基于網(wǎng)絡(luò)杜絕Email威脅

在過(guò)去的幾年時(shí)間里，Email日趨成為主要的威脅傳播載體，像垃圾郵件、病毒、特洛依木馬及釣魚(yú)攻擊等。由于Email具有全球范圍傳播的特性，攻擊者平均每天可以在網(wǎng)絡(luò)上廣播4萬(wàn)種安全威脅，一年累計(jì)下來(lái)高達(dá)1500萬(wàn)種安全威脅。Ferris的研究報(bào)告指出，僅2007年，美國(guó)的企業(yè)因?yàn)槔]件而造成的生產(chǎn)力及維護(hù)損失就達(dá)到了350億美金，全球則高達(dá)1000億美金。Nucleus的研究報(bào)告顯示垃圾郵件讓美國(guó)企業(yè)增加了710億美元的額外管理費(fèi)用。

造成這個(gè)現(xiàn)象的最主要原因是大多數(shù)安全軟件都缺乏快速適應(yīng)不斷變化的安全威脅的能力。垃圾郵件和惡意軟件等威脅的制造者正在不停地完善他們的傳播方式，盡可能將他們的威脅傳播得更加廣泛。而大多數(shù)的垃圾郵件過(guò)濾和安全軟件產(chǎn)品僅僅掃描收到的郵件中的地址信息差異和其它的郵件頭信息。這些掃描工具只能根據(jù)現(xiàn)有的策略進(jìn)行分析，沒(méi)有辦法快速地檢測(cè)到基于新技術(shù)和新屬性的威脅。但是，由于安全威脅通過(guò)郵件被同時(shí)發(fā)送到成千上萬(wàn)個(gè)收件人，我們需要一種能夠及時(shí)檢測(cè)和阻止垃圾郵件爆發(fā)的技術(shù)。

NETGEAR采用的技術(shù)是基于威脅爆發(fā)的共通性進(jìn)行分析：

大多數(shù)爆發(fā)的郵件都會(huì)有所變化，使得難以根據(jù)分析郵件內(nèi)容來(lái)制定相應(yīng)的阻擋規(guī)則。比如，垃圾郵件現(xiàn)在經(jīng)常采用圖片的方式來(lái)傳播，簡(jiǎn)單地避開(kāi)當(dāng)前的內(nèi)容過(guò)濾器。

大多數(shù)爆發(fā)會(huì)包含數(shù)百萬(wàn)郵件，從而獲得更大的郵件回復(fù)，提高發(fā)起人的投資回報(bào)率。

大部分爆發(fā)都是在短時(shí)間內(nèi)釋放出來(lái)，需要實(shí)時(shí)的解決方案才能及時(shí)檢測(cè)到爆發(fā)，降低或者避免造成損失。

攻擊發(fā)起人一般都采用大量的偽裝方法來(lái)使得攻擊源難以被反向追蹤。

爆發(fā)的生命周期

惡意軟件發(fā)起人通過(guò)采用僵尸網(wǎng)絡(luò)的方式，一般都能夠在幾分鐘時(shí)間內(nèi)同時(shí)發(fā)送幾百萬(wàn)封郵件。僵尸網(wǎng)絡(luò)由大量的僵尸計(jì)算機(jī)組成，這些計(jì)算機(jī)通常都是被惡意軟件所感染，惡意軟件發(fā)起人可以通過(guò)遠(yuǎn)程隨心所欲地控制這些計(jì)算機(jī)系統(tǒng)。僵尸網(wǎng)絡(luò)平均由2萬(wàn)臺(tái)以上的僵尸計(jì)算機(jī)組成一個(gè)龐大的系統(tǒng)來(lái)發(fā)送大規(guī)模的威脅攻擊。大型的僵尸網(wǎng)絡(luò)甚至由上百萬(wàn)的僵尸計(jì)算機(jī)組成。當(dāng)惡意軟件發(fā)起人下達(dá)指令時(shí)，網(wǎng)絡(luò)中的所有僵尸計(jì)算機(jī)便同時(shí)開(kāi)始執(zhí)行。

當(dāng)病毒和其它通過(guò)Email傳播的威脅成功植入計(jì)算機(jī)后，它們便會(huì)開(kāi)始自我繁殖和傳播。在開(kāi)始的時(shí)候，越多計(jì)算機(jī)被感染，隨著時(shí)間的推移，受感染的范圍就會(huì)越廣。正是由于這種原因，我們需要盡早在傳播的階段控制爆發(fā)。通過(guò)在爆發(fā)發(fā)生的前幾分鐘內(nèi)對(duì)其進(jìn)行控制可以有效地阻止大規(guī)模的攻擊。

消息特征碼

垃圾郵件、釣魚(yú)攻擊和其它通過(guò)Email傳播的威脅中通常都由幾百萬(wàn)各不相同的信息所組成，用以避開(kāi)常規(guī)的用戶過(guò)濾規(guī)則。雖然如此，一次爆發(fā)中的所有信息都包含有至少一個(gè)唯一且可識(shí)別的值，可用于標(biāo)識(shí)各種爆發(fā)。不同的垃圾郵件通常由同個(gè)僵尸網(wǎng)絡(luò)中的機(jī)器發(fā)出;各種釣魚(yú)攻擊一般誘導(dǎo)用戶訪問(wèn)同一個(gè)欺詐網(wǎng)站;而每個(gè)通過(guò)郵件傳播的病毒都包含同種惡意代碼。盡管有些攻擊只針對(duì)特定小范圍的群體，但是這種共通性也同樣對(duì)最新的技術(shù)有效，如鯨釣式攻擊。

每個(gè)像這樣重復(fù)出現(xiàn)的值都可以作為一個(gè)爆發(fā)的“信息特征碼”。包含一個(gè)或多個(gè)這種唯一的特征碼的信息便非?？赡苁潜l(fā)中的一部分。

大部分爆發(fā)的生命周期都相當(dāng)短——通常只有幾個(gè)小時(shí)，所以，檢測(cè)方案必須能夠?qū)崟r(shí)地檢測(cè)，并在威脅造成破壞之前完全檢測(cè)和分類(lèi)信息才有意義。而且，由于大多數(shù)爆發(fā)都偽裝成合法的郵件，所以基于特征分析的檢測(cè)方案需要能夠區(qū)分真正的合法郵件和通過(guò)郵件傳播的威脅。

為了達(dá)到這兩個(gè)目標(biāo)，特征碼必須從郵件的信封、郵件頭和郵件體上進(jìn)行提取，而不需要關(guān)系到郵件本身的內(nèi)容。所以特征碼分析可以識(shí)別任何語(yǔ)言、任何信息格式和任何編碼類(lèi)型的爆發(fā)。信息特征碼可以分為分布特征(Distribution Patterns)和結(jié)構(gòu)特征(Structure Patterns)。分布特征通過(guò)分析信息散布到收信人的方式來(lái)判斷信息是屬于合法，或者是潛在的威脅，而結(jié)構(gòu)特征則用于定義散布的量。

圖1：NETGEAR垃圾郵件云分布分析技術(shù)

特征檢測(cè)代表了一種新的、更強(qiáng)大的認(rèn)識(shí)，用以了解通過(guò)Email傳播的威脅是如何產(chǎn)生和傳播的。

圖2：NETGEAR垃圾郵件云分布分析技術(shù)

垃圾郵件云分布分析技術(shù)

NETGEAR垃圾郵件云分布分析技術(shù)由兩個(gè)組件構(gòu)成：ProSecure™ STM內(nèi)容安全網(wǎng)關(guān)安裝在企業(yè)網(wǎng)絡(luò)之中，和NETGEAR垃圾郵件分類(lèi)中心，用于進(jìn)行垃圾郵件云分布分析。STM將與垃圾郵件分類(lèi)中心進(jìn)行實(shí)時(shí)溝通，獲得“秒級(jí)別”的垃圾郵件和惡意軟件爆發(fā)信息(參見(jiàn)圖1)。

基于對(duì)全球5000萬(wàn)數(shù)據(jù)源的分析，兩個(gè)系統(tǒng)通過(guò)不斷、緊密地通信溝通，NETGEAR實(shí)時(shí)主動(dòng)地檢測(cè)和分類(lèi)所有類(lèi)型的通過(guò)Email傳播的威脅。垃圾郵件云分布分析技術(shù)從郵件中提取相關(guān)的信息特征碼，用于識(shí)別和分類(lèi)通過(guò)郵件傳播的威脅的分布特征和結(jié)構(gòu)特征(參見(jiàn)圖2)。除了識(shí)別新的威脅特征，垃圾郵件云分布分析可用于修改或者加強(qiáng)早先識(shí)別出來(lái)的信息特征碼的分類(lèi)。

通過(guò)反向分析，垃圾郵件云分布分析技術(shù)可以識(shí)別由商業(yè)應(yīng)用而發(fā)出主動(dòng)請(qǐng)求的批量郵件的分布特征，和那些不請(qǐng)自來(lái)的批量郵件。因此，垃圾郵件云分布分析技術(shù)能夠接近100%識(shí)別出威脅信息并且?guī)缀鯖](méi)有誤殺。它與語(yǔ)言無(wú)關(guān)，也可以應(yīng)對(duì)所有信息格式和編碼類(lèi)型。

總結(jié)

為了有效地防止來(lái)自Email的威脅，一個(gè)成功的解決方案必須能夠應(yīng)付不斷增長(zhǎng)的挑戰(zhàn)。垃圾郵件云分布分析技術(shù)是一種主動(dòng)檢測(cè)技術(shù)，不需要依靠郵件內(nèi)容分析，并且可以檢測(cè)任何語(yǔ)言、任何信息格式(包括HTML、圖片和非英文文字)。垃圾郵件云分布分析技術(shù)可以主動(dòng)分析和分類(lèi)新的Email威脅并在攻擊發(fā)生的幾分鐘內(nèi)形成特征文件。垃圾郵件云分布分析技術(shù)提供：

超高垃圾郵件檢測(cè)率且?guī)缀鯚o(wú)誤殺率;

及時(shí)檢測(cè)到新的Email威脅;

防御釣魚(yú)攻擊;

防御未知內(nèi)容威脅;

檢測(cè)多語(yǔ)言威脅;

檢測(cè)多格式威脅。

垃圾郵件云分布分析技術(shù)通過(guò)高級(jí)特征分析提供了最好的Email威脅保護(hù)。

NETGEAR® ProSecure™ STM內(nèi)容安全網(wǎng)關(guān)解決方案

NETGEAR® ProSecure™采用特有的技術(shù)，通過(guò)爆發(fā)擴(kuò)散的速度和廣泛程度來(lái)檢測(cè)并阻止爆發(fā)。通過(guò)這種方式，可以在垃圾郵件和惡意軟件爆發(fā)產(chǎn)生的極短時(shí)間內(nèi)檢測(cè)出來(lái)，并且實(shí)時(shí)地阻止所有相關(guān)的信息。

ProSecure™ STM平臺(tái)采用了專利的串流掃描技術(shù)，能夠在數(shù)據(jù)流進(jìn)入網(wǎng)絡(luò)的時(shí)候馬上進(jìn)行掃描。NETGEAR STM使用單一的平臺(tái)即可實(shí)現(xiàn)對(duì)垃圾郵件、惡意軟件、安全破壞或不必要的應(yīng)用程序進(jìn)行掃描，通過(guò)串流掃描技術(shù)，能夠?qū)崟r(shí)地掃描大量的數(shù)據(jù)。這使得局域網(wǎng)中的用戶可以接收到安全的Email和Web內(nèi)容但卻沒(méi)有任何延時(shí)。

ProSecure™ STM平臺(tái)使用主動(dòng)防御系統(tǒng)來(lái)避免漏洞從發(fā)現(xiàn)到修復(fù)之間的時(shí)間差。NETGEAR的解決方案中采用“法醫(yī)式鑒定方法”來(lái)識(shí)別進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)流中的可疑的特征，并抵制這些特征直到它們能夠更精確匹配。

【編輯推薦】

1. 精準(zhǔn)高效低成本——云安全技術(shù)專題
2. 終端安全在線評(píng)估——云安全技術(shù)專題
3. 數(shù)據(jù)云URL過(guò)濾技術(shù)