亮點

?提供針對惡意附件、憑據(jù) - 網(wǎng)絡(luò)釣魚URL、欺騙、零日和多階段攻擊的全面電子郵件安全

?支持對 Microsoft Windows 和 Apple Mac OS X 操作系統(tǒng)映像的分析

?廣泛檢查郵件中隱藏在密碼保護(hù)文件、加密附件和 URL 內(nèi)的威脅

?從 FireEye DTI Cloud 獲取實時威脅情報

?為警報提供上下文洞察，以便對威脅進(jìn)行優(yōu)先級排序并遏制其擴散

?使用集成或分布式 MVX 服務(wù)進(jìn)行內(nèi)部部署

概要

郵件是數(shù)據(jù)量的網(wǎng)絡(luò)入口，因此是最容易受到網(wǎng)絡(luò)攻擊的載體。基于郵件的高級威脅讓組織面臨越來越多的安全挑戰(zhàn)。大多數(shù)高級威脅使用電子郵件來傳遞鏈接到憑據(jù)網(wǎng)絡(luò)釣魚站點的 URL 以及化文件附件。由于電子郵件具有高度的可定位性和可定制性，因此它成為網(wǎng)絡(luò)的主要媒介。

FireEye 郵件安全幫助組織地降低高成本漏洞風(fēng)險（由高級郵件攻擊引起）。FireEye 郵件安全 - 服務(wù)器版本部署在內(nèi)部，處于行業(yè)水平，在基于 URL 和附件的攻擊進(jìn)入組織的環(huán)境之前，就可以識別、隔離并立即阻止他們。郵件安全采用真實的大數(shù)據(jù)、可擴展平臺，通過結(jié)合智能環(huán)境和監(jiān)測插件，區(qū)分惡意和良性釣魚 URL。無特征碼 Multi-Vector Virtual Execution™ (MVX) 引擎可針對操作系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)瀏覽器的綜合性交叉矩陣來分析鏈接到可下載內(nèi)容的郵件附件和。確定威脅的噪音最小，錯誤報警幾乎不存在。

FireEye 從直接漏洞調(diào)查和數(shù)百萬的傳感器中收集大量有關(guān)攻擊者的威脅情報。郵件安全利用有關(guān)攻擊和攻擊者的真實證據(jù)和上下文情報，以便對警報進(jìn)行優(yōu)先級排序并實時阻止威脅。

通過整合 FireEye 網(wǎng)絡(luò)安全和終端安全，組織可實現(xiàn)更高的可視性，從而針對多向量、混合攻擊協(xié)調(diào)實時防護(hù)。

防御郵件威脅

憑借在網(wǎng)上可獲取的所有個人信息，網(wǎng)絡(luò)罪犯可以利用網(wǎng)絡(luò)工程學(xué)來引誘幾乎任何用戶點擊或者打開附件。

郵件安全可實時檢測和抵御憑證、冒充和魚叉式網(wǎng)絡(luò)釣魚攻擊，而這些通?？梢员荛_傳統(tǒng)的郵件安全防御。如果發(fā)現(xiàn)未知和高級威脅隱藏在以下內(nèi)容中，則會對電子郵件進(jìn)行分析和隔離（阻止）：

?附件類型包括但不限于：EXE、DLL、PDF、SWF、DOC/DOCX、XLS/XLSX、PPT/PPTX、JPG、PNG、MP3、MP4 和 ZIP/ RAR/TNEF 檔案文件

?密碼保護(hù)和加密附件

?密碼保護(hù)附件，密碼通過映像發(fā)送

?郵件內(nèi)嵌、MS Office 文檔、PDF 和檔案文件 (ZIP、ALZip、 JAR) 以及其他文件類型 (Uuencoded、HTML)

?通過  – 甚至  FTP 鏈接下載的文件

?混淆式、式、縮短式和動態(tài)重定向型

?憑證釣魚和誤植域名

?未知的 Microsoft Windows 和 Apple Mac OS X 操作系統(tǒng)映像、瀏覽器以及應(yīng)用程序漏洞

?魚叉式網(wǎng)絡(luò)釣魚郵件內(nèi)嵌惡意代碼

當(dāng)惡意軟件攻擊從郵件開始時，通常需要向控制服務(wù)器發(fā)送回調(diào)指令，

以對數(shù)據(jù)進(jìn)行加密。郵件安全識別，并阻止難以發(fā)現(xiàn)的多級惡意軟件活動。

高級威脅檢測

郵件安全通過識別和隔離成正常流量的高級、目標(biāo)性和其他規(guī)避性攻擊，有助于降低代價高昂的漏洞風(fēng)險。一旦檢測到，這些攻擊會立即被阻止、分析和指紋采集，以便更快地識別未來的威脅。

郵件安全的核心是高級  URL 防御、MVX 引擎和  MalwareGuard。

這些技術(shù)使用機器學(xué)習(xí)和分析來識別可規(guī)避特征碼和策略防御的攻擊。

作為高級 URL 防御的一個組成部分，PhishVision 是一款映像分類引擎，它使用深度學(xué)習(xí)來編譯和對比可信以及經(jīng)常受攻擊品牌的屏幕截圖和電子郵件中 URL 引用的網(wǎng)頁。Kraken 與 PhishVision 一起串聯(lián)工作，它是一種網(wǎng)絡(luò)釣魚檢測插件，可運用域和頁面內(nèi)容分析來增強機器學(xué)習(xí)。Skyfeed是 URL 檢測的另一次進(jìn)化，它是一種專門構(gòu)建的全自動惡意軟件情報收集系統(tǒng)。收集社交媒體帳戶、博客、論壇和威脅源以發(fā)現(xiàn)誤報。高級 URL防御的多方面特性為受到電子郵件安全保護(hù)的組織提供功能強大的、針對憑證和魚叉式網(wǎng)絡(luò)釣魚攻擊的防御。

MalwareGuard 是一種機器學(xué)習(xí)實用程序，它將二進(jìn)制文件作為輸入內(nèi)容，并輸出可疑性分?jǐn)?shù)。MalwareGuard 會分析線路上顯示的每個可移植可執(zhí)行文件 (PE) 文件。根據(jù)得分做出決定，并為 MalwareGuard 觸發(fā)的檢測分配名稱。

MVX 引擎在安全、虛擬的環(huán)境中通過動態(tài)、無特征碼分析檢測零日攻擊、多流攻擊以及其它隱蔽式攻擊。它能識別從未見過的漏洞和惡意軟件，以阻止感染和攻擊。

規(guī)避控制

郵件安全支持受控的實時模式，以防御規(guī)避遠(yuǎn)程對象請求的攻擊。

MVX 引擎檢測需要多次下載的惡意軟件，并返回樣本二進(jìn)制文件所請求的遠(yuǎn)程對象。受控制的實時模式可減少多階段下載、高級魚叉式網(wǎng)絡(luò)釣魚攻擊和高級勒索軟件入侵的誤報。

攻擊者還試圖規(guī)避用于檢測可疑 URL 的技術(shù)。作為高級 URL 防御的一部分，針對網(wǎng)絡(luò)釣魚站點的規(guī)避控制技術(shù)也在不斷發(fā)展。作為高級 URL 防御的一部分，規(guī)避控制技術(shù)不斷得到加強。另一種規(guī)避控制技術(shù)，可以在潛在的惡意對象被執(zhí)行時，自定義訪客映像，以模擬“已使用”端點。通過確保訪客映像再現(xiàn)端點域、域用戶、Outlook 數(shù)據(jù)和瀏覽器歷史記錄，可以防止許多規(guī)避技術(shù)。

集成以提高警報處理效率

郵件安全分析每個附件和，以準(zhǔn)確地識別現(xiàn)今的高級攻擊。整個 FireEye 安全生態(tài)系統(tǒng)中的實時更新和針對已知威脅者的警報歸因相結(jié)合，來提供語境情報，以便對警報進(jìn)行優(yōu)先級排序，并對關(guān)鍵警報采取行動，攔截高級郵件攻擊。以最小的噪聲和誤報率識別基于已知、未知和非惡意軟件的威脅，將資源投入到真正的攻擊上，以降低運營成本。風(fēng)險軟件分類可將真實的漏洞攻擊與不受歡迎、但惡意性不高的活動（比如，廣告軟件和間諜軟件）明確區(qū)分開來，從而優(yōu)先選擇警報響應(yīng)。

快速適應(yīng)威脅格局的演變

電子郵件安全可幫助您的組織通過 FireEye 動態(tài)威脅情報 (DTI) 云的實時威脅情報，不斷調(diào)整您對電子郵件傳播威脅的主動防御。有關(guān)威脅和攻擊者的深度情報將對抗、機器和受害者情報結(jié)合起來，以：

?針對威脅，提供及時、更高的可視性

?識別已檢測到的惡意軟件和惡意附件的具體特性和功能

?為警報提供上下文洞察，以便進(jìn)行優(yōu)先級排序并加速響應(yīng)

?確定攻擊者的可能身份和動機，并在您的組織內(nèi)跟蹤攻擊者的活動

?重寫電子郵件中嵌入的所有  URL，以保護(hù)用戶免受惡意鏈接的侵害

?回溯性地識別交叉式網(wǎng)絡(luò)釣魚攻擊，并突出惡意，以防止訪問釣魚網(wǎng)站

響應(yīng)工作流集成

郵件安全與 FireEye Helix 和 FireEye Central Management 一起無縫運行。

?作為安全運行平臺中的一個組成部分 — FireEye Helix — 在整個基礎(chǔ)架構(gòu)中提供可視性。FireEye Helix 情報、與終端的關(guān)聯(lián)、自動化以及調(diào)查提示來增強郵件和第三方警報。通過這些能力，F(xiàn)ireEye Helix 可使看不到的威脅浮出水面，并增強專家決策。

?Central Management 將來自郵件安全和 FireEye 網(wǎng)絡(luò)安全的警報進(jìn)行關(guān)聯(lián)，從而對攻擊有更全面的了解，并設(shè)定攔截規(guī)則以防攻擊擴散。

?Central Management 支持基于角色的標(biāo)注，從而知道誰是攻擊的對象。

?根據(jù)基于角色的標(biāo)準(zhǔn)，Central Management 支持警報響應(yīng)和補救。

附加功能

基于 YARA 的規(guī)則可實現(xiàn)私人定制

郵件安全可以讓分析師并測試規(guī)則來分析威脅其組織的郵件附件。

管理人員冒充保護(hù)

郵件安全 - 服務(wù)器版本提供阻止企業(yè)電子郵件攻擊 (BEC) 的功能，以保護(hù)重要員工免受欺騙。制定策略，將入站電子郵件顯示名稱和已批準(zhǔn)的信封發(fā)件人所匹配的已批準(zhǔn)列表進(jìn)行對比。

消息隊列和警報以及隔離管理

郵件安全 – 服務(wù)器版本可高度管理所掃描的郵件消息。對于主動性保護(hù)模式的部署，可以跟蹤和管理在 MTA 隊列中移動的消息?？梢岳绵]件屬性來搜索并驗證已被接收、分析和發(fā)送到下一跳的消息，而通過直觀的儀表盤可以實時監(jiān)控趨勢。顯式允許和攔截列表可以定制郵件處理。可以搜索和選擇普通警報屬性?？梢詫瘓蠛透綦x信息進(jìn)行批量處理。

主動性防護(hù)或僅監(jiān)控模式

郵件安全可分析郵件，并隔離威脅，以進(jìn)行主動性防護(hù)。關(guān)于僅監(jiān)控模式的部署，組織設(shè)定透明的 BCC 規(guī)則，將郵件拷貝發(fā)送到郵件安全，以進(jìn)行分析。

靈活的部署選項

郵件安全  – 服務(wù)器版本提供多種部署選項，以相配組織的需求和預(yù)算：

?集成網(wǎng)絡(luò)威脅防護(hù)：配備集成 MVX 服務(wù)的獨立、一體化硬件設(shè)備，從而在單個站點確保互聯(lián)網(wǎng)接入點的安全。FireEye 郵件安全是一個易于管理的解決方案，可以在 60 分鐘內(nèi)完成部署。它不需要規(guī)則、策略或調(diào)試。

?分布式網(wǎng)絡(luò)威脅防護(hù)：配備集中共享 MVX 服務(wù)的可擴展設(shè)備，從而在組織內(nèi)確?；ヂ?lián)網(wǎng)接入點的安全。

?網(wǎng)絡(luò)智能節(jié)點：分析網(wǎng)絡(luò)流量的物理或虛擬設(shè)備，有助于檢測和阻止惡意流量，并通過加密連接向 MVX 服務(wù)提交可疑活動，以便進(jìn)行最后的垂直分析。

?MVX 智能系統(tǒng)網(wǎng)絡(luò)：本地部署、集中定位、彈性 MVX 服務(wù)，可提供透明的可擴展性、內(nèi)置式 N+1 容錯以及自動負(fù)載平衡。

從集成硬件設(shè)備到 MVX 智能系統(tǒng)網(wǎng)絡(luò)的云爆發(fā)提供額外的能力，可在信息通量的高峰時期檢測和分析郵件威脅。

?FireEye 云 MVX：FireEye 托管的 MVX 服務(wù)訂閱，可通過 Smart Node 的網(wǎng)絡(luò)流量分析來確保隱私。僅可疑對象會通過加密連接發(fā)送到 MVX 服務(wù)（良性對象會被排除）。

       圖：郵件安全的分布式和突發(fā)部署模式

表 1. 技術(shù)規(guī)格

表 2. FireEyeMVX 智能系統(tǒng)網(wǎng)絡(luò)的規(guī)格

表 3. FireEye 郵件安全智能節(jié)點、虛擬傳感器規(guī)范