守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统
背景
守望者实验室基于威胁基础数据和安全分析能力,推出三大分析引擎,包括“URL沙箱、邮件沙箱、DNS沙箱(行为分析)”。
系统架构如下图,中间的三大安全能力矩阵,是守望者的核心分析引擎,通过开放式API,便于和第三方相互集成,共建生态。核心思路是“叠加赋能”给现有的设备和系统,有效降低安全成本,提高安全运营效率。
电子邮件正迅速成为XDR的第四大支柱。Gartner的数据显示78%的网络安全事件中涉及到钓鱼邮件。
本篇主要谈下守望者实验室推出的在线 邮件安全分析系统。主要以功能列举为主。
全面分析、多维展示
对邮件标题、正文、链接、附件等进行分析,可有效发现 APT、社工钓鱼、商业欺诈、账号受控、账号暴破、病毒、木马、蠕虫、URL 钓鱼等邮件威胁,实现对威胁邮件的快速检测和持续分析。
特色功能:邮件传递路径的展示,通过分析Eml文件,将这封邮件在互联网上的投递路径如实展现,这个邮件从哪里来,经过几跳,最终到哪个邮件服务器上等都展示出来。
钓鱼邮件识别
通过对邮件Eml文件进行解析,提炼出邮件头、主题、正文、链接、附件等多维度特征,采用机器学习、特征识别的方法,能够有效识别包含钓鱼链接、跨站脚本链接、IP链接式以及仿冒式的钓鱼邮件。
URL是钓鱼邮件很常见的一种钓鱼方式,关于恶意URL的识别详见公众号相关两篇文章:《A sandbox for the web:一款在线的“恶意URL分析系统”》、《A sandbox for the web:一款在线的“恶意URL分析系统”(2)》
异常场景分析
邮件异常场景包括:发件异常、收件异常、异常时间登录、异常地区登录、暴力破解行为、客户端异常、多账户登录、弱口令、境外成功登录等场景,同时对单账号收发邮件数量、登录成功信息进行记录,便于账号异常行为的发现。
灵活的规则自定义
对分析人员来说,灵活的自定义功能一定是要必备的。系统默认的规则场景不可能满足动态的威胁变化,自定义功能可以充分发挥分析人员的能力。
可以通过规则检索生成检测规则。系统支持灵活的条件检索:包含对邮件主题、发件人、收件人、时间、附件名及邮件正文的检索。支持对查询结果的部分字段筛选功能;支持对查询结果的部分字段排序功能。
威胁情报自动碰撞和 “一键关联”
系统会自动筛查出邮件中的IP、域名、登陆地址、附件hash等,并结合威胁情报平台(https://ti.watcherlab.com/)数据,进行快速碰撞,发现威胁。
“一键关联”情报查询(ti.watcherlab.com),确保分析人员的良好体验。
直接关联TI平台:https://ti.watcherlab.com/
提交方式
-
手工提交:可以直接页面手工提交eml文件。
-
API:提供API检测能力接口,通过接口提交EML文件,接口返回检测结果。
在线系统地址:https://mailscan.watcherlab.com/
欢迎您注册使用!