1.     APT及勒索软件邮件威胁

新型高危定向攻击的不断涌现，使得当今的安全形势比以往任何时候都更加严峻。定向攻击和高级威胁已经证明了他们绕开传统安全防御，并且实现网络攻击和窃取敏感数据的能力，企业安全防御形同虚设。定向工程邮件攻击或社交工程邮件攻击已成为入侵企业网络以及加密勒索软件攻击的首选方法。事实上，亚信安全的一项最新研究显示，91% 的定向攻击以及加密勒索软件攻击始于社交工程邮件，这类邮件通常含有传统邮件或终端安全产品无法检测的恶意附件或URL。

在典型的社交工程邮件攻击中，攻击者会将精心定制的电子邮件发送给有权访问您企业网络的特定员工、合作伙伴或其他人。攻击者使用从社交网络和 Internet 收集来的个人及职业信息来诱导目标，说服收件人毫无警觉地打开恶意文档附件或点击某个指向恶意站点的链接。收件人一旦就范，高级恶意软件将会安装在其计算机中，麻烦就这样开始了。恶意软件通常会连接一个远程指令控制服务器(C&C服务器)，以等待攻击者的进一步指令，与此同时，您企业的敏感数据和信息资产将变得岌岌可危。

大量事实证明，社交工程邮件是入侵企业网络最有效、最廉价的途径，便于攻击者进入您的网络，进而发起定向攻击。2014 年 Ponemon 研究所的一项研究表明，如果入侵成功，单次定向攻击对大型组织造成的平均损失为 600 万美元，甚至可多达 10 亿美元。

然而，尝试利用标准安全流程检测这些复杂的新型威胁是徒劳的。要应对这些攻击，您需要采用量身定制的解决方案，该解决方案可与您现有的邮件网关无缝协同工作，利用高级检测方法来检测和阻止定向工程邮件的攻击。

2.     DDEI介绍

高级威胁邮件安全网关（DDEI）专用来检测和阻止定向工程邮件所导致的网络攻击及数据泄漏。它采用先进的恶意软件检测引擎，URL分析以及文件和Web沙箱技术，可快速识别并阻止或隔离这些定向工程邮件。

高级威胁邮件安全网关（DDEI）和传统邮件网关或服务器安全产品协同工作，因此无需改变现有操作环境。它提供的针对高级威胁的检测及保护，超越了传统的防御能力，可有效地将攻击者拦截企业网络之外。

3.     主要功能                                      

 3.1.    攻击检测

l 邮件附件分析 - 使用多个检测引擎和定制化沙箱检测附件，包括多种 Windows 可执行文件、Microsoft Office、PDF、Zip、Web内容和压缩文件类型等；

l 文件漏洞检测 - 采用专业检测和沙箱技术发现藏匿在常见办公文档中的恶意软件和漏洞；

l 定制化沙箱 - 定制化的沙箱可模拟与您桌面系统精确匹配的运行环境，准确地检测到针对贵公司的恶意软件；

l 嵌入式 URL 分析 - 多级嵌入式 URL 分析通过web信誉检查、内容分析和沙箱模拟可识别嵌入在社交工程邮件以及文档附件中的恶意URL，必要时对目标内容进行扫描和沙箱分析，发现隐蔽下载中使用的重定向、高级恶意软件和漏洞；

l 智能文件解密 - 使用多种启发式密码提取技术对密码保护的文件附件或压缩附件进行解密；

3.2.    威胁分析

详细的沙箱分析可用于深入威胁研究。此外，亚信安全云安全威胁百科门户提供了相关的趋势科技全球情报，可用于评估攻击的风险和起源。

3.3.    策略控制和执行

根据告警严重性级别，您可以配置多种选项来处理恶意邮件，包括隔离、删除和带标记转发邮件等操作。邮件的沙箱分析可以按附件类型自定义控制（例如，对所有的 PDF文件进行沙箱分析）。

3.4.    灵活的管理和部署

MTA（阻止）、BCC（监控）及SPAN/TAP（监控）部署模式可与任何现存邮件安全解决方案协同工作。精细化管理控制可轻松实现定制化安全策略。

3.5.    定制化智能防御 IOC 共享

新的威胁标识（IOC）数据可以分享给亚信安全及第三方产品，用以阻止威胁。

3.6.    智慧型垃圾邮件扫描

融合了亚信安全空中抓毒专利技术、智能垃圾邮件甄别过滤引擎、邮件源发真实性检测识别、即时垃圾邮件数据库比对判断等多项业界领先的邮件安全处理技术，为企业级用户提供最全面、最智能、最高效的邮件安全管理防护，协助企业用户阻止各种通过邮件而传送的病毒、垃圾邮件、间谍软件、钓鱼程序等复杂的混合式恶意攻击；

亚信安全反垃圾邮件引擎采用“鸡尾酒”方法过滤垃圾邮件和钓鱼程序邮件.

高级启发式（Advanced Heuristics）

统计分析法（Statistical Analysis）

黑白名单

签名过滤法（Signature Filtering）

多语言检测（Detection for Multi-Languages）

4.     技术特点

4.1.    附件分析和定制化沙箱

使用启发式技术和客户提供的关键词打开、解压缩和解锁附件。多个检测引擎和定制化沙箱可识别藏匿在多种文件类型和内容（包括 Windows 可执行文件、Microsoft Office、PDF、Zip 和 Java等）中的高级恶意软件、文档漏洞以及恶意URL连结。

4.2.    URL 分析和定制化沙箱

嵌入式 URL 通过信誉检查以及必要时对目标内容进行扫描和沙箱分析，来发现隐蔽下载中使用的重定向、高级恶意软件和漏洞。

4.3.    策略控制和执行

根据告警严重性级别，您可以配置多种选项来处理恶意邮件，包括隔离、删除和带标记转发邮件等操作。邮件的沙箱分析可以按附件类型自定义控制（例如，对所有的 PDF文件进行沙箱分析）。

4.4.    威胁分析

详细的沙箱分析可用于深入威胁研究。此外，亚信安全云安全威胁百科门户提供了相关的趋势科技全球情报，可用于评估攻击的风险和起源。

4.5.    优化的贝叶斯过滤器技术

贝叶斯过滤器（Bayesian filter）通过使用贝叶斯逻辑（或称贝叶斯分析法），对邮件的标题和内容进行分析，从而判断邮件是否是垃圾邮件。贝叶斯分析法是在18世纪英国数学家托马斯·贝叶斯的理论基础上发展而来的。垃圾邮件一般包含有特定的文字，贝叶斯过滤器需要进行一段时间的学习，才能对垃圾邮件做出有效的拦截。贝叶斯过滤器会根据概率把邮件分类，比如："信任邮件"、"可疑邮件"等等。分类的类别可以由用户自己定义。

贝叶斯过滤器也有其局限性。贝叶斯过滤器最好能与反病毒系统协同工作。因为恶意病毒或蠕虫病毒有时会通过邮件附件的方式进行传播，即使邮件的来源是安全的。

DDEI采用的贝叶斯算法与亚信安全Intellitrap、DCE5反病毒技术结合在一起，大大提高了算法的准确性。

4.6.    优化的RBL+检测技术

RBL+是由国际反垃圾邮件组织MAPS (Mail Abuse Prevention System)维护的黑名单列表，目前已被国内外防垃圾邮件厂商作为基本的反垃圾邮件技术使用。RBL+包括:

RBL (Realtime Black hole list)

DUL (Dialup Users List)

RSS (Relay Spam Stopper)

NML (Non-confirmed Mailing List)

OPS (Open Proxy Stopper)

等数据库。

用于垃圾邮件过滤的传统RBL服务，应该称之为基于DNS的实时黑名单查询，也就是说，这个服务是通过DNS协议来完成的。RBL服务会提高垃圾邮件的扫描效率和准确率，但也会导致DNS劫持。

基本上所有的RBL服务都会返回特定的查询结果，即每次都返回同样的一个或几个IP地址，而且这种IP地址通常都是特定的保留IP，不会出现在正常的DNS查询中，如127.0.0.2、127.0.8.2等。

基于这一原理，DDEI采用亚信安全优化的RBL+检测技术，根据RBL服务所公示的查询结果来设置RBL查询，实现对RBL查询结果的验证，避免DNS劫持的发生。