内网入口防护.钓鱼邮件检测与治理.pptxVIP

内网入口防护-钓鱼邮件检测与治理 背景: 诉求: 成果: 2018 年 1 月到 12 月期间，微软报告的网络钓鱼事件数量增加了 250%； 钓鱼邮件攻击路径短，可以承载恶意软件、勒索木马等一系列高危攻击手段， 直接投递进企业内网，是最流行有效的网络攻击方式。 即使员工毫无戒心，也要将钓鱼邮件对内网的威胁无限减小为0。 系统钓鱼邮件检出率达到邮件网关的200%以上； 自动化运营流程，大大节约了人力成本。 邮件威胁检测原则 最初的邮件系统 邮件网关主要解决的问题 用户终端 服务器 用户终端 邮件服务器 邮件网关 攻击收件人主机 目标一：增强文件检测能力 静态检测器 动态检测器 用户终端 邮件服务器 邮件网关 沙箱 邮件归档 邮件不落地 邮件还原 邮件 流量 Suricata Redis 重组模块 用户终端 邮件服务器 邮件网关 沙箱 邮件还原器 骗取收件人凭证 欺骗收件人“感情” 目标二：增加语义检测能力 语义检测 用户终端 邮件服务器 邮件网关 沙箱 语义检测 邮件还原器 目标三：告警关联分析 邮件威胁检测模块 检测模 静态检测模块 沙箱检测模块 语义检测模块 块 准确率 查全率 实时性 高 低 高 高 高 低 中 中 高 静态检测器威胁检测流程 邮件还原 邮件检测 告警分析 运营闭环 目标四：自动化运营闭环 邮件威胁关联分析（ ） 威胁发现 确认落地 邮件威胁运营流程 邮件网关：加黑发件人、IP、主题 防火墙：IOC阻断 对接告警工单平台 自动阻断 用户告警 运营 威胁发现 落地检测 主机取证 EDR日志/ 应急响应 工具取证/ 人工取证 SDP：用户下线 筛查其它威胁检测告警，确认横向扩散威胁 静态检测 语义检测 沙箱检测 流量采集器 关联 阻断 用户终端 网络侧检测 邮件网关 邮件服务器 Lots of things to do 邮件威胁检测 关联 DLP 威胁溯源和情报共享 邮件服务器 漏洞修复 流量采集器 响应 安全 安全 配置 架构 用户行为检测 客户端和远 程访问 邮件网关 用户终端 域服务器 邮箱（账户系统）的安全 邮箱（账户系统）的安全 THANKS 打个广告 360信息安全运营中心 宙合SaaS： 34