面对如此肆虐的盗号现象和即将到来的攻击暴破高峰期,各行业应该如何应对防护邮箱安全呢?Coremail邮件安全团队又给出了哪些解决方案呢?
邮箱账号安全解决方案Coremail邮件安全解决专家曾鑫在本次直播交流会上披露了企业邮箱账号安全的两大攻击方式,暴力破解和钓鱼邮件攻击。
攻击者的攻击暴破规律是通过全域的暴力破解进行广撒网,获取到企业存在弱密码的员工账号,再对获取到的员工账号内的通讯录进行精准的钓鱼邮件攻击,最后对安全意识薄弱的员工进行银行卡盗取等行为进行成果转换。
邮件安全解决方案专家曾鑫在直播中演示了条件限制下的邮箱盗号攻击场景。在演示过程中,面对批量群发的钓鱼邮件攻击,曾鑫预告全新升级发布的防暴卫士2.0的防范效果大大提升 。
防暴卫士2.0的响应时间从原先的24小时通知,变成了15-30分钟的准实时告警,这是防暴卫士2.0一个巨大的提升点。全新升级的防暴卫士2.0,分别应用两套算法模型演算“登录行为异常”和“发信行为异常”账号,同时支持管理员自定义设置通知策略,选择通知方式(邮件、短信)和频率。
对于企业面临的邮箱账号盗号问题,Cremail邮件安全解决方案专家曾鑫基于CACTER邮件安全网关、CAC2.0、反钓鱼演练等产品与服务提出了账号安全防护体系。
防暴卫士2.0全新发布本次直播会的“重头戏”当属新老客户关注已久的CAC2.0核心升级,此次CAC2.0升级内容集中在防暴卫士,解决了一年多以来客户提及到的使用需求。
Coremail邮件安全产品经理覃开源和周婷表示,全新一代的防暴卫士2.0更好地利用了CAC反垃圾反钓鱼的数据,并对登录行为异常和发信行为异常进行区分。
历时一年多的风险IP情报库也建立完成,可应用于拦截可疑登录,相比之前的SVM等算法模型,使用风险IP情报库进行拦截的实操性和准确率相对较高。
亮点1:登录行为异常和发信行为异常常新一代的防暴卫士2.0将登录行为异常和发信行为异常分为两个板块,这两个板块已实现准实时分析频率。
登录行为异常保留了原来的总览面板和详情面板。当管理员在总览面板看到某一账号被披露近期疑似被暴破或非常用地登录,可以进到详情登录痕迹页,查看异常账号的登录成功日志,对疑似账号进行初步判断,再跟账号所有者进行核实,最后可以锁定该账号是否被盗号。
登录异常风险描述还增加了非常用地登录成功和非常用设备登录成功行为识别。而CAC2.0后续的产研计划将会不断丰富登录异常行为识别类型。
防暴卫士2.0实时监测用户发信记录,统计账号发信类型,并直观披露账号发信情况。如果一个账号在历史有被盗号的记录,并且攻击者频繁使用该账号,那么可以通过该账号的发信行为来进行判断分析该账号是否再次被盗。
亮点2:准实时告警警当账号疑似被盗时,管理员该如何及时收到通知进行评断呢?
本次防暴卫士2.0的升级中,新增了通知管理这一大模块。管理员可设置通知策略,支持不同账号危险级别通知预警。
比如,将高危账号设置为短信方式的准实时通知,中低危账号设置为以邮件形式的24小时预警通知。还支持设置不同通知方式、不同通知频率和多个通知用户。
亮点3:风险IP情报库库目前风险IP情报库的日均活跃风险IP高达3W,累计捕获风险IP数为超过138W。
风险IP情报库捕获收录IP的类型可分为两种。第一种,有暴力破解行为记录以及破解成功后外发垃圾邮件的行为的IP;第二种,已经被公开情报标记的黑IP。
可疑登录拦截应用了风险IP情报库的数据。当攻击者登录已泄露账号时,即使密码正确邮件系统放行,CAC2.0仍然会拦截其不允许登录。管理员可上云服务中心查看拦截日志,当发现拦截日志中有本公司IP时,可将该IP添加至IP白名单。
本次升级对攻击IP&攻击记录的面板进行了调整,将这两个板块整合起来,方便管理员查看本域攻击IP情况,以及可到攻击记录页面查看IP攻击的具体账号和详情。攻击情况还可查看某一账号被哪些IP攻击过,做到了双向溯源。
亮点4:全新态势面板板全新的态势面板增加了登录请求类型分布、登录拦截趋势和数量、疑似被盗账号高危趋势、高危暴破以及威胁榜单。这些态势面板可以帮助管理员在短时间内掌握本域账号安全和整体情况。
关于更多防暴卫士2.0的升级介绍可上Coremail管理员社区观看直播视频回放,而关于防暴卫士2.0的功能优化情况,还需各位管理员亲身体验才能更好地领会到。
2022年度反钓鱼演练报告发布本次【聚焦盗号,企业邮件安全的威胁分析与应对】直播交流会上,我们有幸邀请到上海易念信息科技有限公司副总经理兼首席专家谢超首发布《2022年度反钓鱼演练报告》。
直播会上,谢超首老师为大家讲解报告内容,并分析了国内钓鱼模拟演练的状况和企业开展反钓鱼演练的重要性。