选型宝访谈:做好邮件安全,斩断威胁数据安全的“杀伤链”!

本文涉及的产品
数据安全中心,免费版
云防火墙,500元 1000GB
简介: 写在前面信息安全是一个永恒的话题,也是企业CIO、CSO们关注的重点。就在今年的5月12日,WannaCry勒索病毒大规模爆发,再一次为企业的信息安全敲响了警钟。可以说,我们面对的安全问题,从来没有像今天这么复杂,企业的信息安全,也从来没有像今天这么重要。

写在前面

信息安全是一个永恒的话题,也是企业CIO、CSO们关注的重点。就在今年的5月12日,WannaCry勒索病毒大规模爆发,再一次为企业的信息安全敲响了警钟。

可以说,我们面对的安全问题,从来没有像今天这么复杂,企业的信息安全,也从来没有像今天这么重要。一方面,随着大数据时代的到来,数据已成为企业的核心资产,变得越来越重要。云计算和移动互联网的普及,又使企业IT基础架构的边界越来越模糊,数据变得无处不在。另一方面,来自外部和内部的安全威胁越来越频繁,威胁手段也越来越多样化、专业化。

在这样的背景下,我们应该树立怎样的安全理念?应该用哪些工具来保护我们的关键数据和知识产权?面对安全威胁的“杀伤链”,我们应该从哪里入手,将其尽早斩断?在下一个WannaCry到来之前,我们应该做好哪些准备?

带着这些问题,我们采访了Forcepoint准能科技的技术总监冯文豪先生。

下面就请看选型宝首席架构师李维良与冯文豪先生的精彩对话吧。

李维良

在了解准能科技的时候,我们常会看到Forcepoint、Websense这些名字,请您介绍一下它们之间的关系和渊源。

冯文豪

大家对Forcepoint这个名字可能还比较陌生,毕竟这个名字从去年年初才开始使用。我们的前身叫Websense,中文名字叫韦伯森斯。Websense进入中国非常早,发展也非常的快。后来,通过一系列的收购、合并,我们在2016年初,成立了一家名叫Forcepoint的公司,中文名字是准能科技。

以前,Websense主要立足于Web安全、邮件安全和数据安全,并且在市场口碑,以及第三方的评估报告中,获得了非常多的认可。大家对Gartner的评估报告比较熟悉,从有数据泄漏防护(DLP)评估到现在,我们连续9年被评为领导者。

为什么要成立Forcepoint这家公司呢?从公司的战略角度来说,我们希望能走得更远,成为全球信息安全,或者说内容安全领域的最强者。因此,Forcepoint在整合了Websense原有的一系列产品之后,还在近些年成功收购了很多产品线,目的就是希望能够建立一个基于威胁生命周期的更加完整的安全体系,并为用户提供更全面、更强大的安全保护。

李维良

就在不久前的5月12日,WannaCry勒索病毒席卷网络,造成了巨大的经济损失,引起了一片恐慌。那么,WannaCry勒索病毒有什么特点?它的大面积爆发,给企业的数据安全带来了哪些警示?

冯文豪

WannaCry确实达到了让很多企业“想哭”的效果。其实,和2016年下半年、2017年年初时曾经爆发过的几次勒索软件病毒相比,WannaCry的隐蔽性和攻击手法并没有什么特殊之处,但是它利用了一个时间差,得以快速传播。从微软3月份提供相关漏洞的补丁,到5月份病毒爆发,中间有两个月的时间,但很多企业因为疏忽大意,没有及时打补丁,结果不幸中招。

关于WannaCry,我们应该思考的另外一个问题是:它的入口在哪里?是从哪里进来的?对企业信息系统来说,有两个入口最关键,一个是Web,一个是邮件。对于Web来说,我可以把它封掉,或者隔离一些权限,但邮件不同,它是一个正常的业务通道,我们不可能封掉它。在这样的情况下,很多外部攻击和新型威胁,就会首先从邮件这个薄弱环节渗透进来。

对企业来说,一定要保持对安全威胁的高度警惕,时刻关注安全动态,及时更新系统、安装补丁,做好备份。对员工来说,要不断提高安全意识,养成良好的行为习惯,不让堡垒从内部被攻破。同时,企业要建立一套完整的防御体系,从邮件这样的薄弱环节开始,全面防范安全威胁,保护好自己的核心数据。我想,这些都是WannaCry带给我们的重要警示。

李维良

我注意到,Forcepoint安全实验室提出了“杀伤链”,也就是威胁生命周期的概念。这是一个怎样的概念?在“杀伤链”中,邮件起到了什么样的作用呢?

冯文豪

杀伤链的原文是Kill Chain,其实最早是由洛克希德·马丁公司提出的。他们最早发现了APT攻击,并将整个攻击过程还原出来,从而产生了Kill Chain这个概念。

传统的网络攻击,通常是以层层渗透的方式进入企业和组织的,但在我们设置了防火墙、IPS、邮件网关等多道防御系统之后,这样的攻击方式将显得太繁琐、太艰难了。于是就出现了APT(Advanced Persistent Threat),也就是高级持续性威胁。

APT攻击的“杀伤链”,从侦查、诱饵、重定向,到最后的数据窃取,一共有7个步骤,整个过程设计精密,环环相扣。APT有几个特性,其中最重要的特性是隐蔽性强,它不在乎时间,它更在乎效果。第二,它不会采用层层渗透的方式来攻击,而是利用企业现有的这两个主要业务通道来渗透,一个通道是邮件,另一个通道是Web。因为业务需要,绝大多数企业不会关闭这两个通道。据统计,超过90% 的APT攻击是从邮件开始的,所以,做好邮件安全,就可以从源头斩断威胁数据安全的“杀伤链”。

李维良

来自邮件的渗透和威胁中,鱼叉式攻击、BEC等和传统的钓鱼邮件有什么区别?

冯文豪

从垃圾邮件到钓鱼邮件,再到BEC和鱼叉式攻击,这是一个历史演进的过程。邮件最早被不法分子利用,主要是发送一些广告和政治敏感性内容,这就是所谓的垃圾邮件。攻击者觉得邮件其实是个很好的渠道,与其发小广告,我还不如去做一些更“有意义”的事情,于是,钓鱼邮件就出现了。钓鱼邮件通过群发的方式,引诱人们去做一些事情,从而达到诈骗的目的。

钓鱼邮件之后,又出现了BEC,全称叫Business Email Compromise,我们可把它理解为针对企业的金融诈骗。与普通钓鱼邮件相比,BEC更有针对性。比如,不法分子会先窃取企业CEO的邮箱密码,然后冒充CEO给财务人员发邮件,指令财务人员给某个账户汇款。这种邮件看起来和普通的业务邮件一模一样,有很大的迷惑性,一不小心就会中招。

再后来,就是我们现在面临的鱼叉式攻击。这种攻击的目的,已经不局限于骗取钱财,而是通过邮件,获取企业特权帐号等信息,然后再利用这种信息,进一步得到更多的利益。鱼叉式攻击的目的性更强,攻击对象也不仅限于高管和财务,而可能是企业全体员工。只有从中找到任何一个漏洞,它就可以想办法去突破你。

李维良

您今天带来给大家试用的邮件安全网关,它的工作原理是怎样的?它和传统的邮件安全产品有什么区别?

冯文豪

现在大部分企业部署的和邮件相关的安全系统,基本还停留在对垃圾邮件、病毒邮件的静态防护阶段。这类系统更多是基于静态特征来识别危险,它不关注内容,看不到邮件里钓鱼之类的链接, 因此,它对APT或勒索软件这样的高级威胁是很难防御的。另外,这类系统更多关注邮件的“入”,而不关心“出”。

其实,早在Websense时期, 我们就注意到传统邮件安全产品存在的这些问题,并且针对这些问题,提出了一个新的一体化解决方案。我们的方案,不再局限于对垃圾邮件和病毒邮件的防护,而是从“入站”和“出站”两个角度,重新审视邮件安全,并提供更全面、更深入的安全防护。

对于入站邮件,我们的网关会对其内容进行分析,看里有没有包含恶意网址,这是传统的邮件网关做不到的。另外,对于一些未知的新型威胁,我们会把它放到“沙箱”(sandbox)里模拟运行,并通过分析运行结果,预估它的风险。

对于出站邮件,传统的做法是先备份存档,出事后再回查。但当企业的规模达到一定水平之后,从海量邮件里查找问题邮件,无异于大海捞针,是非常困难的。而我们的做法是,先为出站邮件预设一道防线,分析评估哪些邮件该发,哪些不该发。对于不该发的邮件,网关会发出警告,或提醒用户先找上级审批。

通过内容分析、沙箱模拟等一系列手段,我们邮件安全网关可以从出站和入站两个角度,为用户提供一套更完整防御机制。

李维良

我想,很多用户也会关心,邮件安全网关和防火墙有什么不同?

冯文豪

防火墙位于内外和外网的边界,它所提供的,通常是一种“开关式”的防护。比如,设置允许POP/SMTP协议,那么,所有邮件就都可以正常通行了。虽然新一代防火墙已经可以工作在应用层,但它还是基于特征去识别危险的,对于新型威胁和数据泄漏来说,防火墙是看不到的。

邮件安全网关位于内网,它和防火墙并不冲突,可以同时工作。邮件安全网关通过内容分析、行为识别、沙箱等技术,为用户提供更高级、更专业的邮件安全防护。

李维良

Forcepoint邮件安全网关通常是如何部署的?对于一些使用第三方企业邮箱的用户,您有什么建议呢?

冯文豪

我们的邮件安全解决方案包含了传统邮件网关的功能,可以完全取代传统的方案。传统邮件网关能部署的地方,我们的邮件网关也可以部署,但我们的解决方案会相对比较完整。

除了本地部署这种典型的方式之外,我们也支持云端部署。另外,我们还有一个单独的管理平台,用于制定策略,无缝衔接各种功能,比如垃圾邮件拦截、DLP等等。通过管理平台,可以将更多的解决方整合在一起,并让它们协同工作。

如果您使用的是第三方企业邮箱,我比较倾向于采用云端的解决方案。我可以给大家举一个云端应用的个例子。现在有越来越多的企业,包括国内企业,开始把邮件系统切到Office365上,基于这种情况,我们在微软的云平台上部署了一套邮件安全解决方案,并且可以直接把邮件流量指到这个防护系统上做分析过滤。整个过程是无缝衔接起来的,而且可以实现云端策略与本地策略的同步。

李维良

Forcepoint邮件安全网关的背后,有哪些支撑技术?这些技术有什么独到之处?

冯文豪

首先,我们有一个叫做ThreatSeeker智能云的安全情报感知网络,它在全球收集最新的安全威胁,并把数据提交给我们后端的安全实验室,为研发提供支持。一旦安全实验室有新的结论出来,就会把这些特征放到我们的分析引擎里。

我们的引擎叫ACE,也就是高级分类引擎。ACE可以提供10000多种分析方法,通过打分机制,判断每个威胁的风险等级。它有一个非常强大的库和一套非常智能的算法,这是我们比较强的一个地方。

另外,我们通过一些方案整合,不断加强邮件安全网关的功能。比如前面提到的“沙箱”,就是一个非常强大的功能,它可以通过模拟运行,预判一些未知的威胁。

在内容分析方面,我们也有很多独到的技术。比如,一些员工会把本地涉密的内容先截屏,然后再以邮件附件的方式发出去。针对这种图片格式的内容,我们会在网关旁边放一个光学字符识别,也就是OCR的一个服务器,它可以自动识别图片中的文字内容,并做进一步的分析。

还有一种数据泄漏形式,我们称之为“点滴式泄漏”。它会先把一份完整的信息拆分为碎片,然后每次一点点地发出去,最后再拼接还原。对于这种隐秘的数据泄漏方式,我们的邮件安全解决方案也可以很好地识别和防范。

李维良

当我们提到安全威胁时,通常是指外部攻击,但我注意到,Forcepoint还非常重视来自内部的威胁,是这样吗?

冯文豪

没错。一直以来,在整个解决方案的设计过程中,无论从研发的角度,还是从产品的角度,我们都一直非常非常重视内部威胁。预计今年年底的时候,我们会发布一个新版本的邮件安全网关,这个版本在内部威胁的防御方面,还会更进一步。它的内部威胁分析系统,会以先进先出的方式,把终端上的所有行为记录下来。在记录的同时,可以定义很多安全管控的策略。一旦终端上的某个动作触发了预先定义的策略,它会把这台机器上这个时间节点前后一个时间段内的所有行为信息,全部传到服务器上去做分析,这样,我们就可以把这个人所做的事情完整地还原出来。通过这种方式,我们可以追溯整个事件的过程,从而更深入地了解这个员工的目的和动向。

李维良

随着云计算和移动互联网的普及,数据安全迎来了很多新的挑战,Forcepoint在这方面有怎样的布局?

冯文豪

在去年年初的时候,我们就提了一个新的理念,叫做Cloud First,也就是云优先。接下来,整个研发的战略布局,更多会以云为主导。

对于云计算背景下的数据安全问题,我们一直都非常重视,除了基于云的安全管理平台和ThreatSeeker威胁情报收集网络,另一个有代表性的例子,是我们的安全解决方案与Office365的结合。我们所有安全解决方案,包括Web安全、邮件安全、DLP等,都可以在云端部署和实施。

对于移动端,目前市场上的解决方案非常多,而我们更多关注在内容威胁方面。在今年年初的时候,我们收购了一家公司,名字叫Skyfence,目的就是为了强化对移动端的防护。在移动端,用户主要关心两个问题:一是如何保护移动端上的数据,二是怎么防止恶意APP入侵,把手机变成一个攻击入口。通过Skyfence的CASB(云应用安全代理),我们在这两块都会有很大的增强。

Skyfence的CASB解决方案,也可以和我们的DLP做集成,从而在BYOD时代,为企业的数据提供更好的保护。

李维良

Forcepoint的整体安全框架和产品布局是怎样的?

冯文豪

我们把整个的安全解决方案分成了4个维度。一个是云安全,包括了Web安全、邮件安全等针对网络入口的防御体系。第二个是数据安全,包括了数据泄漏防护(DLP)和内部威胁防护。第三个是网络安全,主要是我们收购的Stonesoft的产品体系。通过ACE、DLP等技术与新一代防火墙(NGFW)的整合,为网络边界的安全,提供更强大的防护。另外一个,就是我们称为“高级威胁分析”的平台,主要提供新型威胁的分析技术和情报分享。通过这4个维度,我们会帮助客户建立一个非常完整、非常坚固的安全防御体系。

李维良

在用户服务、技术支持、知识分享等方面,Forcepoint是怎样做的?

冯文豪

这方面的工作,我们一直都在做。比如,我们会通过一些公共平台和网站,将我们的安全分析成果快速及时地分享给我们的用户。在每年的下半年,我们会对第二年可能出现的安全风险做出预测,并将预测结果提前告知我们的用户,提醒用户及早进行安全防范。

另外一个例子,是我们有一个叫做ACE Insight的网站,可以帮助用户在线分析可疑的网址或文件,并会给用户提供一个非常完整的分析报告。对用户来讲,这些服务都是非常有价值的。

李维良

我注意到,Forcepoint提出了一个“构筑以人为本网络安全屏障”的理念,您是怎样理解这句话的?

冯文豪

谈到安全解决方案时,我们通常会从人、流程、技术三个维度去思考。但在过去,大家更多地关注在技术和流程上面,常常会忽略人。突出人的重要性,是贯穿在我们战略布局和产品研发中的重要思路。比如,我们希望通过对人的行为的分析,尽早判断出某个员工的行为是否正常,有没有风险存在。

对任何一个企业来说,安全解决方案做得再完善,都不可能完全解决问题,“人”才是整个体系里最根本的点。通过随时随地了解人们与企业的关键数据进行交互时的行为与动机,帮助企业消除安全盲点,保护好关键数据和知识产权,这是Forcepoint一直以来的努力目标。

李维良

谢谢冯总的分享,我们下期节目再见。

目录
相关文章
|
10天前
|
人工智能 安全 网络安全
揭秘!大模型私有化部署的全方位安全攻略与优化秘籍,让你的AI项目稳如磐石,数据安全无忧!
【10月更文挑战第24天】本文探讨了大模型私有化部署的安全性考量与优化策略,涵盖数据安全、防火墙配置、性能优化、容器化部署、模型更新和数据备份等方面,提供了实用的示例代码,旨在为企业提供全面的技术参考。
36 6
|
3月前
|
Kubernetes 安全 Cloud Native
解锁安全新纪元:利用服务网格Istio,打造全链路mTLS加密隧道,从入口网关到出口网关,守护数据安全的每一步
【8月更文挑战第2天】随着云原生技术的发展,服务网格(Service Mesh)如Istio已成为微服务架构的核心,通过双向TLS(mTLS)确保通信安全。首先,在Kubernetes部署Istio以管理服务通信。接着,配置入口网关实现所有入向流量的加密处理,防止数据泄露。最后,通过配置Sidecar代理如Envoy,确保服务网格安全访问外部mTLS服务,从而构建起全链路的数据安全防护。
79 11
|
4月前
|
存储 安全 数据安全/隐私保护
🔎Android安全攻防实战!守护你的应用数据安全,让用户放心使用!🛡️
【7月更文挑战第28天】在移动应用盛行的时代,确保Android应用安全性至关重要。本文以问答形式探讨了主要安全威胁(如逆向工程、数据窃取)及其对策。建议使用代码混淆、签名验证、数据加密等技术来增强应用保护。此外,还推荐了加密API、HTTPS通信、代码审计等措施来进一步加强安全性。综上所述,全面的安全策略对于构建安全可靠的应用环境必不可少。#Android #应用安全 #代码混淆 #数据加密
74 3
|
4月前
|
SQL 存储 安全
SQL安全深度剖析:守护数据安全的坚固防线
展望未来,随着技术的不断进步和攻击手段的不断翻新,SQL安全将面临更多的挑战。因此,我们需要持续关注SQL安全领域的最新动态和技术发展,并不断更新和完善我们的防护措施。同时,加强国际合作与信息共享也是提升全球SQL安全性的重要途径。让我们共同努力,为构建一个更加安全、可靠的数字化环境而奋斗。
|
5月前
|
存储 安全 网络安全
APP 安全评估报告:直面移动应用安全威胁,守护用户数据安全
移动APP安全问题日益严重,包括数据泄露、恶意软件和权限滥用等威胁。例如,Ring App安全漏洞导致用户信息曝光,13款Android应用暴露大量用户数据。此外,工信部通报50款APP违规收集个人信息。安全评估是保障APP安全的关键,涉及代码安全、数据传输安全、用户权限管理和隐私保护等方面。经过评估,这款APP在所有方面表现出色,符合最高安全标准,确保用户隐私和数据安全。
179 2
|
6月前
|
SQL 安全 数据库
安全编码:守护数据安全
安全编码:守护数据安全
|
6月前
|
存储 安全 算法
【专栏】保护数据安全的重要性以及安全加密算法在数据保护中的应用
【4月更文挑战第27天】在数字化时代,数据安全至关重要,关系到个人隐私、企业商业机密、国家安全及经济发展。安全加密算法(如对称加密、非对称加密和哈希算法)在保护数据方面发挥关键作用。它们应用于电子商务、金融、物联网、云存储和数字签名等领域,确保信息传输和存储的安全。面对日益复杂的挑战,我们需要持续研究和应用加密技术,提高数据安全意识,共同维护数字世界的繁荣与安全。
174 2
|
6月前
|
存储 安全 算法
保护数据安全的重要性:安全加密算法在数据保护中的应用
在数字时代,数据的安全性越来越受到重视。本文将探讨安全加密算法作为一种关键的数据保护手段的重要性和应用。通过分析现有的加密算法和其在数据保护中的角色,我们可以更好地理解如何保护数据免受黑客攻击和隐私泄露。
|
安全 数据处理 数据安全/隐私保护
数据安全最佳实践(7):通过多级安全分类构建业务安全体系【Dataphin V3.11】
在DataphinV3.11版本中,我们支持了构建多级安全分类体系的能力,用于支持客户定制和使用行业化的数据分类分级体系。 同时我们支持了识别特征的管理,可以使用内置的手机、姓名等识别特征;也在安全模型中内置了通用行业模型,便于客户直接应用,实现对大部分个人敏感数据和部分业务数据的识别和保护。
944 1
|
安全 关系型数据库 MySQL
MySQL安全与权限管理:保障数据安全与访问控制
本文深入探讨了MySQL数据库的安全与权限管理,通过详细的代码示例,介绍了用户与权限的概念,权限管理与访问控制的方法,以及数据库安全性策略的制定与实施。MySQL提供了强大的安全性功能,能够帮助管理员保护数据库的数据安全和限制用户的访问权限。了解如何创建用户、授予权限,以及如何制定数据库安全性策略,将使管理员能够有效地管理和保护数据库,降低潜在的安全风险。
1555 0