根据Coremail邮件安全人工智能实验室(以下简称AI实验室)的监测数据显示,2023年Q3全国企业级用户遭受无差别的暴力破解攻击次数虽相比2022年同期有所下降,但仍高达 24.2 亿次,且暴力破解攻击次数有明显回升趋势。
面对正在回升的邮箱盗号威胁趋势,企业需要保持警惕并采取必要的防护措施,阻止威胁扩大。
邮箱威胁的处置速度和质量对企业的损失和负面影响至关重要。仅仅依赖邮箱管理员是很难实现即时处置的。那么有无更好的防护措施或邮件安全产品能够协助邮箱管理员处置邮箱威胁呢?
在考虑开发一款安全产品以协助邮箱管理员处置邮箱威胁时,Coremail邮件安全团队从管理员的角度出发,得出一款安全处置产品需要具备三个关键点:
01、及时阻断攻击
为了确保企业避免不必要的损失和负面影响,需要在攻击者对邮件系统进行攻击时尽快阻断攻击。通过在前端直接拦截隐患,能够实时地预防和阻止恶意攻击,从而保证及时处置。
02、准确披露威胁
具备快速发现和辨析邮件系统当前存在的安全威胁类型、来源和危害程度的能力。管理员将及时收到告警通知,能够准确了解威胁的性质,并采取相应的处置措施,有效阻止威胁扩大。
03、低风险处置威胁
提供针对不同类型威胁的处置建议和手段,帮助邮箱管理员快速解决隐患,遏制威胁的蔓延。这样的功能将帮助管理员更有效地处置威胁,降低对企业的风险和负面影响。
结合以上关键点,Coremail全新升级了安全管理中心第二代(简称“SMC2”),一款具备安全处置功能(锁定账号、邮件召回、告警、审计等)、云端情报赋能的内网安全产品。
安全管理中心SMC2
SMC2通过对Coremail本地日志的异常特征检测分析,目前已实现了邮件系统安全事件的高效监测、告警和处置,并最终实现了事件闭环管理,保障企业邮件安全。
01、支持本地账号风险监测
SMC2引入本地引擎,全天候监测域内账号被攻击、被盗用的情况,能够主动监测域内账号的登录行为,分析域内账号情况,并在发现异常账号时提供准实时级别的告警和通知给管理员,以便管理员能够快速锁定和处置异常账号。
02、支持本地账号失陷研判及处置
SMC2为每个失陷账号提供了详细的研判信息,包括失陷账号基础信息、账号风险项、用户安全配置、异常记录,以及和攻防专家复刻的经典分析方法等。管理员在研判出一定风险后,可以直接在SMC2上进行处置操作,及时锁定被盗账号,从而缩短了发现风险、研判和处置的时间。
03
支持检测Coremail旧漏洞利用
当攻击者掌握邮件系统漏洞时,他们可能会利用这个漏洞对邮件系统进行攻击,并窃取敏感信息和数据资料。为了帮助管理员快速做出基础研判,SMC2能够抓取这种攻击行为,并为管理员提供详细的漏洞利用原始日志。同时,SMC2也提供了处置手段,支持管理员将检测到的攻击IP进行加黑,阻止攻击者的后续登录行为。
04、支持检测外部攻击
SMC2具备监测常见的web攻击行为的能力,包括SQL注入、XSS跨站脚本攻击、RCE攻击和目录穿越等攻击方式。
SMC2能够监测攻击者利用这些攻击手段攻击邮件系统的痕迹,并提供基础的详情信息。管理员可以根据这些信息来做出相应的研判和处置操作。同样的,SMC2支持管理员对监测到的攻击IP进行有期限性的加黑,以增加对攻击者的阻止效果。
05、支持识别漏洞扫描器利用
攻击者的攻击手段层出不穷,其中之一就是使用漏洞扫描器对邮件系统进行扫描,找出系统潜在漏洞和弱点,然后利用漏洞攻击邮件系统。
为了应对这种威胁,SMC2能够针对性地监测出使用漏洞扫描器扫描邮件系统的攻击者,防止攻击者利用扫描结果中的漏洞对邮件系统进行攻击。
06、支持检测反弹shell攻击
反弹shell是攻击者成功入侵服务器后,常用的一种方式来远程执行命令或保持持久访问权限。一旦攻击者成功连接到目标主机,就可以通过发送指令给后门程序,在目标主机上执行各种操作,如获取敏感信息、执行命令、上传或下载文件等。监测反弹shell是判断服务器是否被入侵的重要指标。
SMC2针对这种情况,具备监测反弹shell的能力,能够及时发现是否有攻击者正在通过反弹shell攻击服务器,从而判断主机是否存在被入侵的情况,帮助管理员及时发现潜在的服务器失陷情况。
07、支持检测邮件系统文件变更
当管理员发现邮件系统服务器中的文件出现未报备的新增、重命名、删除、修改和移动等变动时,这可能意味着攻击者已经成功入侵服务器,并正在对邮件系统文件进行操作。
为了帮助管理员及时发现并应对这种情况,SMC2具备有效监测邮件系统重要目录文件新增、重命名、删除、修改和移动的能力。SMC2在监测出邮件系统文件的异常变动时,会及时告警管理员,以便管理员能够进行进一步的排查工作,降低主机失陷的风险。
随着网络威胁的不断演变,企业需要加强对邮箱安全的重视,并积极采用安全产品来应对日益复杂的威胁。SMC2为企业提供监测邮箱系统安全能力,协助管理员更高效地研判和处置邮箱威胁,助力企业有效保障邮件系统的安全运行。
未来,Coremail将不断努力提升SMC2的功能和性能,致力于实现邮件SOAR,以更好地满足客户的需求,确保客户的邮件系统安全可靠。