有数据显示,约90%的黑客攻击从邮件发起,引诱用户点击恶意链接从而窃取重要数据信息,邮件安全防护始终面临艰巨挑战。
基于邮件这种通信形式的存续时长和使用频率,用户对于邮件安全的关注度从未减少,诸多企业建设了以邮件网关为主、自带的安全程序为辅助的传统邮件防护体系,在终端会加上EDR进行事后发现阻断,但从效果来看并不能完全满足飞速变迁的防护需求。
传统邮件防护难以满足持续性攻防对抗需求
随着近些年攻击技术的不断发展、网络实战化的要求不断提高,传统的静态边界防护已经无法满足动态变化、持续性的攻防对抗需求。主要暴露的问题有以下三点:
邮件安全告警繁多且分散。邮件网关、安全程序产生大量告警、但告警窗口分散在各个系统中,告警信息彼此割裂,在未经过滤的海量数据中进行研判导致效率低下;
邮件攻击无法自动关联。邮件网关、EDR等传统防护设备只能发现攻击,无法将单点攻击自动关联生成完整的攻击链;
邮件攻击无法拓线形成追踪闭环。针对邮件攻击链中发现的线索,缺少有效的调查手段,无法拓线挖掘潜在威胁,事件追踪无法闭环导致定性取证困难。
客户案例
“某关基单位的安全运维部门接到员工反馈疑似收到钓鱼邮件,经排查发现该邮件绕过了公司邮件网关的查杀,但安全人员无法进一步快速确定该钓鱼邮件影响范围、是否二次扩散以及受害者是否已经中招等情况,导致排查进展缓慢。
科来通过从攻击者和受害者不同的视角,自动关联邮箱账号及登录IP的邮件攻击行为与网络异常行为,形成完整攻击链,帮助用户快速梳理分析出钓鱼邮件影响面及扩散范围,完成事件闭环追踪,消除了由此次钓鱼邮件衍生的潜在风险。 ”
掌控邮件风险全周期 提升邮件安全实战力
科来邮件攻击检测与溯源解决方案通过采集邮件旁路镜像流量,对邮件账号、常登录客户端、邮件服务器等邮件实体的长期行为进行数据统计及画像,形成邮件实体风险画像,基于邮件画像的细粒度元数据指标对邮件内容、邮件账号进行精细化安全检测,并自动关联与邮件相关的后渗透攻击行为,生成完整攻击链,提升邮件安全整体感知及攻击溯源能力。
用户价值一:实现邮件风险全维度监测
赋能用户掌控邮件风险全貌,实现攻击告警自动聚合,可覆盖邮件账号、邮件内容、邮件攻击的全维度检测,有效检测钓鱼伪造、异常账号、敏感邮件、邮服漏洞利用等邮件风险。
用户价值二:实现邮件攻击全追踪溯源
帮助用户快速评估邮件攻击危害范围,完成事件闭环追踪,降低潜在风险,辅助邮件攻击事件后续的攻击路径梳理,提供用户取证、拓线挖掘能力。
方案优势
邮件检测范围广、统计指标丰富
包括邮件账号检测、邮件内容安全、邮件服务器等相关邮件风险检测的全维度覆盖,全流量采集邮件历史活动,统计指标丰富,形成完整的数据统计及画像。
线索自动聚合、攻击路径自动关联
风险邮件资产的证据按时间线自动聚合,并展示其研判证据。同时支持智能检索钓鱼邮件的上下游攻击,自动关联生成攻击路径。
多行为邮件攻击路径拓线挖掘、实现完整闭环
支持挖掘邮件攻击路径中资产对象的历史全量访问关系、威胁事件、处置历史等行为,帮助发现潜在威胁,完成事件追溯闭环。
准确、高效检测邮件异常行为
基于邮件画像能力、长期的邮件行为数据积累,能够更有效地发现及识别异常邮件行为,包括识别异常邮件客户端程序、恶意命令利用等隐秘操作。
科来邮件攻击检测与溯源解决方案通过对邮件风险的全维度监测、对攻击告警的自动聚合,提升锁定风险邮件效率,让用户看清邮件风险全貌,及时发现潜在威胁。同时,为用户提供取证、拓线挖掘能力,快速评估风险,整体提升用户邮件安全攻防实战能力。