【郵件APT防護,是近年企業都很關心的面向】針對郵件APT的防護,運用雲端沙箱來防護已經是多數這類產品都強調的機制,還有像是重寫郵件內連結與即時URL偵測的技術,也是近年不少廠商的焦點。(圖中為Cellopoint Online Protection管理介面)

論及電子郵件威脅的安全問題,過往企業最憂心的是垃圾郵件與病毒郵件影響,普遍企業懂得要搭配防垃圾郵件與防毒功能的設備,只是,近年的電子郵件威脅早已經不是那麼單純,不論是勒索軟體、APT攻擊、BEC詐騙、釣魚郵件與社交工程手法等,也都利用電子郵件管道來突破企業與政府機關防禦,帶來極大影響,而過去已知威脅防禦的垃圾郵件過濾與防毒機制,已不足以防禦全新威脅,希望使用者自行識別所有不同的潛在威脅,更是無法想像。

因此,運用郵件安全與進階威脅防護產品,強化過濾與偵測,就是幫助企業面對這些威脅的新防禦性武器,也是有效率的作法。現在市面上,已有許多資安與郵件安全廠商提供的產品,可協助企業因應這些新興的電子郵件威脅,幫助企業過濾掉大部分的惡意郵件、釣魚郵件,甚至詐騙郵件等。

進階郵件防護當道,各式技術加持並整合威脅情資,防護更即時

基本上,郵件資安防護設備的功能,一直在隨著攻擊手法不斷變化,新增加不同的防護技術。從過往的電子郵件安全相關產品來看,功能從垃圾郵件過濾、郵件防毒到郵件稽核等都有,利用各式技術來攔阻垃圾郵件,並加入防毒廠商的防毒引擎來偵測,同時透過原則管控的設定,不僅是防護企業資料外洩,建立內寄外的企業郵件安全政策過濾,也能利用來阻擋外寄內的相關威脅,透過設定過濾條件的方式,例如將附檔類型為EXE的檔案,隔離且不允許進入郵件伺服器。

隨著各式郵件威脅的演變,加上現有的病毒變種的速度非常快、釣魚網站存活時間都很短,造成傳統郵件防護機制無法即時有效偵測現有的攻擊與威脅。因此,現在這些郵件安全產品的功能又更豐富,並聚焦於進階郵件威脅防護上,幫助企業面對新興與未知攻擊的偵測與防護。

例如,它們使用了靜態特徵比對、動態沙箱模擬分析,也加入APT防護的相關功能,以及關鍵的URL偵測技術,支援即時威脅情報分析,並且應用機器學習、人工智慧與交叉分析等技術;即使像是BEC詐騙這樣的攻擊,現在也看到有偵測與警示的機制,來提醒使用者注意;甚至還有啟用多重防毒與附檔內容威脅解除與重組的作法,這些各式不同技術,都是為了協助企業進一步過濾掉大部分的郵件威脅。

即便像是現在主要的雲端郵件服務業者,不僅是將防垃圾郵件與防毒功能內建為基本功能,同時也會預設封鎖一些不安全的副檔名附件,像是.EXE、.JAR、.SCR、.VBS等,近年還增加了.JS,避免使用者直接收到這類檔案的風險,用戶也不用像傳統方式需要一一設定管控原則。

另外,關於釣魚郵件可能竊取企業郵件帳號,除了依靠系統攔阻這些釣魚信與釣魚網站,在網頁郵件帳號安全的保護上,也是企業不容忽視的一環。像是啟用雙因素認證,讓登入時需多一道驗證程序,還有像是設定合法連線的IP位置、異常登入警示等機制,都是讓企業能夠更主動去防範帳號遭盜用的機制。

還有像是為避免企業郵件遭冒名的風險,也可透過這些郵件及其安全防護產品,來增強電子郵件往來的安全性。舉例來說,像是可啟用郵件加密功能,將整封郵件或附件加密保護,以確保郵件的機密性;或是導入郵件簽章功能,確保郵件的完整性、身分鑑別及不可否認性,又或是使用SPF、DKIM、DMARC來驗證雙方電子郵件等進階機制。

設備部署方式彈性,價格門檻也比想像中要低

對於電子郵件威脅日益嚴峻,因此,不論企業規模大小,都應採取行動積極強化自身的郵件安全,現在市面上也有不少郵件安全閘道類型設備與雲端服務可以選擇,可以建置在企業內部,或是透過雲端部署整合Office 365、G Suite等企業雲端郵件服務,相當彈性。更值得注意的是,這類產品的價格如今也沒有想像中貴,即便小企業也應該有能力可以購買。

舉例來說,本土廠商網擎的雲端產品MailCloud郵件安全防護包,每人每月價格只要50元,如果是一間50人的企業,每月就是2,500元,一年下來,3萬元也差不多是一臺電腦的價格;或是另一家本土廠商Cellopoint雲端產品COP的進階版,每人每月也只要100元,就能提供郵件網址與郵件附檔過濾的APT防護功能,而且,通常購買授權數越多也會有更多折扣。

當然,各廠商各有所長,功能面向也有大有小,就看客戶需求和能力的考量。接下來,我們也實際接觸一些廠商,將概略介紹他們產品的防惡意郵件、釣魚郵件的功能,以及相關特色。

本土廠商積極增加新防護技術,開始具備威脅情資整合,應用沙箱分析、機器學習等能力

基本上,提供郵件安全產品的臺灣本土廠商不少,例如這次我們介紹的4家廠商:Cellopoint、網擎、眾至、中華數位。

Cellopoint

電子郵件經常是許多APT攻擊所利用的主要管道,國內郵件安全防護廠商Cellopoint,也提供多種對應的防護方案,包括自建方案的Email UTM設備,以及雲端郵件安全服務Cellopoint Online Protection(COP)。

在防護特色上,CelloPoint強調五層縱深防禦,從防垃圾信功能,過濾大量廣告信、垃圾郵件、退信攻擊、DDoS攻擊,到防毒功能過濾已知病毒、惡意程式與勒索軟體,還包括防APT附件與連結,以及BEC詐騙偵測的功能。

其中,又以APT防護功能最受注目,主要分成郵件附件與郵件網址過濾兩大部分,像是透過雲端沙箱惡意程式,以及重寫未知可疑網址,導向CelloCloud即時比對,郵件內嵌URL的釣魚及偷渡式下載連結檢測。

網擎

長期發展郵件系統的廠商網擎資訊,除了自家Mail2000郵件伺服器與MailCloud雲端郵件產品外,也提供了電子郵件安全的閘道產品MailGates,以及具有雲端版本MailCloud郵件安全防護包,來增強電子郵件的安全防護功能。

對於惡意威脅的防護,網擎主要藉自家的Openfind Cloud Protection與MailCloud蒐集的信件樣本,對於惡意連結的防護,也與全球性釣魚網站資料庫同步更新,即時防止釣魚信件發生。較特別的是,他們提供了像是純文字遞送、移除JavaScript、顯示外部連結網址的功能,可減少使用者受到釣魚郵件欺騙的機率,並也能藉由點擊偵測並引導至警示頁面,

另外,對於釣魚網站變化之快的威脅,網擎未來也將開發連結點擊威脅紀錄的功能,讓收件人點擊的連結先導到MailGates並記錄,若經過一段時間資料庫更新發現該連結為釣魚網站,事後將發送信相關報表告知企業管理者。

降低郵件內的惡意網址威脅,作法多元

為了對抗惡意郵件與釣魚郵件,也有郵件安全產品提出不同的作法,例如可去除郵件中的連結,僅顯示網址文字,不讓使用者輕易點選,另外也能藉由點擊偵測並引導至警示頁面。(圖為網擎MailCloud郵件安全防護包方案的管理介面)

眾至

在本土廠商眾至提供的郵件伺服器MS-6430+產品中,也提供了多項防護機制,主要強調信件異常寄送偵測模式、內文URL解析、自動學習資料庫與郵件安全簽章。

其中較具特色的功能,像是利用了IP反解驗證、灰名單、系統黑白名單、SPF驗證,以及結合卡巴防毒機制與DKIM驗證來阻擋釣魚信件攻擊。並強調自家的信件異常寄送偵測模式,透過規則條例的設定,可針對主旨、副檔進行深入解析動作。他們也利用垃圾郵件分類引擎,自動學習SPAM和HAM(非垃圾信)的信件特徵,來協助識別各式惡意程式或病毒。

中華數位

中華數位也是不少國內企業都很熟悉的郵件安全廠商,在郵件安全產品SPAM SQR之中,強調可快速更新惡意網址資料庫,針對郵件內容及附件內容進行掃描,也具有置換可疑超連結的機制,同時還加入智慧型詐騙郵件行為特徵檢測,可針對像是匯款詐騙、冒名偽造網域的社交郵件防禦等做到郵件警示。

較特別的是,不僅是透過威脅行為控管的功能,將惡意連結和惡意附檔隔離在系統上,SPAM SQR還能提供威脅指標統計和威脅帳號的資訊揭露,像是外發郵件異常、外發威脅郵件、點擊惡意連結、密碼強度不足等行為,方便資安弱點評估。

國際級廠商整合的威脅情報遍及全球,對於延伸的上網安全防護也更為周延

對於郵件安全防護,許多國際級廠商也都有提供相關解決方案,例如這次我們介紹的6家廠商:Cisco、FireEye、Forcepoint、微軟、Sophos,與趨勢科技。

Cisco

網路設備大廠Cisco提供了可建置在企業內部Email Security Appliance,有實體與VM版本,另外也提供Cloud Email Security雲端服務,提供彈性部署的環境。

由於Cisco先前併購了市面上知名的安全技術廠商IronPort,因此產品本身也延續了既有的電子郵件與網頁安全功能,且,而且後來也併購了威脅情報研究公司Talos,每天可分析6千億封郵件,而能具備強大的威脅偵測及反應能力。

近年他們主打的是進階惡意程式防護功能(Advanced Malware Protection,AMP),主要針對郵件附檔的安全,提供動態沙箱分析,強調以實體環境偵測,防止反沙箱的技術,並透過檔案信譽與分析檔案指紋,同時與Cisco Talos全球威脅情報服務比對,同時還有兩個引擎可分析檔案子從關係,以及分析檔案特徵值與行為。

特別的是,還具有業界少見的事後防護機制,可針對放行的郵件附檔持續分析與記錄檔案活動,日後系統若察覺同樣檔案發作情形,可主動通知或移除。

BEC詐騙偵測成為近年郵件安全防護新特色

針對近年的BEC詐騙,現在許多郵件安全產品也會強調BEC詐騙的偵測能力,像是可在偵測到高階主管信件可能有冒名問題時,會在郵件標題自動添加「Possibly Forged」的提示,可提醒用戶注意。(圖中為Cisco Cloud Email Security管理介面)

FireEye

國際資安大廠FireEye也提供了EX系列和Email Threat Prevention Cloud,強項是利用沙箱技術,判斷釣魚或APT等攻擊。它們主要分析項目包括:Live模式的惡意連結檢測、偽造網站檢測、加密/壓縮檔案檢測,以及APT攻擊檔案檢測,並藉助自家DTI動態情報威脅平臺,以及Mandiant的調查結果,來加強防護準確度。

特別的是,FireEye還強調提供了保留郵件Metadata 24小時的機制,如果其他地方發現該郵件有問題,則能夠在系統上標註該郵件為威脅郵件。另外,他們也強調與全球威脅情報資訊iSight Partners公司合作,整合多種情報來源。

Forcepoint

以網頁安全防護聞名的Forcepoint(前身為Websense),也提供電子郵件安全的產品Email Security,並具有雲端版本Email Security Cloud。他們產品的主要功能特色是,整合Forcepoint網址分類情資庫,當郵件內含指定阻擋的網址類別,則將郵件予以隔離,可辨識是否為釣魚網站或惡意網站。

基本上,這幾套產品具有防垃圾郵件、防假冒郵件、防病毒郵件的功能,提供內嵌網址過濾、真實附檔類型過濾、動態沙箱等郵件威脅防護技術,較特別的是,並在惡意程式偵測引擎機制中,具有Raytheon公司的國防等級先進威脅情資,能憑藉在國防領域蒐集的大量攻擊樣本,強化阻擋進階變形APT郵件的偵測效果。未來產品功能的強化面向,也將放在BEC防護、雲端部署,以及整合UEBA。

微軟

近年主打Office 365平臺的軟體大廠微軟,在雲端郵件威脅防護上,他們也強調內建Exchange Online Protection(EOP),可以做到基本的自動垃圾郵件篩選與病毒過濾。

對於更進階的郵件威脅防護,微軟也提供了Advanced Threat Protection(ATP)的技術,這是一項屬於EOP模組的選購功能,主要強化對於未知惡意攻擊的偵測能力,像是郵件附件與郵件網址過濾,並強調使用了各種的機器學習與分析技術。另外,現在還有看到有詐騙偵測功能,以及進階反釣魚功能。

Sophos

防毒大廠Sophos也有郵件安全防護相關的解決方案,像是Sophos Email Protection強調具有多樣偵測技術防範最新惡意攻擊,可透過自家SXL(Sophos Extensible List)技術,從SophosLab取得最新的安全威脅資訊,且單一設備整合防病毒郵件、防垃圾郵件、郵件加密、沙箱防護的功能。另外,值得一提的是,不少廠商的郵件安全產品中,也都會搭配搭配Sophos防毒引擎。

趨勢科技

國際資安大廠趨勢科技對應郵件安全防護的產品提供,可說是最為豐富,包括像是郵件閘道產品InterScan Messaging Security Virtual Appliance(IMSVA)、Deep Discovery Email Inspector(DDEI)、以及雲端郵件防護產品Hosted Email Security與Cloud App Security for Office 365。

透過這些產品,可以提供基本的病毒碼比對、執行檔攔阻、惡意網址比對能力,也帶來了沙箱技術的惡意檔案分析、惡意連結分析、壓縮密碼猜測、惡意連結改寫,還有像是加入機器學習。而且,這些系統本身皆具備商業郵件詐騙BEC防護的能力。

針對郵件附檔的清除重組技術,開始興起

對於郵件安全防護,近年我們還看到了另一種作法,有廠商運用檔案內容威脅解除與重組(CDR)技術,並提供對應的郵件安全產品。在此機制之下,提供了不同於傳統的特徵碼偵測作法,像是將郵件附檔格式中的每個組成元件拆解,把其中可能執行程式碼的元件清除,如果沒法清除的部分則以注入亂數的方式,使之無法執行,而不向過去的防毒技術,僅能做到攔截、隔離,可以因此影響使用者所要存取的檔案。

同時,應用這類技術的廠商,也強調具有多重防毒的能力,不像多數郵件安全產品,通常只提供1到2種防毒引擎。

OPSWAT

在臺灣市場最早開始引進CDR產品,是資安公司OPSWAT提供的郵件安全軟體Metadefender Email Security,可主動將附檔文件內的任意Scripts指令碼與巨集移除,防止透過文件及圖檔偷渡各種威脅,同時重組還原文件內容,維持郵件附檔的正常使用性,目前支援超過100種檔案格式。

它所具備的複合式掃描技術,最多可同時支援30種防毒引擎掃描,並藉由自家特製的最佳化技術,加速掃描時間,結合多家不同的防毒軟體之所長,增加對於已知型威脅的防護偵測率。而且,只要一家防毒偵測出問題,系統就會依據預設處置動作隔離或刪除。另外,這套產品也內建超連結檢測的機制,像是顯示的網址文字與實際超連結不符,系統就會自動移除超連結,僅保留文字。

Votiro

另一家主打CDR的新興資安公司Votiro,近期主打Secure Email Gateway(SEG)郵件安全閘道產品,可清除PDF內夾帶的JavaScripts指令碼、Office文件的巨集與使用的OLE嵌入物件等。

而且,更是強調自家專有CDR技術的支援性與防護能力,像是已經能夠支援超過130種檔案格式,不論是一般文件類型微軟Office與PDF檔、壓縮檔、圖檔與電子郵件系統所產生的MSG與EML檔,甚至AutoCAD圖檔格式也能做到防護。同時,這款產品也有強調多重防毒引擎偵測,目前提供6種防毒引擎供選擇,可同時搭配掃描。

檔案內容威脅清除與重組技術興起,協助郵件附檔安全

針對郵件附檔安全,現在也有業者運用檔案內容威脅清除與重組技術(CDR),來針對微軟Office、PDF、圖檔文件等類型,自動移除任何檔案指令碼與巨集等潛在威脅,並還原成可用的檔案。(圖為Votiro SEG的SMD-Admin管理介面)


Advertisement

更多 iThome相關內容