背景
电子邮件正迅速成为XDR的第四大支柱。Gartner的数据显示78%的网络安全事件中涉及到钓鱼邮件。
本篇主要谈下守望者实验室推出的在线 邮件安全分析系统。主要以功能列举为主。
1 全面分析、多维展示
对邮件标题、正文、链接、附件等进行分析,可有效发现 APT、社工钓鱼、商业欺诈、账号受控、账号暴破、病毒、木马、蠕虫、URL 钓鱼等邮件威胁,实现对威胁邮件的快速检测和持续分析。
特色功能:邮件传递路径的展示,通过分析Eml文件,将这封邮件在互联网上的投递路径如实展现,这个邮件从哪里来,经过几跳,最终到哪个邮件服务器上等都展示出来。
2 钓鱼邮件识别
通过对邮件Eml文件进行解析,提炼出邮件头、主题、正文、链接、附件等多维度特征,采用机器学习、特征识别的方法,能够有效识别包含钓鱼链接、跨站脚本链接、IP链接式以及仿冒式的钓鱼邮件。
URL是钓鱼邮件很常见的一种钓鱼方式,关于恶意URL的识别详见公众号相关两篇文章:《A sandbox for the web:一款在线的“恶意URL分析系统”》、《A sandbox for the web:一款在线的“恶意URL分析系统”(2)》
邮件异常场景包括:发件异常、收件异常、异常时间登录、异常地区登录、暴力破解行为、客户端异常、多账户登录、弱口令、境外成功登录等场景,同时对单账号收发邮件数量、登录成功信息进行记录,便于账号异常行为的发现。
对分析人员来说,灵活的自定义功能一定是要必备的。系统默认的规则场景不可能满足动态的威胁变化,自定义功能可以充分发挥分析人员的能力。
系统会自动筛查出邮件中的IP、域名、登陆地址、附件hash等,并结合威胁情报平台(https://ti.watcherlab.com/)数据,进行快速碰撞,发现威胁。
“一键关联”情报查询(ti.watcherlab.com),确保分析人员的良好体验。
直接关联TI平台:https://ti.watcherlab.com/
6 提交方式
-
手工提交:可以直接页面手工提交eml文件。 -
API:提供API检测能力接口,通过接口提交EML文件,接口返回检测结果。
在线系统地址:https://mailscan.watcherlab.com/
欢迎您注册使用!
watcherlab
做数字经济时代的安全守望者
长按扫码可关注
原文始发于微信公众号(守望者实验室):守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统
特别标注:
本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论