基于網(wǎng)絡(luò)杜絕Email威脅

在過去的幾年時間里，Email日趨成為主要的威脅傳播載體，像垃圾郵件、病毒、特洛依木馬及釣魚攻擊等。由于Email具有全球范圍傳播的特性，攻擊者平均每天可以在網(wǎng)絡(luò)上廣播4萬種安全威脅，一年累計下來高達1500萬種安全威脅。Ferris的研究報告指出，僅2007年，美國的企業(yè)因為垃圾郵件而造成的生產(chǎn)力及維護損失就達到了350億美金，全球則高達1000億美金。Nucleus的研究報告顯示垃圾郵件讓美國企業(yè)增加了710億美元的額外管理費用。

造成這個現(xiàn)象的最主要原因是大多數(shù)安全軟件都缺乏快速適應(yīng)不斷變化的安全威脅的能力。垃圾郵件和惡意軟件等威脅的制造者正在不停地完善他們的傳播方式，盡可能將他們的威脅傳播得更加廣泛。而大多數(shù)的垃圾郵件過濾和安全軟件產(chǎn)品僅僅掃描收到的郵件中的地址信息差異和其它的郵件頭信息。這些掃描工具只能根據(jù)現(xiàn)有的策略進行分析，沒有辦法快速地檢測到基于新技術(shù)和新屬性的威脅。但是，由于安全威脅通過郵件被同時發(fā)送到成千上萬個收件人，我們需要一種能夠及時檢測和阻止垃圾郵件爆發(fā)的技術(shù)。

NETGEAR采用的技術(shù)是基于威脅爆發(fā)的共通性進行分析：

大多數(shù)爆發(fā)的郵件都會有所變化，使得難以根據(jù)分析郵件內(nèi)容來制定相應(yīng)的阻擋規(guī)則。比如，垃圾郵件現(xiàn)在經(jīng)常采用圖片的方式來傳播，簡單地避開當(dāng)前的內(nèi)容過濾器。

大多數(shù)爆發(fā)會包含數(shù)百萬郵件，從而獲得更大的郵件回復(fù)，提高發(fā)起人的投資回報率。

大部分爆發(fā)都是在短時間內(nèi)釋放出來，需要實時的解決方案才能及時檢測到爆發(fā)，降低或者避免造成損失。

攻擊發(fā)起人一般都采用大量的偽裝方法來使得攻擊源難以被反向追蹤。

爆發(fā)的生命周期

惡意軟件發(fā)起人通過采用僵尸網(wǎng)絡(luò)的方式，一般都能夠在幾分鐘時間內(nèi)同時發(fā)送幾百萬封郵件。僵尸網(wǎng)絡(luò)由大量的僵尸計算機組成，這些計算機通常都是被惡意軟件所感染，惡意軟件發(fā)起人可以通過遠(yuǎn)程隨心所欲地控制這些計算機系統(tǒng)。僵尸網(wǎng)絡(luò)平均由2萬臺以上的僵尸計算機組成一個龐大的系統(tǒng)來發(fā)送大規(guī)模的威脅攻擊。大型的僵尸網(wǎng)絡(luò)甚至由上百萬的僵尸計算機組成。當(dāng)惡意軟件發(fā)起人下達指令時，網(wǎng)絡(luò)中的所有僵尸計算機便同時開始執(zhí)行。

當(dāng)病毒和其它通過Email傳播的威脅成功植入計算機后，它們便會開始自我繁殖和傳播。在開始的時候，越多計算機被感染，隨著時間的推移，受感染的范圍就會越廣。正是由于這種原因，我們需要盡早在傳播的階段控制爆發(fā)。通過在爆發(fā)發(fā)生的前幾分鐘內(nèi)對其進行控制可以有效地阻止大規(guī)模的攻擊。

消息特征碼

垃圾郵件、釣魚攻擊和其它通過Email傳播的威脅中通常都由幾百萬各不相同的信息所組成，用以避開常規(guī)的用戶過濾規(guī)則。雖然如此，一次爆發(fā)中的所有信息都包含有至少一個唯一且可識別的值，可用于標(biāo)識各種爆發(fā)。不同的垃圾郵件通常由同個僵尸網(wǎng)絡(luò)中的機器發(fā)出;各種釣魚攻擊一般誘導(dǎo)用戶訪問同一個欺詐網(wǎng)站;而每個通過郵件傳播的病毒都包含同種惡意代碼。盡管有些攻擊只針對特定小范圍的群體，但是這種共通性也同樣對最新的技術(shù)有效，如鯨釣式攻擊。

每個像這樣重復(fù)出現(xiàn)的值都可以作為一個爆發(fā)的“信息特征碼”。包含一個或多個這種唯一的特征碼的信息便非常可能是爆發(fā)中的一部分。

大部分爆發(fā)的生命周期都相當(dāng)短——通常只有幾個小時，所以，檢測方案必須能夠?qū)崟r地檢測，并在威脅造成破壞之前完全檢測和分類信息才有意義。而且，由于大多數(shù)爆發(fā)都偽裝成合法的郵件，所以基于特征分析的檢測方案需要能夠區(qū)分真正的合法郵件和通過郵件傳播的威脅。

為了達到這兩個目標(biāo)，特征碼必須從郵件的信封、郵件頭和郵件體上進行提取，而不需要關(guān)系到郵件本身的內(nèi)容。所以特征碼分析可以識別任何語言、任何信息格式和任何編碼類型的爆發(fā)。信息特征碼可以分為分布特征(Distribution Patterns)和結(jié)構(gòu)特征(Structure Patterns)。分布特征通過分析信息散布到收信人的方式來判斷信息是屬于合法，或者是潛在的威脅，而結(jié)構(gòu)特征則用于定義散布的量。

圖1：NETGEAR垃圾郵件云分布分析技術(shù)

特征檢測代表了一種新的、更強大的認(rèn)識，用以了解通過Email傳播的威脅是如何產(chǎn)生和傳播的。

圖2：NETGEAR垃圾郵件云分布分析技術(shù)

垃圾郵件云分布分析技術(shù)

NETGEAR垃圾郵件云分布分析技術(shù)由兩個組件構(gòu)成：ProSecure™ STM內(nèi)容安全網(wǎng)關(guān)安裝在企業(yè)網(wǎng)絡(luò)之中，和NETGEAR垃圾郵件分類中心，用于進行垃圾郵件云分布分析。STM將與垃圾郵件分類中心進行實時溝通，獲得“秒級別”的垃圾郵件和惡意軟件爆發(fā)信息(參見圖1)。

基于對全球5000萬數(shù)據(jù)源的分析，兩個系統(tǒng)通過不斷、緊密地通信溝通，NETGEAR實時主動地檢測和分類所有類型的通過Email傳播的威脅。垃圾郵件云分布分析技術(shù)從郵件中提取相關(guān)的信息特征碼，用于識別和分類通過郵件傳播的威脅的分布特征和結(jié)構(gòu)特征(參見圖2)。除了識別新的威脅特征，垃圾郵件云分布分析可用于修改或者加強早先識別出來的信息特征碼的分類。

通過反向分析，垃圾郵件云分布分析技術(shù)可以識別由商業(yè)應(yīng)用而發(fā)出主動請求的批量郵件的分布特征，和那些不請自來的批量郵件。因此，垃圾郵件云分布分析技術(shù)能夠接近100%識別出威脅信息并且?guī)缀鯖]有誤殺。它與語言無關(guān)，也可以應(yīng)對所有信息格式和編碼類型。

總結(jié)

為了有效地防止來自Email的威脅，一個成功的解決方案必須能夠應(yīng)付不斷增長的挑戰(zhàn)。垃圾郵件云分布分析技術(shù)是一種主動檢測技術(shù)，不需要依靠郵件內(nèi)容分析，并且可以檢測任何語言、任何信息格式(包括HTML、圖片和非英文文字)。垃圾郵件云分布分析技術(shù)可以主動分析和分類新的Email威脅并在攻擊發(fā)生的幾分鐘內(nèi)形成特征文件。垃圾郵件云分布分析技術(shù)提供：

超高垃圾郵件檢測率且?guī)缀鯚o誤殺率;

及時檢測到新的Email威脅;

防御釣魚攻擊;

防御未知內(nèi)容威脅;

檢測多語言威脅;

檢測多格式威脅。

垃圾郵件云分布分析技術(shù)通過高級特征分析提供了最好的Email威脅保護。

NETGEAR® ProSecure™ STM內(nèi)容安全網(wǎng)關(guān)解決方案

NETGEAR® ProSecure™采用特有的技術(shù)，通過爆發(fā)擴散的速度和廣泛程度來檢測并阻止爆發(fā)。通過這種方式，可以在垃圾郵件和惡意軟件爆發(fā)產(chǎn)生的極短時間內(nèi)檢測出來，并且實時地阻止所有相關(guān)的信息。

ProSecure™ STM平臺采用了專利的串流掃描技術(shù)，能夠在數(shù)據(jù)流進入網(wǎng)絡(luò)的時候馬上進行掃描。NETGEAR STM使用單一的平臺即可實現(xiàn)對垃圾郵件、惡意軟件、安全破壞或不必要的應(yīng)用程序進行掃描，通過串流掃描技術(shù)，能夠?qū)崟r地掃描大量的數(shù)據(jù)。這使得局域網(wǎng)中的用戶可以接收到安全的Email和Web內(nèi)容但卻沒有任何延時。

ProSecure™ STM平臺使用主動防御系統(tǒng)來避免漏洞從發(fā)現(xiàn)到修復(fù)之間的時間差。NETGEAR的解決方案中采用“法醫(yī)式鑒定方法”來識別進出網(wǎng)絡(luò)數(shù)據(jù)流中的可疑的特征，并抵制這些特征直到它們能夠更精確匹配。

【編輯推薦】

1. 精準(zhǔn)高效低成本——云安全技術(shù)專題
2. 終端安全在線評估——云安全技術(shù)專題
3. 數(shù)據(jù)云URL過濾技術(shù)