选型宝访谈:做好邮件安全,斩断威胁数据安全的“杀伤链”!

写在前面

信息安全是一个永恒的话题,也是企业CIO、CSO们关注的重点。就在今年的5月12日,WannaCry勒索病毒大规模爆发,再一次为企业的信息安全敲响了警钟。

可以说,我们面对的安全问题,从来没有像今天这么复杂,企业的信息安全,也从来没有像今天这么重要。一方面,随着大数据时代的到来,数据已成为企业的核心资产,变得越来越重要。云计算和移动互联网的普及,又使企业IT基础架构的边界越来越模糊,数据变得无处不在。另一方面,来自外部和内部的安全威胁越来越频繁,威胁手段也越来越多样化、专业化。

在这样的背景下,我们应该树立怎样的安全理念?应该用哪些工具来保护我们的关键数据和知识产权?面对安全威胁的“杀伤链”,我们应该从哪里入手,将其尽早斩断?在下一个WannaCry到来之前,我们应该做好哪些准备?

带着这些问题,我们采访了Forcepoint准能科技的技术总监冯文豪先生。

下面就请看选型宝首席架构师李维良与冯文豪先生的精彩对话吧。

李维良

在了解准能科技的时候,我们常会看到Forcepoint、Websense这些名字,请您介绍一下它们之间的关系和渊源。

冯文豪

大家对Forcepoint这个名字可能还比较陌生,毕竟这个名字从去年年初才开始使用。我们的前身叫Websense,中文名字叫韦伯森斯。Websense进入中国非常早,发展也非常的快。后来,通过一系列的收购、合并,我们在2016年初,成立了一家名叫Forcepoint的公司,中文名字是准能科技。

以前,Websense主要立足于Web安全、邮件安全和数据安全,并且在市场口碑,以及第三方的评估报告中,获得了非常多的认可。大家对Gartner的评估报告比较熟悉,从有数据泄漏防护(DLP)评估到现在,我们连续9年被评为领导者。

为什么要成立Forcepoint这家公司呢?从公司的战略角度来说,我们希望能走得更远,成为全球信息安全,或者说内容安全领域的最强者。因此,Forcepoint在整合了Websense原有的一系列产品之后,还在近些年成功收购了很多产品线,目的就是希望能够建立一个基于威胁生命周期的更加完整的安全体系,并为用户提供更全面、更强大的安全保护。

李维良

就在不久前的5月12日,WannaCry勒索病毒席卷网络,造成了巨大的经济损失,引起了一片恐慌。那么,WannaCry勒索病毒有什么特点?它的大面积爆发,给企业的数据安全带来了哪些警示?

冯文豪

WannaCry确实达到了让很多企业“想哭”的效果。其实,和2016年下半年、2017年年初时曾经爆发过的几次勒索软件病毒相比,WannaCry的隐蔽性和***手法并没有什么特殊之处,但是它利用了一个时间差,得以快速传播。从微软3月份提供相关漏洞的补丁,到5月份病毒爆发,中间有两个月的时间,但很多企业因为疏忽大意,没有及时打补丁,结果不幸中招。

关于WannaCry,我们应该思考的另外一个问题是:它的入口在哪里?是从哪里进来的?对企业信息系统来说,有两个入口最关键,一个是Web,一个是邮件。对于Web来说,我可以把它封掉,或者隔离一些权限,但邮件不同,它是一个正常的业务通道,我们不可能封掉它。在这样的情况下,很多外部***和新型威胁,就会首先从邮件这个薄弱环节***进来。

对企业来说,一定要保持对安全威胁的高度警惕,时刻关注安全动态,及时更新系统、安装补丁,做好备份。对员工来说,要不断提高安全意识,养成良好的行为习惯,不让堡垒从内部被攻破。同时,企业要建立一套完整的防御体系,从邮件这样的薄弱环节开始,全面防范安全威胁,保护好自己的核心数据。我想,这些都是WannaCry带给我们的重要警示。

李维良

我注意到,Forcepoint安全实验室提出了“杀伤链”,也就是威胁生命周期的概念。这是一个怎样的概念?在“杀伤链”中,邮件起到了什么样的作用呢?

冯文豪

杀伤链的原文是Kill Chain,其实最早是由洛克希德·马丁公司提出的。他们最早发现了APT***,并将整个***过程还原出来,从而产生了Kill Chain这个概念。

传统的网络***,通常是以层层***的方式进入企业和组织的,但在我们设置了防火墙、IPS、邮件网关等多道防御系统之后,这样的***方式将显得太繁琐、太艰难了。于是就出现了APT(Advanced Persistent Threat),也就是高级持续性威胁。

APT***的“杀伤链”,从侦查、诱饵、重定向,到最后的数据窃取,一共有7个步骤,整个过程设计精密,环环相扣。APT有几个特性,其中最重要的特性是隐蔽性强,它不在乎时间,它更在乎效果。第二,它不会采用层层***的方式来***,而是利用企业现有的这两个主要业务通道来***,一个通道是邮件,另一个通道是Web。因为业务需要,绝大多数企业不会关闭这两个通道。据统计,超过90% 的APT***是从邮件开始的,所以,做好邮件安全,就可以从源头斩断威胁数据安全的“杀伤链”。

李维良

来自邮件的***和威胁中,鱼叉式***、BEC等和传统的钓鱼邮件有什么区别?

冯文豪

从垃圾邮件到钓鱼邮件,再到BEC和鱼叉式***,这是一个历史演进的过程。邮件最早被不法分子利用,主要是发送一些广告和政治敏感性内容,这就是所谓的垃圾邮件。***者觉得邮件其实是个很好的渠道,与其发小广告,我还不如去做一些更“有意义”的事情,于是,钓鱼邮件就出现了。钓鱼邮件通过群发的方式,引诱人们去做一些事情,从而达到诈骗的目的。

钓鱼邮件之后,又出现了BEC,全称叫Business Email Compromise,我们可把它理解为针对企业的金融诈骗。与普通钓鱼邮件相比,BEC更有针对性。比如,不法分子会先窃取企业CEO的邮箱密码,然后冒充CEO给财务人员发邮件,指令财务人员给某个账户汇款。这种邮件看起来和普通的业务邮件一模一样,有很大的迷惑性,一不小心就会中招。

再后来,就是我们现在面临的鱼叉式***。这种***的目的,已经不局限于骗取钱财,而是通过邮件,获取企业特权帐号等信息,然后再利用这种信息,进一步得到更多的利益。鱼叉式***的目的性更强,***对象也不仅限于高管和财务,而可能是企业全体员工。只有从中找到任何一个漏洞,它就可以想办法去突破你。

李维良

您今天带来给大家试用的邮件安全网关,它的工作原理是怎样的?它和传统的邮件安全产品有什么区别?

冯文豪

现在大部分企业部署的和邮件相关的安全系统,基本还停留在对垃圾邮件、病毒邮件的静态防护阶段。这类系统更多是基于静态特征来识别危险,它不关注内容,看不到邮件里钓鱼之类的链接, 因此,它对APT或勒索软件这样的高级威胁是很难防御的。另外,这类系统更多关注邮件的“入”,而不关心“出”。

其实,早在Websense时期, 我们就注意到传统邮件安全产品存在的这些问题,并且针对这些问题,提出了一个新的一体化解决方案。我们的方案,不再局限于对垃圾邮件和病毒邮件的防护,而是从“入站”和“出站”两个角度,重新审视邮件安全,并提供更全面、更深入的安全防护。

对于入站邮件,我们的网关会对其内容进行分析,看里有没有包含恶意网址,这是传统的邮件网关做不到的。另外,对于一些未知的新型威胁,我们会把它放到“沙箱”(sandbox)里模拟运行,并通过分析运行结果,预估它的风险。

对于出站邮件,传统的做法是先备份存档,出事后再回查。但当企业的规模达到一定水平之后,从海量邮件里查找问题邮件,无异于大海捞针,是非常困难的。而我们的做法是,先为出站邮件预设一道防线,分析评估哪些邮件该发,哪些不该发。对于不该发的邮件,网关会发出警告,或提醒用户先找上级审批。

通过内容分析、沙箱模拟等一系列手段,我们邮件安全网关可以从出站和入站两个角度,为用户提供一套更完整防御机制。

李维良

我想,很多用户也会关心,邮件安全网关和防火墙有什么不同?

冯文豪

防火墙位于内外和外网的边界,它所提供的,通常是一种“开关式”的防护。比如,设置允许POP/SMTP协议,那么,所有邮件就都可以正常通行了。虽然新一代防火墙已经可以工作在应用层,但它还是基于特征去识别危险的,对于新型威胁和数据泄漏来说,防火墙是看不到的。

邮件安全网关位于内网,它和防火墙并不冲突,可以同时工作。邮件安全网关通过内容分析、行为识别、沙箱等技术,为用户提供更高级、更专业的邮件安全防护。

李维良

Forcepoint邮件安全网关通常是如何部署的?对于一些使用第三方企业邮箱的用户,您有什么建议呢?

冯文豪

我们的邮件安全解决方案包含了传统邮件网关的功能,可以完全取代传统的方案。传统邮件网关能部署的地方,我们的邮件网关也可以部署,但我们的解决方案会相对比较完整。

除了本地部署这种典型的方式之外,我们也支持云端部署。另外,我们还有一个单独的管理平台,用于制定策略,无缝衔接各种功能,比如垃圾邮件拦截、DLP等等。通过管理平台,可以将更多的解决方整合在一起,并让它们协同工作。

如果您使用的是第三方企业邮箱,我比较倾向于采用云端的解决方案。我可以给大家举一个云端应用的个例子。现在有越来越多的企业,包括国内企业,开始把邮件系统切到Office365上,基于这种情况,我们在微软的云平台上部署了一套邮件安全解决方案,并且可以直接把邮件流量指到这个防护系统上做分析过滤。整个过程是无缝衔接起来的,而且可以实现云端策略与本地策略的同步。

李维良

Forcepoint邮件安全网关的背后,有哪些支撑技术?这些技术有什么独到之处?

冯文豪

首先,我们有一个叫做ThreatSeeker智能云的安全情报感知网络,它在全球收集最新的安全威胁,并把数据提交给我们后端的安全实验室,为研发提供支持。一旦安全实验室有新的结论出来,就会把这些特征放到我们的分析引擎里。

我们的引擎叫ACE,也就是高级分类引擎。ACE可以提供10000多种分析方法,通过打分机制,判断每个威胁的风险等级。它有一个非常强大的库和一套非常智能的算法,这是我们比较强的一个地方。

另外,我们通过一些方案整合,不断加强邮件安全网关的功能。比如前面提到的“沙箱”,就是一个非常强大的功能,它可以通过模拟运行,预判一些未知的威胁。

在内容分析方面,我们也有很多独到的技术。比如,一些员工会把本地涉密的内容先截屏,然后再以邮件附件的方式发出去。针对这种图片格式的内容,我们会在网关旁边放一个光学字符识别,也就是OCR的一个服务器,它可以自动识别图片中的文字内容,并做进一步的分析。

还有一种数据泄漏形式,我们称之为“点滴式泄漏”。它会先把一份完整的信息拆分为碎片,然后每次一点点地发出去,最后再拼接还原。对于这种隐秘的数据泄漏方式,我们的邮件安全解决方案也可以很好地识别和防范。

李维良

当我们提到安全威胁时,通常是指外部***,但我注意到,Forcepoint还非常重视来自内部的威胁,是这样吗?

冯文豪

没错。一直以来,在整个解决方案的设计过程中,无论从研发的角度,还是从产品的角度,我们都一直非常非常重视内部威胁。预计今年年底的时候,我们会发布一个新版本的邮件安全网关,这个版本在内部威胁的防御方面,还会更进一步。它的内部威胁分析系统,会以先进先出的方式,把终端上的所有行为记录下来。在记录的同时,可以定义很多安全管控的策略。一旦终端上的某个动作触发了预先定义的策略,它会把这台机器上这个时间节点前后一个时间段内的所有行为信息,全部传到服务器上去做分析,这样,我们就可以把这个人所做的事情完整地还原出来。通过这种方式,我们可以追溯整个事件的过程,从而更深入地了解这个员工的目的和动向。

李维良

随着云计算和移动互联网的普及,数据安全迎来了很多新的挑战,Forcepoint在这方面有怎样的布局?

冯文豪

在去年年初的时候,我们就提了一个新的理念,叫做Cloud First,也就是云优先。接下来,整个研发的战略布局,更多会以云为主导。

对于云计算背景下的数据安全问题,我们一直都非常重视,除了基于云的安全管理平台和ThreatSeeker威胁情报收集网络,另一个有代表性的例子,是我们的安全解决方案与Office365的结合。我们所有安全解决方案,包括Web安全、邮件安全、DLP等,都可以在云端部署和实施。

对于移动端,目前市场上的解决方案非常多,而我们更多关注在内容威胁方面。在今年年初的时候,我们收购了一家公司,名字叫Skyfence,目的就是为了强化对移动端的防护。在移动端,用户主要关心两个问题:一是如何保护移动端上的数据,二是怎么防止恶意APP***,把手机变成一个***入口。通过Skyfence的CASB(云应用安全代理),我们在这两块都会有很大的增强。

Skyfence的CASB解决方案,也可以和我们的DLP做集成,从而在BYOD时代,为企业的数据提供更好的保护。

李维良

Forcepoint的整体安全框架和产品布局是怎样的?

冯文豪

我们把整个的安全解决方案分成了4个维度。一个是云安全,包括了Web安全、邮件安全等针对网络入口的防御体系。第二个是数据安全,包括了数据泄漏防护(DLP)和内部威胁防护。第三个是网络安全,主要是我们收购的Stonesoft的产品体系。通过ACE、DLP等技术与新一代防火墙(NGFW)的整合,为网络边界的安全,提供更强大的防护。另外一个,就是我们称为“高级威胁分析”的平台,主要提供新型威胁的分析技术和情报分享。通过这4个维度,我们会帮助客户建立一个非常完整、非常坚固的安全防御体系。

李维良

在用户服务、技术支持、知识分享等方面,Forcepoint是怎样做的?

冯文豪

这方面的工作,我们一直都在做。比如,我们会通过一些公共平台和网站,将我们的安全分析成果快速及时地分享给我们的用户。在每年的下半年,我们会对第二年可能出现的安全风险做出预测,并将预测结果提前告知我们的用户,提醒用户及早进行安全防范。

另外一个例子,是我们有一个叫做ACE Insight的网站,可以帮助用户在线分析可疑的网址或文件,并会给用户提供一个非常完整的分析报告。对用户来讲,这些服务都是非常有价值的。

李维良

我注意到,Forcepoint提出了一个“构筑以人为本网络安全屏障”的理念,您是怎样理解这句话的?

冯文豪

谈到安全解决方案时,我们通常会从人、流程、技术三个维度去思考。但在过去,大家更多地关注在技术和流程上面,常常会忽略人。突出人的重要性,是贯穿在我们战略布局和产品研发中的重要思路。比如,我们希望通过对人的行为的分析,尽早判断出某个员工的行为是否正常,有没有风险存在。

对任何一个企业来说,安全解决方案做得再完善,都不可能完全解决问题,“人”才是整个体系里最根本的点。通过随时随地了解人们与企业的关键数据进行交互时的行为与动机,帮助企业消除安全盲点,保护好关键数据和知识产权,这是Forcepoint一直以来的努力目标。

李维良

谢谢冯总的分享,我们下期节目再见。

原文地址:https://blog.51cto.com/14440256/2422537

时间: 2024-10-09 17:02:07

选型宝访谈:做好邮件安全,斩断威胁数据安全的“杀伤链”!的相关文章

选型宝访谈:海底捞 如何打造全渠道+全场景的智能客服系统?

01直播简介 说起客服系统,大家可能会首先想到呼叫中心(Call Center),想到那些熟悉的客服号码:10086.95588.12306.400.800...... 曾经,电话和邮件,是客户与企业连接的主要纽带. 然而,"移动+社交"改变了这一切. APP.微信.小程序.电商网站.QQ.邮件.电话-..客户可能会通过任何一种方式,与你的企业发生连接, 客服的渠道,正在变的极度碎片化. 移动+社交时代,我们应该怎样构建新的客服系统? 在新一代智能客服系统的赛道里,UDESK 是颇受关

选型宝访谈:什么是没有基因缺陷的信息安全体系?

写在前面 目前所有的安全厂商的安全理念都是错的! 99%的企业的安全系统都是有基因缺陷的! 这是选型宝主编与SYNOPSYS中国区部门业务负责人. Coverity产品线专家 韩葆首次交流时,他率先抛出的两个观点! PART1 Q作为一家EDA和IP领域的一个全球的领导者,那么你们为什么会想要进入这个安全市场,这个市场其实已经很拥挤了.那么你们的优势在哪? 韩葆 其实这样的,在过去的30多年里我们一直在做的,我们要去保证硬件芯片的可靠性和安全性.这种复杂性和能力是远远超越目前企业安全市场的需求的

选型宝访谈:企业网盘,能否成为联想企业云市场的突围尖兵?

写在前面 云端存储与协作是企业的刚性需求,也是企业SaaS应用中的第一大门类,而SaaS百亿级的市场规模,则占了国内整个云服务市场70%的份额. 和超融合一样,企业网盘对联想来说,也不仅仅是一款产品或解决方案,它是联想从传统的硬件设备供应商向新时代的云服务提供商转型的重要依托,是联想"设备+云"业务的突破口. 那么,联想企业网盘到底是怎样一款产品?它能否担得起联想突围企业云市场的重任呢?做为联想的新生力量,网盘团队是联想这家IT老字号本分守成的"富二代",还是锐意进

选型宝访谈:怎样构建统一、共享的主数据平台,打造真正干净的数据治理能力?

今天,商业环境瞬息万变,竞争日益加剧. 无论你是什么行业,你都无法回避的一个关键词是"数字化转型".通过数字化转型,让企业变得敏捷,成为一种时代精神,也是我们这代IT人的使命. 然而,无论是业务层面的创新需求,还是决策层面的数据分析需求,都要干净.准确的业务数据作为支撑.只有拥有一个规范的.干净的数据基础,才有可能谈创新,才有可能在复杂多变的商业环境下,做出科学的决策,数字化转型战略才有机会落地. 在企业纷繁复杂的数据里,有一类数据事关全局,例如:客户数据.产品数据.员工数据.....

选型宝访谈:什么是APP测试的正确打开方式?

写在前面 在今天的移动互联网时代,信息系统移动化成为企业CIO/CTO们最关心的话题之一.虽然移动化有很多路径,但相对来说,开发原生APP仍然是性能和体验最佳的一种方式. 但是,开发APP并非易事,尤其是其测试过程,常常令人崩溃.一方面,APP的版本更新速度越来越快,另一方面,APP要适配的机型越来越繁杂.每一次版本升级,开发或测试人员都要针对各种机型,做功能.性能.安全等一系列测试-- 下面,就让我们一起来听,选型宝首席架构师李维良与Aella的精彩对话吧. 李维良(主持人) 在移动互联网时代

选型宝访谈:面对APT,如何以DLP构建金融数据泄漏的最后防线?

写在前面 在"数据即一切"的时代,数据安全是用户讨论最多的话题之一,也是这些IT管理和决策者们平时绷得最紧的那根神经.对于银行.保险等金融企业的CIO和CSO来说,情况更是如此,因为与其他行业相比,金融企业拥有的数据资产更庞大,也更关键:账户信息.交易数据.用户身份信息--保障这些核心数据资产的安全,对CIO和CSO们来说,是份内工作,更是使命和责任. 然而,要选择一款合适的数据安全产品,却不是一件容易的事情.长期以来,数据安全技术一直被国外企业所垄断,相关产品不但价格昂贵,还无法满足

选型宝访谈:如何构筑BAT级的用户行为分析能力?

前言 随着流量红利时代的结束,互联网迎来了更加精细化的用户与订单时代.今天,从数据出发,深度了解用户行为,持续优化产品.营销和运营,成为企业制胜的关键.在这样的背景下,数据分析平台成为助力企业实现"数据驱动"和精细化运营的必备工具.那么,今天的企业到底需要怎样的数据分析平台?如何让数据分析平台在企业快速落地,真正做到"用数据说话",让数据为企业创造真正的价值?带着这些疑问,选型宝直播采访了中国大数据分析行业开拓者神策数据的创始人兼CEO桑文锋先生.以下就是我们根据这

选型宝访谈:超融合, 能否承载联想的转型梦想?

写在前面 IT大势,合久必分,分久必合.在虚拟化技术出现10年之后,计算与存储分立的传统架构正逐步被另一种更简约.更高效.更可靠的IT架构所替代,这种云时代的新兴架构就是超融合. 权威机构的调研数据显示,2016年,超融合的销售额同比增长了116%,到2019年,超融合的全球市场规模将超过1000亿美元.在中国,互联网产业蓬勃发展,传统产业云化转型,互联网+战略全面推进--这一切,使中国成为了全球超融合基础架构增速最快的市场. 当一个巨大蛋糕遇到正在寻找新兴市场的联想集团时,超融合自然成了这家中

选型宝访谈:当业务炸裂式增长 ,如何让关系型数据库平滑扩展?

当业务炸裂式增长,如何让关系型数据库平滑扩展? 爱奇艺.饿了么.摩拜单车.....这些国民级应用的疯狂增长背后,是怎样一款国产的分布式NewSQL数据库,在做平滑支撑? 对话内容 选型宝:您怎么理解数据库技术的发展历程,分几个阶段?黄东旭:其实整个大的背景大概是这样,上世纪六七十年代就有关系数据库概念了,一直发展到90年代,基本都是以IBM DB2. Oracle,微软的SQL Server等单机关系型数据库为主的行业现状.但是在2000年以后,随着互联网行业数据量爆发性的增长,同时最近这5-1