以匠心独运筑牢金融业邮件安全坚实防线

FangMail创始人&CEO郑远标 Fa n g M a i l发 展 历 程 2 0 2 3 - 2 0 2 4年 攻 击 态 势 加 剧金 融 网 络 安 全 面 临 巨 大 压 力 邮 件 安 全领 域面 临 全 新 威 胁 与 考 验 92%以上黑客攻击从邮件系统发起 病毒种类及攻击方法持续演进，加密附件携带病毒 Ø2024年，中国每千个邮箱，平均每月遭受邮件攻击数量为299.27次（钓鱼、BEC、恶意附件等）；Ø持续定向攻击稳定增长，域外攻击呈逐步走高趋势。 Ø可执行文件，脚本文件，宏病毒；Ø木马借助邮件传播，入侵用户网络，攻击内部系统，乃至长期潜伏敏感部门，窃取用户核心信息。 新型钓鱼邮件、二维码钓鱼邮件、BEC商业欺诈邮件层出不穷 URL类型、仿冒知名站点发起诱导下载窃取信息或传播病毒 Ø中国2024年遭受钓鱼邮件攻击数量相比2023年增长78%ØBEC攻击持续高速增长，相比2023年增长近60%。Ø图片钓鱼，URL钓鱼千变万化 Ø国际某安全组织观察到，犯罪分子通过构造"URL形式"来逃避安全软件的防护，发送钓鱼邮件进行攻击的次数增加了近6000%。 弱鸡邮件系统，大量账号沦陷 Ø内部邮件、社会工程学被广泛利用发送垃圾、传播病毒、钓鱼欺诈。Ø暴力破解无处不在，海量IP爆破 传 统 商 业 邮 件 安 全 网 关 存 在 的8大 问 题 识不全挖不深拦不准 ③病毒以及加密病毒邮件泛滥，无法对加密病毒进行有效查杀。 ①钓鱼邮件无法精准识别，导致企业遭受钓鱼攻击，核心资产面临严重损失。 ②新型二维码钓鱼日益增 加，无法准确提取识别。 ④发票类变态垃圾无法精确识别，策略简单粗暴，导致无法接收正常发票邮件。 手段旧误报多过滤粗 ⑦简单采用IP黑名单、SPF情报等进行阻断， ⑤图片垃圾邮件泛滥，不具备OCR识别能力或者能力较弱。 未对邮件深入分析分类，恶意钓鱼等邮件可 能被用户放行，造成二次伤害。 ⑧精准度不足，纯内容识别准确率通常不及80%，过滤粒度粗糙，导致误报率高。内部盗号攻击无法准确识别。 ⑥黑白名单滥用，白名单导致漏报从而发起供应链攻击；黑名单导致误报。 方向标新一代邮件安全高级防护系统及解决方案 方 向 标 新 一 代 邮 件 安 全 高 级 防 护 系 统 基 于“三 位 一 体”的 智 能 化 高 级 防 护 系 统 大 数 据— —天 然 的 样 本 大 数 据 优 势 基 于 多 套 、 多 域 名 企 业 邮 箱 系 统 ， 拥 有 各 种 各 样 最新 的 钓 鱼 样 本， 具 有 天 然 的 大 数 据 优 势 ， 能 快 速 提炼 指 纹 ， 应 对 各 种 爆 发 病 毒 以 及 新 型 钓 鱼 邮 件 。 核 心 算 法— —自 主 研 发 的 防 护 策 略 完 全 自 主 研 发 ， 拥 有 完 全 自 主 的 各 种 策 略 库 ， 不依 赖 第 三 方 引 擎 和 策 略 库 ， 具 备 丰 富 的 表 达 能 力 ，能 够 创 建 各 种 反 垃 圾 钓 鱼 模 型 ， 可 充 分 应 对 各 种钓 鱼 ， 高 效 精 准 。 数 据 运 营 挖 掘— —跟 踪 最 新 风 险 趋 势 在 服 务 客 户 、 持 续 运 营 中 ， 结 合 一 线 防 护 数 据 ， 将 数 据 转 换 为 信 息 ，并 将 信 息 加 工 为 知 识 学 习 库、 再 经 过 线 上 系 统 验 证 ， 调 优 形 成 特 征库 ， 针 对 进 攻 者 采 取 的 自 我 智 能 防 卫 策 略 。 运 营 支 撑 ： 大 数 据 千行百业 海量数据 实时处理 真实场景 系 统 技 术 特 性1： 基 于 二 维 码 识 别阻 断 海 量 钓 鱼 邮 件 p某 生 产 系 统 ， 一 周 内 阻 断 了2 6万 多 封 二 维 码 垃 圾 钓 鱼 邮件 。 系 统 技 术 特 性2： 基 于 自 主 开 发 的O C R识 别 引 擎 p可 识 别J P G、J P E G、B M P、P N G、G I F、T I F F及D a t a / I m a g e等 各 种 图片 格 式 ， 可 精 准 识 别 各 种 变 态 字 符 。 系 统 技 术 特 性3： 阻 断 加 密 恶 意 附 件 p从邮件上下文高效提取密码，进行带密附件解析和查杀。p有效排除各种干扰内容，准确提取密码信息。 系 统 技 术 特 性4： 隔 离 邮 件 精 准 分 类 基于内容深入分析，对邮件类型进行细化研判 p可将隔离邮件细分为钓鱼、病毒、恶意、广告、盗号滥发、政治、色情等类别。 p便于问题溯源及隔离通知管理，避免因模糊分类放行造成的二次伤害。 p针对未准确分类邮件进行安全实验室检验，提升运营防护效果。 系 统 技 术 特 性5： 业 界 首 创E x c h a n g e内 到 内 邮 件 检 测 n实现方法：在Exchange系统安装Agent插件，将内到内邮件导流至邮件内部威胁检测系统。 n例如：内-内邮件防护流程： ①用户A向Exchange系统发送邮件，收件人：企业内部的用户B。②Exchange上的Agent代理程序将邮件转发给邮件内部威胁检测系统。③邮件内部威胁检测系统对邮件进行深度扫描、解析，将结果返回Exchange。④Exchange的伺服调度程序解析返回结果，据此投递或阻断该邮件。 备注：Exchange和邮件内部威胁检测系统走私有协议，而非标准SMTP协议。 携 手 主 流 云 邮 箱 品 牌免 受 各 类 恶 意 邮 件 攻 击 方 向 标 深 度 携 手 主 流 云 邮 箱 品 牌 网 易 、2 6 3、 金 山 软 件 、O 3 6 5、 字 节 跳 动 、 中 企 动 力 等合 作 伙 伴 一 道 ， 为 用 户 的 邮 件 通 信 提 供 更 优 防 护 ü经主流邮箱品牌严格测试与甄选、认可方向标，为其自身邮件办公系统提供威胁监测与防护一体化服务。 ü作为品牌邮箱合作的高级安全防护服务，向广大企业邮箱客户推荐。 ü云邮箱用户，在发送与接收内外部邮件过程中，使用Fangmail威胁邮件检测与防护系统，可以在现有网关基础上，提供更深度扫描、解析，智能精准识别并阻断风险，使企业邮箱账户免受各类新型恶意邮件攻击，减少误拦截。 某 保 险 公 司测 试阶 段：接 近1 0 0 %识 别 阻 断 风 险 邮 件 客户采用线上真实样本测试，包括正常样本2000封，垃圾样本8000封，钓鱼样本1000封，病毒样本500封。 •方向标安全网关正常邮件误判1封（灰色），钓鱼病毒100%识别阻断，垃圾样本识别率超过99.5%。 •其 他 厂 家 参 测 产 品 识 别 率 均 在8 0 %以 下 ， 误 报 率3~10个百分点。 •在测试邮件服务器建立账号A（用于接收正常邮件）以及B（用于接收垃圾邮件）；•邮件压力测试服务器A向A发送正常邮件（8000封）；•邮件压力测试服务器B向B发送垃圾邮件（24707封）。 某 保 险 公 司护 网阶 段：0误 判0漏 判 p在客户负载均衡设备屏蔽原始IP，信誉机制完全失效情况下，方向标邮件安全网关依托自研内容检测引擎，达成99.9%以上识别率。 护网成绩 p护网期间，整体效果接近0误判及0漏判 客户接入方向负载均衡采用F5，屏蔽原始IP地址，导致黑白名单、SPF等检测手段不可用 某知名互联网教育企业URL攻击防护成果 2024护网行动方向标成绩 ü拦截了99.99%的钓鱼、病毒、URL恶意以及各种垃圾邮件。 ü对攻击性邮件的拦截率接近100%，且误报率几乎为0，基本实现“0误报、0漏报”。 ü充分体现了二维码识别、URL以及网盘钓鱼识别，各种加密附件提取识别和OCR图片识别能力，基本阻断了各类攻击队打进来的邮件，得到了诸多关基企业的点赞与认可。 URL容器检测沙箱完 整 应 对“恶 意U R L攻 击 邮 件”的 安 全 平 台 及 方 案 方 向 标 在 业 界 首 先 推 出U R L容 器 检 测 平 台 方向标基于“超轻量级浏览器隔离（UltraLightweightBrowserIsolation）”技术构建了URL钓鱼链接防护平台，在容器环境中模拟点击URL钓鱼链接，并自动识别风险邮件的类别与真实意图，阻断钓鱼恶意等行为，从而有效阻断新型URL钓鱼邮件造成的重要伤害。 典 型 攻 击 场 景 与 拦 截 效 果 （ 文 本U R L风 险 类 ） 2. 利用谷歌白网址特性为跳板，绕过传统网关扫描，并模拟文档获取登录界面的方式，窃取用户邮箱密码。该攻击场景多针对具有国际工作场景的企业发起。 3. 攻防演练样本：用qq或163等邮箱仿冒信息安全部门，往企业大量发送“零信任安全系统”安装及登记的通知，意图获取员工的登录权限。 4. Ø邮件正文原始URL地址中的域名部分做了NCR编码，路径部分还做了Base64编码（实际为收件人的邮箱地址），很容易绕过网关检测，从而放行。Ø用户若点击该URL链接，将自动跳转到某真实落地URL页面,该页面内含诱导输入密码的钓鱼内容。 ØFangMailURL容器检测平台对原始URL地址的NCR编码部分进行解码，结果为俄文域名，并形成干扰。ØURL容器检测出跳转后的真实URL落地地址，并检测到页面包含密码输入元素，结合情报信息，最终检测出恶意。 5. Ø利 用 真 实 的 阿 里巴 巴 网 站 发 送 外贸 询 盘 邮 件 ， 正文直接含有URL钓鱼链接； Ø点 击 下 载 云 盘 文档 后 ， 钓 取 用 户的邮箱密码。 典 型 攻 击 场 景 与 拦 截 效 果 （ 图 片U R L风 险 类 ） Ø该二维码攻击利用HTML/CSS的排版功能将多张小图片组合成为一个完整的二维码； Ø传统的二维码检测只能针对单张小图片依次检测，无法进行视觉上的组合，因此会漏检这种拼接而成的二维码，给企业内部造成新的安全风险。 Ø方向标的URL容器检测能够正确处理这种新攻击，准确检测并“渲染提取”这类二维码中的链接，以判断链接中是否包含钓鱼或恶意内容。 2. Ø一些攻击者将钓鱼二维码嵌入到腾讯文档、金山文档、飞书等在线文档中，将二维码滚动放在底部位置，首屏无法查看到。 Ø传统的二维码检测手段只能处理单一固定页面，不能正确处理这些在线文档的滚动底部位置，于是攻击者能够绕过邮件网关的检测，达成攻击目的。 Ø方向标URL容器检测系统支持对这些常见在线文档中的异常二维码检测，让恶意攻击无所遁形。 典 型 攻 击 场 景 与 拦 截 效 果 （ 恶 意 附 件 风 险 类 ） Ø该邮件文字、附件网页含有NCR发送含有诱惑性的PO采购合同，诱导登入账户密码，主要依托俄文企业官网白网址做底层绕过网关检查。 src="https://xn----7sbbucvnociunff5loae.xn--p1ai/boss/#sales@satisfactorystainlesssteel.com" Ø经过容器检测系统检查为含有恶意内容的攻击邮件。（检测过程详见下页） 2. •利用未被spf记录的白邮箱做伪造，发送至用户处。•附件压缩包内含有一个网页文件，其js代码中指引到伪造的微软onedrive云盘保护登录页面，稍不注意就会被盗取云盘用户名密码。•并且该链接可正常绕过大部分主流邮件安全网关的拦截机制，到达用户的邮箱。 URL容器模拟用户的访问行为，点击htm页面中的按钮，跳转到真实落地页面