科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道雀罗王彦雄:电子邮件安全与APT防御

雀罗王彦雄:电子邮件安全与APT防御

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

第十五届中国信息安全大会上,雀罗亚太区销售总监王彦雄指出APT针对式攻击的演化,从传统的垃圾邮件形式,演进成为图片形的邮件,图片形还不够,成为一个钓鱼的超连接,连接到外面的外网上面,在下载上恶意存储下来。

来源:ZDNet安全频道 2014年5月8日

关键字: 第十五届中国信息安全大会 APT 雀罗

  • 评论
  • 分享微博
  • 分享邮件

ZDNET安全频道 05月08日 综合消息: 第十五届中国信息安全论坛今日在北京召开,雀罗亚太区销售总监王彦雄带来《电子邮件安全与APT防御》的演讲。

雀罗王彦雄:电子邮件安全与APT防御

各位嘉宾,早上好!

我是雀罗公司亚太区的销售总监,我姓王,目前负责中国区、香港区、台湾区等等的区域。

今天演讲的主题是电子邮件的安全和APT的防御。雀罗科技公司主要负责电子邮件的安全和电子邮件的管理。我们的愿景是希望做到电子邮件安全的专家跟最顶级的本土企业。

我们的解决方案,从左边的云的一个服务,包括公共云,然后私有云,还有混合云的框架。

第二个是传统的企业实体隔离的软化硬件形式。

第三个方面是虚拟化的解决方案,能够满足不同企业、政府、银行、金融业等等不同的需求,建构新一代的IT的云服务概念。

今天主要主题,APT,针对式攻击的一个演化。

我们先来看,十几年前,有一个案例给我们公司一个启发,美国联邦中政起诉了一个毛头小子,这个小伙子一天平均发了大概一千万封的垃圾邮件,炒美国价值很低的股票,释放假消息,一天发了一千万封的邮件,总有一些人会上当,就买这支股票,把股票炒起来。短短半年时间,他身价从分文不直,到价值数百万美元的网络金童,被美国联邦调查局抓到。

这个案例有什么启发,这样一个事件,代表邮件是一个大家普通用的,但是它的成本很低,所以每天发。记者访问这位年轻小伙子,出狱后干吗,他说还是要继续干这一行,为什么?因为赚钱容易,这也早就了我们投入这个行业,这个领域。

从左上角发这个样本模板,从卖发票可以节税等等的,被我们传统的技术给拦截掉,黑客和这些要赚钱的邮件,从传统的垃圾邮件形式,演进成为图片形的邮件,图片形还不够,成为一个钓鱼的超连接,连接到外面的外网上面,在下载上恶意存储下来,有这样一个变化。甚至加密一个ERP的压缩档案,真的有兴趣的人上当,上当的人,可以在电脑XP的环境产生一些恶意程序,做对外连接,然后传输一些机密的信息。也可以横向扩充,产生另外的威胁。

传统的EMAIL渗透,我们公司跟黑客已经斗争了十年,目前还没有终止,因为道高一尺,魔高一丈,黑客无所不用其极。另外,各个政府,有各种的间谍也无所不用其极,也想要渗透各单位,所以各位要特别小心。

除了垃圾邮件、广告邮件之外,其实也充满了很多的病毒,特洛伊木马,甚至各种攻击手法。雀罗公司的技术是多层次的拦截,我们背后有一个全球监控联防的云的监控技术。我们网关型的设备有多层次的连接,可以拦截到99.9%的威胁,但是小于0.1%的威胁怎么办,这也是我们面临的最新挑战。因为漏洞这些威胁,有可能就是最严重的,最重要的商业机密,国家机密都有可能被窃取。

以我们传统的架构,包括反垃圾、防病毒的厂家几乎都这样做,可能在单位里面买了防病毒的网管,反垃圾的网关,来自互联网上的正常邮件,通过正常的防火墙的端口可以进来。进来之后,透过我们反垃圾的网关过滤掉非常非常多。但是在我们的后台,在世界各地,针对不同语言,不同来源,我们每天不断搜集不同垃圾邮件,还有病毒的样本。根据统计,超过99%的样本都是已知的,已经出现过的样本。我们公司更重视的是未知的,99%已知的,我们用我们的RULE都可以拦截到。最重要的是未知的拦截,就是黑客,间谍等等的,他们要打穿我们的防线。我们如何防范基于一个点的未知的威胁,所以我们在右下角形成一个叫CGAC,这个单位主要是及时的、实时地能够方便出低于1%的威胁。已知的被拦掉,未知的,我们要做一些实时的分类,分出这些未知的,未知的其实我们拦不到,因为它是最新的样本,可能我们没有这个模板,第一次拿到,卡巴斯基可能没有模板,赛门铁克也没有模板,360也没有模板。找到这样的样本之后,我们有7乘360天的运维中心,通过电脑的自动化的技术和人工的判别,针对这个全新威胁做分析。做分析还不够,还要产生相应的PAPER和RULE,跟时间赛跑,我们的分析花三小时,还是三分钟还是30分钟,依照不同的难度有不同的结果,然后我们产生五种解药,还不能发放到全球的用户上面去,主要还要进行测试,我们通过这些解药,可以抓到这些病毒或者恶意的威胁,但是可能误来了正常的邮件,这个解药不能发布。反复的测试,真的OK了,才能发布到全球的设备上面。我们每小时,每十分钟的更新,这样保证全球客户能够得到最佳最实时的保护。

这都是最近十年我们做的事情,黑客很聪明,发现我们反垃圾的厂商,防病毒的厂商有很多蜜罐,很多的系统,来找它最新的威胁。怎么办呢?会不会有漏网之鱼呢,肯定有。现在没有一家厂商宣称自己的防护是百分之百了,肯定没有的,如果有,就不会有赛门铁克、卡巴斯基,360了。但是目前看到有一家是百分之百的,因为黑客是通过搜集样本,产生解药一个过程。目标是怎么样的,不让我们这些厂商抓到这些样本,产生解药。因而产生了很多的APP的威胁。

信息安全的事件,从过去几年,像索尼的安全事件,像韩国的银行事件,或者APPLE的很多信息安全事件,都是突破了防病毒的防线、反垃圾的防线,有很大的危害。

全新APT的威胁怎么样呢?过去几年来,很多的厂家构建了很多的防火墙,或者入侵防御的设备,也布建了很多的反垃圾、防病毒的终端网关,这么多的设备只能保证99%,为什么呢?你们看上面传统的防御机制,大部分都是真正已知的威胁,然后做防御。APT是有这样境界的,针对某个特定对象进行设计,设计黑客入侵的邮件或者这些样本是在其他地方没有用过的,譬如它研究XP的一个最新漏洞,这个漏洞微软过去没有补丁未来也不会补丁了,不断地测试,测试完了这个漏洞有了之后,可能它设计好,但是它不会散播,像病毒一样,我发给某一个攻击对象,这个人有五百个通讯录名单,但是我可以配置到五百人,我配置到两千人,病毒是快速散播。过去是这样的,所以赛门铁克或者360卫士可以很快取得这个样本,因为病毒扩散很快。

APT的形式是,它是针对式的,针对某特定目标,比如我锁定某政府的领导,我只针对他发,其他地方就不会有样本,就不会有解药。我今天发这个领导,他没有打开这封邮件来看,没有中奖。我明天再发一封,明天没有打开,我下个月再发一封,我持续攻击这个目标,这叫做持续性的,然后它给目标所定的。

这样,他总有一天会成功,是这样一个概念。所以APT,或者全新的恶意程序,突破了所有权限,因为防火墙让所有邮件可以进来,让APS对已知的可以拦到,那APT是未知的,网关也拦不到,它到里面潜藏。也许它不会现在偷资料,也许等三个月偷资料,然后做成不同的模板。根据最近这几年的观察,最长期的一个检查委员,潜藏在客户的PC端,藏了大概三年八个月的时间,这么久的时间才做一些动作,这也是过去我们蛮惊讶的地方。

我们的解决方案,在网关端能够抓到这些潜藏威胁。其实我们看到,这个威胁不容易,我们这叫适维度的战争,从传统过去是商业的经济利益的考量,到未来这个级别跟高度,已经是网络安全级别的安全,就是所谓的国家安全。

早期,中美这一块有这个战争,经济的战争,货币的战争,汇率的战争,还有现在探讨的信息安全的一些攻防。到未来还有所谓太空的战争,不同的为维度。

今天只是站在信息安全网络的维度来看,这是国家级别的一个思考。

我们讲APT,未知攻击,无所不在,成功入侵。A是未知攻击锁定特定的目标来渗透。P是无处不在,包括透过EMAIL一个合法的端口,或者WEB,合法的上网,到合法的传输。然后到T,行动装置,到USB的端口,有很多很好的沉淀可以解决。T是成功入侵之后,不管是敏感的信息,个人用户、信用卡密码,像国家机密等等安全威胁,这些方面是国家必须重视的。

APT整个的生命周期,今天我锁定了某家公司的财务长,它是股票上市公司,可能换了名片之后,我有些社会工程的一些概念。某公司上市的,某行业上市的财务的一些规划会议,要请这个财务长,有兴趣地打开这封邮件。

锁定目标,有兴趣打开之后,可能恶性程序就植入他的PC或者笔记本里面,通过C&C进行配置的动作,然后有一些下载的动作,然后可以长期窃取这个财务长的资料,就这样的一个生命周期。

过去,研究了黑客窃取资料的整个过程和行为,我们要通过这个行为的监控,做拦截、阻断等等的。甚至把这些经验分享给其他的设备,全球地区的一些客户。

我们叫做ANTI亿—APT沙盒的检测,我们通过INTERNET进行发送邮件,里面有不同的漏洞,不同的问题,我们发现网关端有85%的病毒被我们拦截了,其他还有哪些,包括PDF的,包括带有一个的钓鱼的,这些我们可以直接来申报,往沙盒来送。沙盒模拟终端环境,可能我有WINDOWSXP的环境,模拟终端环境可能一模一样,我打开这封WORD,正常情况下只是打开一个文本,但是黑客的一个恶意行为,可能WORD里面下一个KPI,然后下载一些程序,我们必须从这个沙盒里面看到,我起不同的虚拟机,第一个虚拟机的SP1,第二个虚拟机的SP2,然后可能是某个版本。如果有恶意行为,我们进行阻断,甚至把这些威胁的情报往中央团体的平台来送。未来碰到这个威胁之后,就可以实时阻断。所以这个沙盒是很大的挑战,用户也非常多的环境,我们如何有效进行拦截。

用户在问,我收到软件,我延迟的时间不能超过5分钟,超过可能受影响。现在黑客很厉害,我点击这个WORD的档案,黑客延迟三个小时才发作,连续三个星期才进行执行,我怎么抓到,这里有一个时间加速的引擎,能够加速一百倍、一千倍的时间达到抓到黑客的整个行为。黑客更厉害,现在他说我们这个虚拟机能够侦测到,他会另外观看,如果用户的行为没有鼠标的移动,它不启用这个性用。用户对PC重新开机,黑客也重新开机,我们可以抓住这个行为。

APT的沙盒,针对未知的威胁,通过用户的点击行为,抓到这些黑客的动作。

当然还有很多的技术,我们实际的情况就是伪装某个政府的官员来杀一些,在病毒的评测当中,很多病毒的厂家抓不到,因为是未知的,防病毒的厂商没有做一个样本。

我们看一下,先用APT和传统的防御,传统的防御可以针对已知的威胁,我们沙盒的防御可以做一些监控,产生已知的情报,然后在一个安全情况下去做。

当然,我们有些实测的方案,我们可以在用户端拜访我们的APT的沙盒,让用户去看。在我们的官网上面也有一些免费的使用方案。

另外还有一个,我们做邮件安全的,另外一个议题就是我刚刚说的移动终端的、手机的,或者平板的,可能他们为了上班的移动需要,我要实时收发我的电子邮件,因为实时收发,可能会有麻烦,因为传统的PC、笔记本都需要安装安全终端。但是手机、平板可能是私有的,怎么办。小孩子可能再加上去网络上下载一个游戏,游戏藏于后面,你的电子邮件,重要的信息有可能被偷走,传出去泄密了。所以我们有一个邮件藏数据的方案。

行动邮件的管控应该做到哪些,我们要敏感一些信息,让用户使用。另外,我可以感到,终端这个人的账户可以开启,或者相对的密码才能开启这个邮件。甚至某一台手机、IPHONE或者IPAD才能开。甚至我还可以锁时间,我限定这封邮件在下星期二才能打开,之后不能打开。有四种防御机制,让用户又方便更安全的邮件管控。

最后,我介绍雀罗在过去三年时间走到云框架,政府有所谓的政府私有云,教育云,银行的银行云,单位云。那我们希望私有云的服务,我们希望电子邮件的进入会更快,不管是私有云还是公共云还是混合云都可以搭配。中间这朵云,就是在座IT的专家必须建构的,从基础建设到PLAYFORM,邮件的平台,到上层的安全反垃圾、防病毒的,还有来自员工夹带出去的有心或无意的泄密情况,我们有传输的通道,有邮件的归档跟审计等等的工作。

我上个月来北京开会,听到了武汉这边有一个外企做外贸的,被黑客透过邮件诈骗了五百万美金,这个数字我听到惊人,黑客伪造厂商,最后把这个钱拦截了。跟黑客的持续斗争是一个很大的调整,所以我们希望雀罗提供的解决方案,能够在邮件信息安全上面无所不在。

我们今天也有展位,希望各位莅临指导,谢谢各位!
 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章