首页>动态 >内容

云端邮件安全服务兴起聚焦APT防御

动态2021-03-05 12:03:33
最佳答案

企业应用云端邮件服务时,像是微软Office 365平台的Exchange Online与Google G Suite等,往往会担心相关安全防护功能是否到位,就像企业自建邮件系统主机时,通常也会搭配硬体或软体式邮件安全闸道,强化内建安全与外寄管控力,而在云端邮件服务上,想要强化使用者收发信的安全,如今也有不少选择。

随着云端安全应用日益盛行,现在一些电子邮件安全厂商,也以云端方式提供服务,对于企业用户来说,考量企业邮件上云时,也就能有更多选搭第三方技术的组合性,而且,这类产品同属云端服务,因此也具有快速部署,并带来简化软硬体维护的优势。

因此,如果企业想要导入云端邮件服务,又不想只依靠邮件服务商,所提供的内建安全功能与加值方案,或是想选择其他专业电子邮件安全厂商的服务,就可透过搭配方式组合。

我们这次共介绍了5家厂商推出的电子邮件安全云端服务,像是基点资讯Cellopoint Online Pretection、Sophos Central Email Standard、HDE One、趋势科技Hosted Email Security与Cisco Cloud Email Security。让你了解这些产品的防护面向与特色。

进阶威胁防护成为普遍内建功能

以运作架构而言,简单来说,这类电子邮件安全云端服务的设置上,主要透过的方式,修改DNS的MX记录指向,让企业收发的电子邮件,都能多经过一层云端安全闸道的防护。而且,这类电子邮件云端安全服务都是SaaS应用,同样不需企业编制专属人力维护,要获取最新防护技术与功能强化,也更容易。

就这次我们接触的电子邮件云端安全厂商而言,防护功能各有所长,涵盖的面向也有不同差异。

像是趋势、Cisco与网擎的云端服务功能面向较广,内寄外送都有管控原则可以设定,而基点与Sophos的产品着重在收信安全的防护,但没有DLP相关功能。基本上,这些产品其实都能对应企业自建与SaaS邮件服务,应用範围广。

还有一些功能面向也很特别,像是HDE的产品,在邮件DLP与备份功能之外,还结合了存取管控的机制,以强化登入与装置验证的能力,并以企业云端邮件服务为主要支援对象,而Sophos额外提供的钓鱼测试信服务,也是市场上少有的解决方案。

接下来,让我们逐一了解这些产品的功能与特色。

强化邮件APT抵抗力,可透过云端安全服务防护

针对邮件APT防护,近年不少厂商应用云端沙箱来防护,还有重写邮件内连结的技术,并让企业使用者能够方便地查看APT资讯,了解详细资讯。(图中为Cellopoint Online Protection管理介面)

从存取控制防护企业云端邮件的资讯洩漏

防止企业云端邮件遭不当存取或登入,导致邮件资讯洩漏,也有厂商针对提供存取管控的防护,并搭配安全浏览器与装置凭证的机制,相当特别。(图中为HDE Access Control管理介面)

增加更多元的恶意邮件威胁防护技术,是近年各家业者发展的一大焦点

在这次介绍的5家邮件安全服务商中,有4家都能提供内寄邮件威胁防护功能,包括基点资讯、Sophos,以及趋势科技与Cisco的产品,只有HDE产品不具备,强调面向较为不同。

对于近年的恶意邮件威胁,可说是近年企业关注的邮件安全问题,也是近年来企业在意的资安防护重点之一。

针对近年钓鱼邮件与目标式攻击的手法,以及邮件中带有恶意连结与商用邮件冒用诈骗等,我们已经看到这些厂商开始提供对应机制。譬如说,在这些云端防护服务的后面,各厂商也积极建立全球威胁情报网;针对邮件APT防护上,像是基点产品也针对可疑邮件连结与附档,提供URL重写与云端沙箱侦测的方案,而在趋势与Cisco的方案中,也具备云端沙箱的防护技术,同时还针对变脸诈骗的攻击提供侦测能力。

 基点资讯  Cellopoint Online Protection

以发展电子邮件安全的本土厂商基点资讯(Cellopoint),近年推出了Cellopoint Online Protection(COP)云端安全服务,可帮助企业电子邮件提供垃圾邮件、病毒侦测。

强调从邮件发送特徵、行为趋势,以动态方式侦测邮件威胁,提供即时防御,防範传统防护机制难以侦测的APT攻击,像是可针对邮件连结与附件,提供未知威胁的侦测与拦截。

在贩售方式上,COP可分成标準版(Standard)与进阶版(Advanced),方便企业选择所需防护功能,前者包含防垃圾邮件与病毒过滤的功能,建议售价是每人每月60元,后者则提供APT邮件攻击防御机制,每人每月100元。因此,企业可以同时选购两者,也能只针对APT防护功能选择后者,相当弹性。

基本的应用方式上,主要是使所有电子邮件,都能经过COP云端安全服务的过滤。管理者不用太多设定,就能做到防护,企业登入Cellopoint提供的专属后台管理介面,即可检视隔离邮件区、病毒邮件区、APT邮件区,以及恶意网址隔离邮件区的内容,另外也可设定是否自动通知收件人有信被隔离。

这背后的防护机制上,CelloPoint建立了电子邮件全球威胁情报分析平台,以及多层次防护的架构。在基本防垃圾邮件功能上,提供可辨识正常的寄件端主机、阻挡自动发信程式、防止冒用他人邮件地址寄信等功能,以及防止DoS攻击影响邮件系统运作,防字典攻击等安全机制。

在病毒邮件侦测方面,COP标準版本身搭配的是Sophos防毒引擎,如果用户有更多病毒防护需求,这里还能支援其他防毒引擎,像是可额外选购Bitdefender防毒引擎。

这款产品的最大特点在于,具有APT防护功能,并且可以分成邮件网址与邮件附档过滤两大部分。

其中的邮件连结过滤,强调可侦测钓鱼与恶意连结,像是透过CelloCloud即时更新的最新威胁情资,进行静态比对,也会重写未知可疑网址,导向未知URL检查中心进行检查。

因此,当收件人将滑鼠游标移至邮件连结上时,就可以看到原始连结前方多了一段前缀网址,可导向CelloCloud执行动态即时比对。如果发现该网址具有威胁性,就会跳出警告页面,不让使用者前往。

在邮件附档的防护侦测上,COP提供云端沙箱侦测能力,可运用本身的深层检测DI(Deep Inspection)引擎拆解邮件标头、本文与附档,再将可疑邮件打包加密进行动态沙箱扫描,并透过全系统模拟技术,以触发与诱捕潜藏的恶意程式,最后回传至主控台后,利用关联式分析与威胁评分机制,以判别隔离或放行。

而且,这里的防护效果也很直观,COP后台介面已提供鉴识报告。举例来说,当COP侦测到一个最新的APT攻击邮件后,会将邮件送至隔离区,企业管理者从后台介面能够检视详细的APT资讯,包括恶意威胁评分、恶意档案名称、网路活动、恶意行为、执行程序与Registry历程等,相当实用。

Cellopoint Online Protection

● 原厂:基点资讯(02)8969-2558

● 建议售价:标準版每人每月60元,进阶版每人每月100元

● 支援邮件系统:微软Exchange Online/Office 365、Google G Suite,以及其他企业电子邮件伺服器平台

透过Cellopoint Online Protection,可针对使用者收到邮件中夹带的网址连结与附档,提供安全检查机制,防範未知攻击行为;而在管理后台的隔离区介面上,还能够查看详细的进阶威胁资讯。

主要特色:

1. 可直接选购APT防护功能,相当弹性

2. 提供邮件内可疑URL重写,用户点击即时检测

3. 邮件附档也有静态检测与动态沙箱分析,可进一步侦测全新未知威胁

 

 Sophos  Central Email Standard

由资安与防毒厂商Sophos推出的Sophos Central Email Standard,也是专攻邮件威胁防护的产品。

它是基于自家Sophos Central云端平台的服务,也可称为Cloud Email Security,与基点Cellopoint Online Protection服务的功能面向类似,主要强化邮件接收的安全性。

从防护机制来看,Sophos Central Email Standard的功能相当精简,主要强调垃圾邮件过滤,以及钓鱼与恶意程式防护,平台本身主要应用Sophos自身的垃圾邮件过滤与防毒引擎,同时也透过自家SXL(Sophos Extensible List)技术,从SophosLab取得最新的安全威胁资讯,像是防範最新垃圾邮件与动态检查网址等,拦截可疑内容或网址。它的建议售价是每人每年1,168元。

在这次介绍的电子邮件云端安全产品中,Sophos Central Email Standard的功能最单纯,方案也只有一种,企业用户管理设定也很简易,透过Sophos Central电子邮件闸道的仪表板介面,以及日誌记录与报告项目,可以检视所有邮件处理动作与安全状态,也提供记录,便于查询邮件动向。

这里也提供AD同步程式,方便针对公司网域使用者套用政策,在电子邮件安全防护的内容筛选上,也有不同内容种类设定与处置动作。

值得注意的是,Sophos Central云端平台上的邮件防护功能,并不像自家硬体式邮件闸道产品那样丰富,但仍有一些独有的特色。

像是紧急收信匣,举例来说,当企业使用的邮件系统发生问题,Sophos Central Email平台将能够为使用者保留寄来的信件,而不会退信,在这段期间当中,使用者就可以登入自助服务网页来检视电子邮件,确保邮件接收不至于中断。

另外,在提升使用者面对钓鱼邮件的防护意识上,Sophos Central平台中,也针对这样的需求提供了,可寄送钓鱼测试信件的云端服务Central Phish Threat,企业可独立选购租用,相当特别且少见,它的建议售价是每人每年1,330元。

Central Phish Threat的功能也很简单,可供企业不定期寄送钓鱼测试信,并内建不少钓鱼邮件範本,管理者透过报告可以检视哪些员工开了信件、点了连结,并且,能够立即警示并跳出影片,让使用者立即知道错在哪,做到即时教育的目的。

在电子邮件安全之外,其实Sophos Central平台本身也综合了多种面向的安全防护,像是防毒软体、网页安全闸道、企业行动管理、无线网路,以及电脑硬碟加密等,横向整合性高,而这也是Sophos与其他厂商的一大差异。

Sophos Central Email Standard

● 原厂:Sophos(02)7709-1980

● 建议售价:每人每年1168元

● 支援邮件系统:微软Exchange Online/Office 365、Google G Suite,以及微软Exchange 2003等

Sophos Central Email Standard的防护功能很单纯,强调垃圾邮件过滤,以及钓鱼邮件与恶意程式防护,另外也提供邮件记录能查询邮件动向,并有紧急收信匣的机制能确保收信不中断。

主要特色:

1.阻挡垃圾邮件、防毒设定不複杂

2.提供紧急收信匣,可在邮件系统服务中断时,保留寄来的信件,而不会退信。

3.另有可供企业寄送钓鱼测试信的云端服务,并提供报告与即时教育机制

 

 趋势  Hosted Email Security

如果企业用户想要更为丰富的电子邮件安全云端服务,资安大厂趋势科技推出的Hosted Email Security(HES)是一种选择,它的防护功能丰富且贩售方式单纯,範围涵盖防垃圾邮件、防毒,兼具APT防护技术与DLP资料外洩防护,功能相当全面。它的建议售价是每人每年1,500元,一次最少需购买50个授权数。

在Hosted Email Security提供的安全机制中,最大特色就是包含许多趋势自家的资安防护技术,像是搭配动态网路层邮件信誉评等服务Email Reputation Services(ERS),以及网页信誉评等服务(WRS),因此可在建立邮件连线时,侦知发信主机的安全等级,以及检视电子邮件中的恶意连结,而预设处置方式会放在隔离区。

HES本身也内含今年趋势科技主打的XGen防护技术,以机器学习能力侦测那些更难侦测的未知威胁,像是即时防御勒索软体的威胁,也可以针对钓鱼网址精準封锁。

HES也利用自家发展的进阶威胁扫描引擎(ATSE),来侦测文件漏洞攻击码,像是Adobe PDF、微软Office等文件中的进阶恶意程式,透过静态及行为分析逻辑来侦测;至于云端沙箱机制,HES也有,能针对可疑邮件进一步分析,做到恶意附档的模拟执行与分析,并强调很多元件都可与之搭配,提供动态即时扫描防护。

值得一提的是,HES还提供了新的社交工程攻击防护技术,内建了商业邮件诈骗(Business Email Compromise,BEC)的防护选项,可对应近年横行的变脸诈骗攻击威胁。一旦侦测到有问题,系统预设动作就会在邮件内加上文字戳记(Stamp),提醒使用者注意。这项社交工程攻击防护技术的背后,係藉由侦测与交叉分析,针对像是邮件标题、内文与递送资讯等,进而找出这类鱼叉式网路钓鱼邮件。

而在安全防护的设定上,HES的原则设定很方便,其中的邮件接收部分,已经预设了多项政策,可简化操作,管理者也可直接进入原则修改调整。只是,不像其他产品提供中文化管理介面。

值得一提的是,原本是HES选购项目的DLP功能,今年也改为内建,可协助检测邮件外寄内容,以拦阻机敏资料不至透过电子邮件管道外洩。这里的处置方式上,也提供了以密件副本方式发送给指定相关人员,以及隔离区的机制,让主管审核通过才能放行,并可设定一天3次的通知信提醒。

趋势Hosted Email Security

● 原厂:趋势科技(02)2378-3666

● 建议售价:每人每年1500元

● 支援邮件系统:微软Exchange Online/Office 365、Google G Suite,以及其他企业电子邮件伺服器平台

趋势Hosted Email Security的管理上,针对内寄、外送的政策管理预设丰富的过滤设定,像是针对商用邮件冒用诈骗的手法,也提供了相关原则设定选项。

主要特色:

1. 结合趋势自家多种资安防护技术

2. 可检视邮件中的恶意连结,支援云端沙箱扫描附档,具APT防护,并内建DLP功能

3.新加入社交工程攻击防护技术,可对应变脸诈骗攻击的威胁

 

 Cisco  Cloud Email Security

由网路设备大厂Cisco推出的Cloud Email Security(CES),与趋势HES同属防护功能较丰富的产品。

CES基本方案内建垃圾邮件、防毒功能,也提供了特殊的内容过滤机制,还有3个可额外选购的功能项目,像是进阶恶意程式防护,以及DLP与金钥加密等,让企业能弹性搭配。可惜,原厂并未提供建议售价,不像一般云端服务那样价格透明。

就基本安全防护特色而言,CES内建了併购自IronProt的防垃圾邮件等功能,并提供内文脉络自我适应的扫描引擎(Context Adaptive Scanning Engine,CASE),强化垃圾邮件过滤与网址分析的侦测技术。在防毒机制上,这里採用的是Sophos防毒引擎,并提供搭配McAfee防毒引擎的额外选项。

在CES的邮件防护功能中,有几个独到的机制相当值得一提,像是在内建的内容过滤技术当中,提供了Forged Email Detection,以及Macro detection技术,前者可对应商业邮件诈骗攻击,后者是能侦测内含巨集的Office档案。

举例来说,侦测到高阶主管信件可能有冒名问题时,CES会在邮件标题自动添加「Possibly Forged」的提示;若是附档Office文件格式包含巨集,CES将透过设定条件执行过滤,可让使用者在收信开启附档时,只会看到档案内容已经被系统清除的提示,相当实用。

对应更高层次的邮件防护面向,CES则提供了进阶恶意程式防护、DLP与金钥加密等功能,作为额外选购的项目。

这里所谓的进阶恶意程式防护功能(Advanced Malware Protection,AMP),主要针对邮件附档的安全,以Cisco Talos全球威胁情报服务为基础,并整合了併购自ThreatGRID而得到的技术,提供档案信誉、动态沙箱分析与追溯安全等功能。

在运作方式上,邮件附档会先经过档案信誉的比对,可疑档案还会再以沙箱来侦测其行为。原厂也强调採用实体沙箱环境,非以虚拟环境模拟,具有降低恶意程式反制沙箱侦测的能力。

与一般邮件APT防护的不同之处在于,Cisco在这里具备了档案回溯(File Retrospection)的技术,可针对放行的邮件附档持续分析与记录档案活动。日后CES一旦察觉到恶意行为,若使用者邮件服务採用的是微软Exchange Online,系统还能使用档案追蹤能力,自动透过微软开放的API,将原本没发现的威胁档案移除,相当特别。

至于DLP资料外洩防护功能,也是CES可额外选购的项目。像是可设定符合条件的机敏资讯无法寄到外部信箱,也提供隔离区的做法,让管理者可以决定放行与否。而在整体安全管理上,CES的管理后台介面上,也提供仪表板介面可针对邮件内寄与外发检视报告。

Cisco Cloud Email Security

● 原厂:Cisco (02)8758-7100

● 建议售价:厂商未提供

● 支援邮件系统:微软Exchange Online/Office 365、Google G Suite,以及其他企业电子邮件伺服器平台

在Cisco Cloud Email Security的管理后台中,企业管理者可针对邮件的内外收发制订不同管理政策,这里预设的过滤条件已经很丰富,其中AMP进阶恶意程式防护与内容过滤功能,是一大特色。

主要特色:

1.提供内容过滤功能可侦测变脸诈骗与巨集附档

2.提供进阶恶意程式防护(AMP),可针对邮件附档持续分析与记录档案活动,还能搭配邮件回溯机制自动删除。

3. 同时提供资料外洩防护选购项目

针对邮件资料外洩防护是另一条路线,甚至可扩及存取安全

针对企业邮件资料外洩防护,也是过去几年也常被强调的防护重点,侦测邮件是否夹带机敏资讯或个人资料,如邮件违反DLP 原则,系统会阻挡邮件寄出,或是需经审核通过才能放行。

在这5家邮件安全服务商中,有3家厂商提供,包括前面提到的趋势与Cisco产品,还有一家尚未介绍的厂商是HDE。它的防护不仅是运用DLP,特别是还提供了存取管控的机制,进一步强化资料外洩防护的涵盖範围,相当特别。

 HDE  HDE One

来自日本的HDE One邮件安全解决方案,主要搭配多款云端服务而成,包含了存取管控Access Control、邮件资料外洩防护Email DLP、邮件归档备份Email Archive,以及档案安全传输服务Secure Transfer。

而整体HDE One的搭售方式上,又可分成标準版与商用版,后者的差异是在存取管控服务中,多了装置凭证的功能。只可惜原厂并未提供建议售价,与Cisco作法相同,价格并不透明。

不同于多数电子邮件云端安全服务,都会提供邮件接收安全的防护,HDE One的主要应用是,提供存取管控与资料外洩防护的加值应用。其中的存取管控机制,更是一般主打邮件安全云端服务少有的功能面向,相当特别。

在存取管控功能方面,HDE主要针对Office 365与G Suite云端邮件服务,提供用户连线的进阶管理,以防止未经授权的存取或登入。同时,此管控机制也能应用在多项云端服务,并能带来SSO单一登入的便利性。

从这里的管控原则来看,HDE One提供了IP位置限制、OTP二阶段身分验证与安全浏览器的功能,企业管理者可制订原则,并套用在不同使用者及群组。

举例来说,像是限制使用者登入企业邮件服务时,所使用的电脑必须是在公司IP位置才能存取,一旦不符合存取规则,将出现无法登入的提示,同时也能启用安全浏览器的政策,当员工在公司外的网路登入时,就必须用HDE提供的安全浏览器,才能连上邮件服务,并还能够限制邮件附档无法下载,相当实用。看起来,这里也像是结合了企业行动管理产品的概念。

除了上述管制之外,今年HDE又增加了装置凭证的进阶功能,让使用者装置预先安装凭证在手机或电脑上,并提供个人凭证、多人凭证的登入类型,强化未知装置连线的防护,每人最多可配发5个装置凭证,当装置遗失时也能随时让装置凭证失效。

在邮件资料外洩防护服务的管控上,HDE One可针对外寄邮件进行机密敏感过滤、电子邮件审核与自动附件加密的功能,也提供延迟寄送的机制。这里的规则条件设定,主要是透过输入关键字与正规表示式来侦测,让符合条件的机敏邮件,可以经过审核程序才能放行,或是自动将邮件附档ZIP加密、密件副本给指定主管。

另外,对于邮件备份与大档传输的需求,HDE One也提供云端服务。前者具有容量无限制、不可删除的收发信即时备份空间,内建简易的搜寻介面与弹性管理权限设定;后者提供邮件附档过大时的档案分享应用,平台内建F-Secure扫毒功能,上传的档案也将压缩成ZIP档并加上密码防护,也有档案传输请求机制。

HDE One

● 原厂:HDE(02)2736-3223

● 建议售价:厂商未提供

● 支援邮件系统:微软Exchange Online/Office 365、Google G Suite

在HDE One Access Control的后台管理介面中,这里提供了丰富的存取控制原则设定,相当特别。同时,HDE One还搭配了邮件归档备份,以及资料外洩防护等云端服务。

主要特色:

1.提供邮件存取控制、DLP、备份归档与大档传输服务

2.存取管控可搭配安全浏览器与装置凭证等机制,强化资料外洩防护

3.存取管控功能还能扩及各种类型的云端邮件服务

云端邮件安全服务日益风行,有越来越多业者投入

在上述这些邮件防护面向之外,若是企业对于邮件安全有更高的条件需求,你也可以注意这些产品的邮件安全支援性,像是DKIM、SPF与DMARC寄件网域验证安全的邮件签署机制,或是S/MIME、PKI等加密以及签章技术,让寄收件者双方确保邮件未在寄件途中遭到窜改。另外,各服务商提供的云端服务水準协议(SLA),能否满足企业需其,也是在导入时可以多了解的部分。

综合来看,对应企业邮件上云这样的趋势,现在不少厂商都会强调,能够支援微软与Google企业邮件服务,并藉由各厂商擅长的技术,协助企业强化邮件安全与管控能力。

而在云端技术的加持下,尤其是威胁防护功能,将可凭藉各厂商的云端威胁情报中心,以及应用云端的延展性和运算能力,提供更即时有效的威胁防护。

除了之前介绍的云端邮件厂商网擎,以及这里提到的基点、趋势、Cisco、HDE与Sophos,在国外市场上还有不少厂商投入,像是赛门铁克Email Security.Cloud、Forcepoint Email Security Cloud、The Email Laundry、Proofpoint Essentials、Mimecast Email Security等。

显然,云端时代的邮件安全防护,可供选择的服务大幅增加,已经不像早期那样选择太少,不仅是新兴云端厂商加入战局,不少传统邮件闸道设备厂商、资安厂商,也都开始提供相关云端安全方案。

针对商业邮件诈骗BEC,已有邮件安全厂商提供侦测功能

近年,俗称「变脸诈骗」的商务商业邮件诈骗(Business Email Compromise,BEC)威胁,是企业正在关注的议题,像是利用假冒高层主管通知财务汇款的手法,诱骗使用者移转资金到诈骗者名下帐户,一不小心就造成数百万元损失。

我们在趋势Hosted Email Security与Cisco Cloud Email Security产品中,已经看到BEC相关的侦测功能,像是可交叉分析寄送电子邮件的各个环节,当系统侦测到有问题时,可以在邮件内文加上警示戳记,或是在邮件标题前方,加上Forged Email Detection的警示。

当使用者经系统提醒,察觉邮件可能有问题,最好透过其他管道跟对方再次确认。(上图为Cisco Cloud Email Security管理介面、下图为趋势Hosted Email Security管理介面)

 相关报导  企业云端邮件安全解决方案採购大特辑

免责声明:本文由用户上传,如有侵权请联系删除!