CAC2.0助力企業主動防御郵箱盜號威脅
對于企業而言,如何主動防護郵箱威脅已成為企業郵箱安全的重要課題。Coremail作為國內頭部電子郵件產品與解決方案提供商,在郵箱安全防護上積累了多年經驗。近期,Coremail舉行了把脈2023年下半場—主動防御郵箱盜號威脅交流會。
本次交流會上,Coremail郵件安全產品經理分享了Coremail在郵箱威脅防御方面的綜合經驗。邀請嘉賓中圣科技(江蘇)股份有限公司(以下簡稱“中圣科技”)信息部莊劍劍老師還分享了高新技術企業的防盜號經驗,為其他企業提供了可借鑒的經驗。
交流會上嘉賓們都分享了哪些郵箱盜號威脅防御經驗呢?下拉查看直播精華!
?
郵箱盜號攻擊的威脅分析
郵箱盜號常見方法
一直以來,各行業的郵箱管理員一直受到郵箱盜號威脅的困擾。由于郵箱盜號的成本低且高效,在黑產團伙中被廣泛應用于企業攻擊。郵箱盜號的攻擊手法通常可以分為三類:暴力破解、非法網站密碼泄露和社工釣魚。
Coremail之所以將CAC2.0打造成一個綜合型郵箱防護產品,是因為Coremail認為,反釣魚和防盜號是密不可分的,兩者需要形成一個安全閉環,才能最大程度地減少盜號威脅。
成功攔截釣魚郵件可以有效降低郵箱盜號的概率,相應地,郵箱盜號概率降低了,域內收到的釣魚郵件數量也會可預見地減少。
郵箱盜號威脅
攻擊者成功盜取郵箱賬號后,在潛伏時,通常具有很高的隱秘性,用戶可能在毫不知情的情況下被監控。一些管理員可能認為被盜賬號最多只會被用于群發釣魚郵件,然而實際上郵箱盜號威脅遠比我們所見到的更加可怕。賬號被盜不僅僅意味著失去對賬號的管理權限,還可能面臨被監聽、被冒充和騷擾等風險。
交流會上Coremail郵件安全產品經理覃開源結合近期郵件安全團隊收到的盜號案例,分析了攻擊者的攻擊手法和還原攻擊視角。更多盜號案例講解請上Coremail管理員社區觀看回放。
防盜號升級——CAC2.0助力異常賬號告警研判
郵箱賬號被盜后,讓郵箱管理員惶恐不安的是攻擊者利用被盜賬號實施非法操作的潛在未知性。
CAC2.0是一個綜合型的郵件安全云產品,具備威脅郵件強化檢測能力、可疑登錄攔截、登錄/發信異常告警和本域威脅態勢感知等功能,為郵箱管理員提供整體的數據面板,讓管理員能夠全面監控觀察本域整體的安全情況。
Coremail堅信反釣魚和防盜號形成安全閉環后,才能最大程度減少盜號的發生。
在反釣魚方面,CAC2.0和CAC1.0都對接收郵件進行加強的語義和URL威脅分析,并且能夠對識別出來的郵件進行檢測和分類。相比于CAC1.0,CAC2.0進一步強化了這些功能。此外,CAC2.0還提供釣魚郵件實例情報,通過每個工作日給郵箱管理員推送典型案例,助力郵箱管理員增強釣魚郵件甄別能力。
在防盜號方面,CAC2.0通過監測和分析用戶的登錄和發信行為,實現了對風險登錄的攔截和賬號異常的告警。同時,CAC2.0還提供了詳細的信息,以便郵箱管理員進行進一步的研判和處理。
可疑登錄攔截
風險IP情報庫收錄了存在暴力破解行為、大量外發垃圾釣魚郵件、已被公開的情報標記為黑的IP等,累計超過138W、日活超過3W。CAC2.0通過風險IP情報庫實現可疑登錄攔截功能,為郵箱管理員拯救賬號爭取時機。
當攻擊者使用被CAC2.0識別為風險IP的IP登錄已失陷賬號時,即使郵件系統校驗賬號密碼正確,CAC2.0仍會攔截登錄并提示密碼錯誤。這會讓攻擊者誤以為賬號密碼已被更改,從而放棄進一步攻擊,為該賬號提供了暫時的安全保障。管理員可通過云服務中心的面板查看本域的可疑登錄攔截日志,如有誤攔,可對IP進行加白處理。
準實時告警
CAC2.0的準實時告警能夠幫助管理員快速判斷登錄異常和發信異常行為,并支持自定義通知策略,包括設置通知類型、通知級別和通知頻率等。當管理員收到CAC2.0分析的異常行為通知時,及時進行研判和排除,可以有效防止攻擊者傳播被盜賬號信息,避免進一步引來更多的攻擊。
登錄行為異常告警
CAC2.0能夠識別三種異常登錄特征:異地登錄類、風險IP登錄類和疑似被暴力破解類。
高危賬號的異常登錄行為通常在同一天內會多次出現異常登錄嘗試,并且登錄IP分布較廣,這種類型的高危告警通常具有較高的準確率,建議管理員通過查看賬號的詳細登錄痕跡進行綜合判斷。
CAC2.0的詳細登錄痕跡頁面為管理員提供了域內異常登錄賬號當天所有的登錄成功記錄,幫助管理員研判域內異常登錄賬號的異常登錄行為。
發信行為異常告警
即使攻擊者成功繞過可疑登錄攔截、準實時告警和登錄行為異常監測,成功盜取賬號,CAC2.0的發信行為異常告警仍能夠幫助管理員及時監測出被盜賬號。
當域內賬號突然出現外發垃圾郵件,例如釣魚郵件,結合賬號歷史的發信記錄,管理員可以確認為賬號被盜。CAC2.0提供了整體的發信記錄,通過發信主題、發信IP信息以及CAC給出的郵件定義情況,管理員能夠快速對賬號進行研判和處理。
幫助管理員預防賬號失陷和識別潛在風險
CAC2.0不僅提供對已經被盜賬號的監控情況,還能夠提供域內賬號被盜前、被攻擊時的信息,幫助管理員及時預防賬號失陷。CAC2.0基于風險IP情報庫,偵測攻擊者對本域賬號的攻擊,提供攻擊IP面板和攻擊記錄&被攻擊賬號面板,協助管理員了解本域的潛在風險。
推送典型威脅郵件案例,協助域內偵測
CAC2.0每個工作日都會向管理員推送當天的典型威脅郵件案例,是當天影響范圍較廣的案例。同時,CAC2.0還會根據推送的案例主題對域內進行偵測,若域內出現與推送案例相似的郵件,CAC2.0將為管理員提供相應收件人和異常行為用戶的信息。
釣魚郵件實例情報可以幫助管理員了解全網的威脅態勢和走向。當域內收到的郵件中出現類似情報中的釣魚郵件主題的內容,管理員可以及時進行偵測和研判,并采取相應的防范措施,確保域內安全。
高新技術企業如何反釣魚和防盜號?——基于CAC2.0的實踐經驗分享
中圣科技是一家高新技術制造業公司,擁有龐大的用戶數量,并且業務覆蓋國內外。在日常運營中,企業面臨著郵箱丟失信件和收發信件不穩定的問題,同時也頻繁受到暴力破解和釣魚郵件攻擊。企業每天收發郵件數量為5000封左右,其中22.7%是釣魚郵件和垃圾郵件,這給管理員帶來了很大的困擾。釣魚郵件不僅占用了郵箱的存儲空間,而且具有潛在的威脅性。
盡管企業內部每月都進行安全意識培訓,管理員設定了高強度的密碼規則、關鍵詞規則、發信人規則,并設置了黑白名單等防護措施,但企業員工的郵箱賬號仍然容易被盜取。這是因為企業員工對郵件安全意識的薄弱,郵箱密碼強度設置不夠強,對郵件真實性的辨別能力也不足,容易成為攻擊目標。
莊劍劍老師是中圣科技信息部的專家,他結合企業自身使用感受分享了防盜號的經驗。他很認可CAC2.0,對準實時告警功能尤為肯定,因為準實時告警能夠及時通知域內用戶的異常登錄行為和異常發信行為。管理員可以通過自定義設置通知策略來及時接收通知,并在云服務中心查看用戶的異常行為記錄,以便進行研判和處理。
自從使用了CAC2.0,企業基本上沒有再遇到過因賬號被盜而造成的經濟損失了,并且為管理員減少了賬號監測的時間和人工成本。
CAC2.0發展暢想——反釣魚與防盜號的安全閉環
CAC2.0將實現管理員、Coremail和用戶之間的閉環循環,引入與用戶層面相關的內容。未來的CAC2.0將在反釣魚和防盜號模塊方面進行強化和提升。作為一款云產品,CAC2.0具有處理海量數據的優勢,能夠快速響應。因此,在實驗室內測中,CAC2.0取得了積極的進展。
1.釣魚鏈接強化檢測
針對釣魚鏈接的強化檢測,CAC2.0采用了深度NLP模式。首先它對疑似釣魚郵件的內文進行初步判斷,并訪問內文中的鏈接。然后它將訪問到的網頁的視覺信息傳遞給計算機視覺模型。計算機視覺模型借助海量的大數據對網頁進行判斷,以確定是否為釣魚網頁,從而確認鏈接是否為釣魚鏈接。
目前,該功能仍處于實驗室內測階段,部分CAC2.0的客戶已經無感知地接入了該功能。
2.附件二維碼釣魚檢測
在Coremail客戶的授權下,CAC2.0可以對附件中的圖片進行檢測,并對附件中的釣魚鏈接進行強化檢測。附件中的二維碼釣魚檢測需要獲得Coremail客戶的授權方可進行。CAC1.0的客戶群龐大但其算法受限,因此附件二維碼釣魚檢測僅能在CAC2.0的客戶群中實現。
3.BEC告警
目前BEC告警功能仍處于實驗室內測階段,旨在捕獲疑似域名仿冒等BEC威脅。一旦觸發BEC威脅,CAC2.0運營團隊將進行審核并觸發郵件告警。審核內容包括比對仿冒發件人和算法匹配到的原發件人之間的相似長度,以及仿冒域名的注冊時間。在收到告警后,運營團隊會進行研判,并通知相應的郵箱管理員。
4.深度學習用戶收信特征
深度學習用戶收信特征功能即將進行內測,它能夠對用戶的歷史收信特征進行建模,對每一份來信特征比對畫像上的特征,從而有效降低誤判的可能性,確保安全策略和過濾規則與用戶的行為和偏好相匹配。
未來,CAC2.0的研究方向將集中在實現管理員、Coremail和用戶之間的閉環循環。這意味著用戶將參與防護工作,從而降低郵箱管理員的管理成本,并提高反釣魚和防盜號的效率。這種閉環循環模式將有效地加強企業的安全防護體系,提升整體安全性和響應能力。CAC2.0的發展將持續助力企業構建更加健壯的郵箱安全生態鏈。
