你的邮件真的安全吗？

邮件是一个对个人和机构信息安全影响巨大的应用。个人往往容易收到各类垃圾邮件和精心伪装的网络钓鱼邮件，这些垃圾邮件和钓鱼邮件中经常会夹带病毒、木马程序、恶意链接和勒索软件等各式恶意代码。当前的钓鱼邮件通常采取点击诱骗、提供登录入口、内嵌附件、持续性欺骗以及高度定制化的方式来诱骗邮件接收者。而邮件接收者则出于好奇、害怕和紧急这三个最主要的人为感情因素而遭遇欺诈。

RaaS的用户定制截图

总体而言，个人用户的警惕性不高，勒索软件的精心伪装和诱惑邮件系统安全，对高危漏洞/零日漏洞的利用以及缺乏邮件检测过滤防护系统是勒索软件获得成功的主要因素。对于金融行业而言，勒索软件将是近期一个需要注意的方向。美国联邦金融机构检查委员会（FFIEC）和金融服务业协调委员会（FSSCC）在2015年晚些时候向美国金融服务行业就勒索软件单独发布了特别警告。而根据美国SANS机构的2016年底的一份针对金融行业机构的调查报告显示55%的机构认为勒索软件超越网络钓鱼（50%）成为首选的安全威胁之一。

传统邮件安全防护措施的不足

随着攻防双方的技术提升，攻击者在对金融机构发动攻击时会发现，由于金融机构较之一般企业机构更为重视信息安全，攻击者如果采取正面直接攻击互联网业务系统的方式则往往难以成功。攻击者针对金融机构的攻击更倾向于利用社会工程学通过钓鱼邮件并结合零日漏洞和恶意代码的这类攻击方式攻击渗透进入机构内部。

“邮件病毒查杀”是一个主要的检测和阻断恶意代码攻击的手段。但是实践的过程里常规病毒查杀引擎存在着三个主要问题：

其一，因为加载和运行能力的限制，病毒查杀引擎并不能完全检测出已知的恶意软件。

NTT Group 检测报告

其二，零日漏洞代码的利用以及其后采取多态和变形的高级攻击逃逸技术使得传统基于特征签名为基础的查杀引擎难以发现这类高级威胁恶意软件。

其三，此外攻击者对零日漏洞的快速利用，以及用户端检测引擎更新的落后时效性也使得传统的病毒查杀引擎在应对恶意代码上检测上显得更为乏力。

绿盟金融行业邮件安全解决方案

攻防技术思路

针对网络钓鱼、APT攻击、勒索软件，国内外安全界曾经提出了多种不同的检测或预防技术，安全厂商往往使用这些方法的组合来进行分析监测。这些技术包括：

?采用深度包检测进行网络分析，如：

?恶意软件的命令和控制通道检测

?基于可视化、报警等进行手动分析

沙箱技术是Gartner提出阻断邮件威胁的高级技术和方法

该方法利用一个操作系统或浏览器实例，发起建立一个虚拟的执行容器（或者称为一个沙箱），使恶意软件和恶意链接在其中执行，就像在真实的用户环境一样。这种方式可以有效的邮件正文中的恶意链接以及邮件附件中的含有未知恶意代码的文档（如office文档、PDF、可执行文件、脚本文件等）进行检测。

绿盟邮件威胁分析系统

绿盟邮件威胁分析系统，英文名称为NSFOCUSThreat Analysis Center for Email（以下简称TAC-E），该产品是专门检测邮件高级威胁的网络沙箱类安全产品。该产品主要针对包含未知威胁代码的鱼叉APT攻击和勒索软件两大类高级邮件威胁。

产品体系结构

TAC-E系统采用多核、虚拟化平台，通过并行虚拟环境检测及流处理方式达到更高的性能和更高的检测率。

产品主要功能

产品主要技术特点

NSFOCUS TAC-E 信誉交互过程图

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!