雀罗王彦雄：电子邮件安全与APT防御

ZDNET安全频道 05月08日 综合消息： 第十五届中国信息安全论坛今日在北京召开，雀罗亚太区销售总监王彦雄带来《电子邮件安全与APT防御》的演讲。

各位嘉宾，早上好！

我是雀罗公司亚太区的销售总监，我姓王，目前负责中国区、香港区、台湾区等等的区域。

今天演讲的主题是电子邮件的安全和APT的防御。雀罗科技公司主要负责电子邮件的安全和电子邮件的管理。我们的愿景是希望做到电子邮件安全的专家跟最顶级的本土企业。

我们的解决方案，从左边的云的一个服务，包括公共云，然后私有云，还有混合云的框架。

第二个是传统的企业实体隔离的软化硬件形式。

第三个方面是虚拟化的解决方案，能够满足不同企业、政府、银行、金融业等等不同的需求，建构新一代的IT的云服务概念。

今天主要主题，APT，针对式攻击的一个演化。

我们先来看，十几年前，有一个案例给我们公司一个启发，美国联邦中政起诉了一个毛头小子，这个小伙子一天平均发了大概一千万封的垃圾邮件，炒美国价值很低的股票，释放假消息，一天发了一千万封的邮件，总有一些人会上当，就买这支股票，把股票炒起来。短短半年时间，他身价从分文不直，到价值数百万美元的网络金童，被美国联邦调查局抓到。

这个案例有什么启发，这样一个事件，代表邮件是一个大家普通用的，但是它的成本很低，所以每天发。记者访问这位年轻小伙子，出狱后干吗，他说还是要继续干这一行，为什么？因为赚钱容易，这也早就了我们投入这个行业，这个领域。

从左上角发这个样本模板，从卖发票可以节税等等的，被我们传统的技术给拦截掉，黑客和这些要赚钱的邮件，从传统的垃圾邮件形式，演进成为图片形的邮件，图片形还不够，成为一个钓鱼的超连接，连接到外面的外网上面，在下载上恶意存储下来，有这样一个变化。甚至加密一个ERP的压缩档案，真的有兴趣的人上当，上当的人，可以在电脑XP的环境产生一些恶意程序，做对外连接，然后传输一些机密的信息。也可以横向扩充，产生另外的威胁。

传统的EMAIL渗透，我们公司跟黑客已经斗争了十年，目前还没有终止，因为道高一尺，魔高一丈，黑客无所不用其极。另外，各个政府，有各种的间谍也无所不用其极，也想要渗透各单位，所以各位要特别小心。

除了垃圾邮件、广告邮件之外，其实也充满了很多的病毒，特洛伊木马，甚至各种攻击手法。雀罗公司的技术是多层次的拦截，我们背后有一个全球监控联防的云的监控技术。我们网关型的设备有多层次的连接，可以拦截到99.9%的威胁，但是小于0.1%的威胁怎么办，这也是我们面临的最新挑战。因为漏洞这些威胁，有可能就是最严重的，最重要的商业机密，国家机密都有可能被窃取。

以我们传统的架构，包括反垃圾、防病毒的厂家几乎都这样做，可能在单位里面买了防病毒的网管，反垃圾的网关，来自互联网上的正常邮件，通过正常的防火墙的端口可以进来。进来之后，透过我们反垃圾的网关过滤掉非常非常多。但是在我们的后台，在世界各地，针对不同语言，不同来源，我们每天不断搜集不同垃圾邮件，还有病毒的样本。根据统计，超过99%的样本都是已知的，已经出现过的样本。我们公司更重视的是未知的，99%已知的，我们用我们的RULE都可以拦截到。最重要的是未知的拦截，就是黑客，间谍等等的，他们要打穿我们的防线。我们如何防范基于一个点的未知的威胁，所以我们在右下角形成一个叫CGAC，这个单位主要是及时的、实时地能够方便出低于1%的威胁。已知的被拦掉，未知的，我们要做一些实时的分类，分出这些未知的，未知的其实我们拦不到，因为它是最新的样本，可能我们没有这个模板，第一次拿到，卡巴斯基可能没有模板，赛门铁克也没有模板，360也没有模板。找到这样的样本之后，我们有7乘360天的运维中心，通过电脑的自动化的技术和人工的判别，针对这个全新威胁做分析。做分析还不够，还要产生相应的PAPER和RULE，跟时间赛跑，我们的分析花三小时，还是三分钟还是30分钟，依照不同的难度有不同的结果，然后我们产生五种解药，还不能发放到全球的用户上面去，主要还要进行测试，我们通过这些解药，可以抓到这些病毒或者恶意的威胁，但是可能误来了正常的邮件，这个解药不能发布。反复的测试，真的OK了，才能发布到全球的设备上面。我们每小时，每十分钟的更新，这样保证全球客户能够得到最佳最实时的保护。

这都是最近十年我们做的事情，黑客很聪明，发现我们反垃圾的厂商，防病毒的厂商有很多蜜罐，很多的系统，来找它最新的威胁。怎么办呢？会不会有漏网之鱼呢，肯定有。现在没有一家厂商宣称自己的防护是百分之百了，肯定没有的，如果有，就不会有赛门铁克、卡巴斯基，360了。但是目前看到有一家是百分之百的，因为黑客是通过搜集样本，产生解药一个过程。目标是怎么样的，不让我们这些厂商抓到这些样本，产生解药。因而产生了很多的APP的威胁。

信息安全的事件，从过去几年，像索尼的安全事件，像韩国的银行事件，或者APPLE的很多信息安全事件，都是突破了防病毒的防线、反垃圾的防线，有很大的危害。

全新APT的威胁怎么样呢？过去几年来，很多的厂家构建了很多的防火墙，或者入侵防御的设备，也布建了很多的反垃圾、防病毒的终端网关，这么多的设备只能保证99%，为什么呢？你们看上面传统的防御机制，大部分都是真正已知的威胁，然后做防御。APT是有这样境界的，针对某个特定对象进行设计，设计黑客入侵的邮件或者这些样本是在其他地方没有用过的，譬如它研究XP的一个最新漏洞，这个漏洞微软过去没有补丁未来也不会补丁了，不断地测试，测试完了这个漏洞有了之后，可能它设计好，但是它不会散播，像病毒一样，我发给某一个攻击对象，这个人有五百个通讯录名单，但是我可以配置到五百人，我配置到两千人，病毒是快速散播。过去是这样的，所以赛门铁克或者360卫士可以很快取得这个样本，因为病毒扩散很快。

APT的形式是，它是针对式的，针对某特定目标，比如我锁定某政府的领导，我只针对他发，其他地方就不会有样本，就不会有解药。我今天发这个领导，他没有打开这封邮件来看，没有中奖。我明天再发一封，明天没有打开，我下个月再发一封，我持续攻击这个目标，这叫做持续性的，然后它给目标所定的。

这样，他总有一天会成功，是这样一个概念。所以APT，或者全新的恶意程序，突破了所有权限，因为防火墙让所有邮件可以进来，让APS对已知的可以拦到，那APT是未知的，网关也拦不到，它到里面潜藏。也许它不会现在偷资料，也许等三个月偷资料，然后做成不同的模板。根据最近这几年的观察，最长期的一个检查委员，潜藏在客户的PC端，藏了大概三年八个月的时间，这么久的时间才做一些动作，这也是过去我们蛮惊讶的地方。

我们的解决方案，在网关端能够抓到这些潜藏威胁。其实我们看到，这个威胁不容易，我们这叫适维度的战争，从传统过去是商业的经济利益的考量，到未来这个级别跟高度，已经是网络安全级别的安全，就是所谓的国家安全。

早期，中美这一块有这个战争，经济的战争，货币的战争，汇率的战争，还有现在探讨的信息安全的一些攻防。到未来还有所谓太空的战争，不同的为维度。

今天只是站在信息安全网络的维度来看，这是国家级别的一个思考。

我们讲APT，未知攻击，无所不在，成功入侵。A是未知攻击锁定特定的目标来渗透。P是无处不在，包括透过EMAIL一个合法的端口，或者WEB，合法的上网，到合法的传输。然后到T，行动装置，到USB的端口，有很多很好的沉淀可以解决。T是成功入侵之后，不管是敏感的信息，个人用户、信用卡密码，像国家机密等等安全威胁，这些方面是国家必须重视的。

APT整个的生命周期，今天我锁定了某家公司的财务长，它是股票上市公司，可能换了名片之后，我有些社会工程的一些概念。某公司上市的，某行业上市的财务的一些规划会议，要请这个财务长，有兴趣地打开这封邮件。

锁定目标，有兴趣打开之后，可能恶性程序就植入他的PC或者笔记本里面，通过C&C进行配置的动作，然后有一些下载的动作，然后可以长期窃取这个财务长的资料，就这样的一个生命周期。

过去，研究了黑客窃取资料的整个过程和行为，我们要通过这个行为的监控，做拦截、阻断等等的。甚至把这些经验分享给其他的设备，全球地区的一些客户。

我们叫做ANTI亿—APT沙盒的检测，我们通过INTERNET进行发送邮件，里面有不同的漏洞，不同的问题，我们发现网关端有85%的病毒被我们拦截了，其他还有哪些，包括PDF的，包括带有一个的钓鱼的，这些我们可以直接来申报，往沙盒来送。沙盒模拟终端环境，可能我有WINDOWSXP的环境，模拟终端环境可能一模一样，我打开这封WORD，正常情况下只是打开一个文本，但是黑客的一个恶意行为，可能WORD里面下一个KPI，然后下载一些程序，我们必须从这个沙盒里面看到，我起不同的虚拟机，第一个虚拟机的SP1，第二个虚拟机的SP2，然后可能是某个版本。如果有恶意行为，我们进行阻断，甚至把这些威胁的情报往中央团体的平台来送。未来碰到这个威胁之后，就可以实时阻断。所以这个沙盒是很大的挑战，用户也非常多的环境，我们如何有效进行拦截。

用户在问，我收到软件，我延迟的时间不能超过5分钟，超过可能受影响。现在黑客很厉害，我点击这个WORD的档案，黑客延迟三个小时才发作，连续三个星期才进行执行，我怎么抓到，这里有一个时间加速的引擎，能够加速一百倍、一千倍的时间达到抓到黑客的整个行为。黑客更厉害，现在他说我们这个虚拟机能够侦测到，他会另外观看，如果用户的行为没有鼠标的移动，它不启用这个性用。用户对PC重新开机，黑客也重新开机，我们可以抓住这个行为。

APT的沙盒，针对未知的威胁，通过用户的点击行为，抓到这些黑客的动作。

当然还有很多的技术，我们实际的情况就是伪装某个政府的官员来杀一些，在病毒的评测当中，很多病毒的厂家抓不到，因为是未知的，防病毒的厂商没有做一个样本。

我们看一下，先用APT和传统的防御，传统的防御可以针对已知的威胁，我们沙盒的防御可以做一些监控，产生已知的情报，然后在一个安全情况下去做。

当然，我们有些实测的方案，我们可以在用户端拜访我们的APT的沙盒，让用户去看。在我们的官网上面也有一些免费的使用方案。

另外还有一个，我们做邮件安全的，另外一个议题就是我刚刚说的移动终端的、手机的，或者平板的，可能他们为了上班的移动需要，我要实时收发我的电子邮件，因为实时收发，可能会有麻烦，因为传统的PC、笔记本都需要安装安全终端。但是手机、平板可能是私有的，怎么办。小孩子可能再加上去网络上下载一个游戏，游戏藏于后面，你的电子邮件，重要的信息有可能被偷走，传出去泄密了。所以我们有一个邮件藏数据的方案。

行动邮件的管控应该做到哪些，我们要敏感一些信息，让用户使用。另外，我可以感到，终端这个人的账户可以开启，或者相对的密码才能开启这个邮件。甚至某一台手机、IPHONE或者IPAD才能开。甚至我还可以锁时间，我限定这封邮件在下星期二才能打开，之后不能打开。有四种防御机制，让用户又方便更安全的邮件管控。

最后，我介绍雀罗在过去三年时间走到云框架，政府有所谓的政府私有云，教育云，银行的银行云，单位云。那我们希望私有云的服务，我们希望电子邮件的进入会更快，不管是私有云还是公共云还是混合云都可以搭配。中间这朵云，就是在座IT的专家必须建构的，从基础建设到PLAYFORM，邮件的平台，到上层的安全反垃圾、防病毒的，还有来自员工夹带出去的有心或无意的泄密情况，我们有传输的通道，有邮件的归档跟审计等等的工作。

我上个月来北京开会，听到了武汉这边有一个外企做外贸的，被黑客透过邮件诈骗了五百万美金，这个数字我听到惊人，黑客伪造厂商，最后把这个钱拦截了。跟黑客的持续斗争是一个很大的调整，所以我们希望雀罗提供的解决方案，能够在邮件信息安全上面无所不在。

我们今天也有展位，希望各位莅临指导，谢谢各位！