業電子郵件伺服器平臺

在Cisco Cloud Email Security的管理後臺中,企業管理者可針對郵件的內外收發制訂不同管理政策,這裡預設的過濾條件已經很豐富,其中AMP進階惡意程式防護與內容過濾功能,是一大特色。

主要特色:

1.提供內容過濾功能可偵測變臉詐騙與巨集附檔

2.提供進階惡意程式防護(AMP),可針對郵件附檔持續分析與記錄檔案活動,還能搭配郵件回溯機制自動刪除。

3. 同時提供資料外洩防護選購項目

針對郵件資料外洩防護是另一條路線,甚至可擴及存取安全

針對企業郵件資料外洩防護,也是過去幾年也常被強調的防護重點,偵測郵件是否夾帶機敏資訊或個人資料,如郵件違反DLP 原則,系統會阻擋郵件寄出,或是需經審核通過才能放行。

在這5家郵件安全服務商中,有3家廠商提供,包括前面提到的趨勢與Cisco產品,還有一家尚未介紹的廠商是HDE。它的防護不僅是運用DLP,特別是還提供了存取管控的機制,進一步強化資料外洩防護的涵蓋範圍,相當特別。

 HDE  HDE One

來自日本的HDE One郵件安全解決方案,主要搭配多款雲端服務而成,包含了存取管控Access Control、郵件資料外洩防護Email DLP、郵件歸檔備份Email Archive,以及檔案安全傳輸服務Secure Transfer。

而整體HDE One的搭售方式上,又可分成標準版與商用版,後者的差異是在存取管控服務中,多了裝置憑證的功能。只可惜原廠並未提供建議售價,與Cisco作法相同,價格並不透明。

不同於多數電子郵件雲端安全服務,都會提供郵件接收安全的防護,HDE One的主要應用是,提供存取管控與資料外洩防護的加值應用。其中的存取管控機制,更是一般主打郵件安全雲端服務少有的功能面向,相當特別。

在存取管控功能方面,HDE主要針對Office 365與G Suite雲端郵件服務,提供用戶連線的進階管理,以防止未經授權的存取或登入。同時,此管控機制也能應用在多項雲端服務,並能帶來SSO單一登入的便利性。

從這裡的管控原則來看,HDE One提供了IP位置限制、OTP二階段身分驗證與安全瀏覽器的功能,企業管理者可制訂原則,並套用在不同使用者及群組。

舉例來說,像是限制使用者登入企業郵件服務時,所使用的電腦必須是在公司IP位置才能存取,一旦不符合存取規則,將出現無法登入的提示,同時也能啟用安全瀏覽器的政策,當員工在公司外的網路登入時,就必須用HDE提供的安全瀏覽器,才能連上郵件服務,並還能夠限制郵件附檔無法下載,相當實用。看起來,這裡也像是結合了企業行動管理產品的概念。

除了上述管制之外,今年HDE又增加了裝置憑證的進階功能,讓使用者裝置預先安裝憑證在手機或電腦上,並提供個人憑證、多人憑證的登入類型,強化未知裝置連線的防護,每人最多可配發5個裝置憑證,當裝置遺失時也能隨時讓裝置憑證失效。

在郵件資料外洩防護服務的管控上,HDE One可針對外寄郵件進行機密敏感過濾、電子郵件審核與自動附件加密的功能,也提供延遲寄送的機制。這裡的規則條件設定,主要是透過輸入關鍵字與正規表示式來偵測,讓符合條件的機敏郵件,可以經過審核程序才能放行,或是自動將郵件附檔ZIP加密、密件副本給指定主管。

另外,對於郵件備份與大檔傳輸的需求,HDE One也提供雲端服務。前者具有容量無限制、不可刪除的收發信即時備份空間,內建簡易的搜尋介面與彈性管理權限設定;後者提供郵件附檔過大時的檔案分享應用,平臺內建F-Secure掃毒功能,上傳的檔案也將壓縮成ZIP檔並加上密碼防護,也有檔案傳輸請求機制。

HDE One

● 原廠:HDE(02)2736-3223

● 建議售價:廠商未提供

● 支援郵件系統:微軟Exchange Online/Office 365、Google G Suite

在HDE One Access Control的後臺管理介面中,這裡提供了豐富的存取控制原則設定,相當特別。同時,HDE One還搭配了郵件歸檔備份,以及資料外洩防護等雲端服務。

主要特色:

1.提供郵件存取控制、DLP、備份歸檔與大檔傳輸服務

2.存取管控可搭配安全瀏覽器與裝置憑證等機制,強化資料外洩防護

3.存取管控功能還能擴及各種類型的雲端郵件服務

雲端郵件安全服務日益風行,有越來越多業者投入

在上述這些郵件防護面向之外,若是企業對於郵件安全有更高的條件需求,你也可以注意這些產品的郵件安全支援性,像是DKIM、SPF與DMARC寄件網域驗證安全的郵件簽署機制,或是S/MIME、PKI等加密以及簽章技術,讓寄收件者雙方確保郵件未在寄件途中遭到竄改。另外,各服務商提供的雲端服務水準協議(SLA),能否滿足企業需其,也是在導入時可以多了解的部分。

綜合來看,對應企業郵件上雲這樣的趨勢,現在不少廠商都會強調,能夠支援微軟與Google企業郵件服務,並藉由各廠商擅長的技術,協助企業強化郵件安全與管控能力。

而在雲端技術的加持下,尤其是威脅防護功能,將可憑藉各廠商的雲端威脅情報中心,以及應用雲端的延展性和運算能力,提供更即時有效的威脅防護。

除了之前介紹的雲端郵件廠商網擎,以及這裡提到的基點、趨勢、Cisco、HDE與Sophos,在國外市場上還有不少廠商投入,像是賽門鐵克Email Security.Cloud、Forcepoint Email Security Cloud、The Email Laundry、Proofpoint Essentials、Mimecast Email Security等。

顯然,雲端時代的郵件安全防護,可供選擇的服務大幅增加,已經不像早期那樣選擇太少,不僅是新興雲端廠商加入戰局,不少傳統郵件閘道設備廠商、資安廠商,也都開始提供相關雲端安全方案。

針對商業郵件詐騙BEC,已有郵件安全廠商提供偵測功能

近年,俗稱「變臉詐騙」的商務商業郵件詐騙(Business Email Compromise,BEC)威脅,是企業正在關注的議題,像是利用假冒高層主管通知財務匯款的手法,誘騙使用者移轉資金到詐騙者名下帳戶,一不小心就造成數百萬元損失。

我們在趨勢Hosted Email Security與Cisco Cloud Email Security產品中,已經看到BEC相關的偵測功能,像是可交叉分析寄送電子郵件的各個環節,當系統偵測到有問題時,可以在郵件內文加上警示戳記,或是在郵件標題前方,加上Forged Email Detection的警示。

當使用者經系統提醒,察覺郵件可能有問題,最好透過其他管道跟對方再次確認。(上圖為Cisco Cloud Email Security管理介面、下圖為趨勢Hosted Email Security管理介面)

 相關報導  企業雲端郵件安全解決方案採購大特輯


Advertisement

更多 iThome相關內容