请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器

思科技术在思科:利用邮件自动化分析提高安全性

热度 4已有 217 次阅读2020-3-30 11:41 |个人分类:思科微信公众号|系统分类:分享| 安全技术, 邮件安全, 恶意邮件, ESA, 思科联天下

邮件是恶意软件传播活动中使用最广泛的感染媒介。思科一天内可收到几千封恶意邮件,我们的安全分析师很难以极快的速度来手动查看特定邮件,以便检测并阻止威胁。


对于任何信息安全团队而言,通过有效的解决方案来检测和缓解邮件带来的威胁至关重要。我们的计算机安全事件响应团队(CSIRT)使用思科邮件安全设备(ESA)实现了大量邮件分析工作的自动化。自动化的实现帮助我们显著降低补救成本,为安全分析师节省宝贵时间,并加强我们的整体网络保护措施。



实现威胁检测和拦截自动化




为了监控网络安全威胁并采取应对措施,CSIRT 团队在全球多个安全中心实行全天候运营。安全分析师持续监控邮件模式和系统自动生成的警报,而且一旦检测到活动威胁,他们能够立即采取应对和补救措施。过后,分析师对事件进行回顾,确定我们提高检测和应对能力的方法。


以往,大量此类分析都是由分析师手动进行。我们对邮件发送的恶意软件进行自动检测和分析的能力非常有限。CSIRT 分析师 Caitlin Gravel 表示:

 


有些用户会快速打开并回复邮件,因此在数分钟内确定恶意邮件对于威胁拦截至关重要。




如今,当传入邮件到达企业网络时,思科 ESA 会使用多维方法对所有的这些邮件进行以下检查:


  • 验证发件人以及发送域的信誉
  • 参照以前接收的类似邮件经历对新邮件进行审查
  • 检查已知的恶意散列、嵌入的 Web 链接和附件


该设备还利用高级恶意软件防护 (AMP) 和思科 ThreatGrid® 等思科技术以及与思科 Talos™ 研究团队和外部来源的智能功能集成,执行自动化的文件信誉扫描和恶意软件分析。


当思科 ESA 在特定邮件中检测到威胁时,会丢弃该邮件或隔离该邮件,阻止邮件发送。CSIRT 调查员 Robert Semans 表示:

 


一封问题邮件可能会通过其中一些检查,但只要有一项检查未能通过,思科 ESA 就会丢弃该邮件。




邮件丢弃率因时间而异,反映出威胁活动级别(例如季节性)的变化。



缩短响应时间,降低补救成本




由于思科 ESA 解决方案丢弃了大量包含威胁的邮件,因此不管是在响应时间还是在补救成本上,我们都有很大的改善。


我们现在能够更快地响应邮件威胁:思科 ESA 帮助我们将威胁检测时间从 60 小时缩短到 23 小时,缩短将近 2/3。更重要的是,我们遏制威胁的时间急剧下降,从平均 368 小时缩短到 2.5 小时。


恶意邮件检测和遏制速度的提高还显著降低了我们对成功穿越防御系统的威胁采取补救措施所花费的整体成本。例如,我们估计,在对用户点击网络钓鱼邮件时激活的病毒及其他恶意软件进行补救方面,每个月会节省 130 万美元的成本。



节省分析师时间,改善保护措施




Gravel 说:

 


有时间去深入调查可能是、也可能不是实际威胁的问题但是 ESA 可以在早期自动捕获威胁,有助于克服我的这种时间限制。




思科安全分析师表示,由于思科 ESA 提高了威胁感知和拦截能力,他们可节省约 10% 的时间。例如,当一封网络钓鱼邮件发送到多个思科邮件地址时,ESA 可以一次性拦截,从而缩短 CSIRT 警示用户以及思科 IT 团队解决任何相关问题所需的时间。


Semans 表示:

 


我们可以将节省的时间用于重点关注试图偷窃设计规划、商业秘密和供应链信息等思科知识产权的高级攻击者。


这些威胁需要更多的调查,因为攻击者为了逃避检测,可能只会发送数量很少的邮件以及以非常低的频率发送邮件。



从常规分析中节省的时间还有助于 CSIRT 团队成员执行以下行动:


  • 对特定类型或来源的威胁进行深入研究
  • 改善团队内部关于当前威胁以及应对与补救策略的沟通
  • 识别并适应威胁形势的新变化
  • 对用户开展有关邮件安全良好实践重要性的培训

Gravel 表示:


 


对于 CSIRT 而言,邮件安全仍然具有高优先级,我们在不断寻找改善防御的方法。

我们将利用自动化、愈加严格的规则集以及与负责邮件基础设施的思科 IT 团队的关系,继续提高安全监控能力。



点击此处了解更多思科安全!


来源:思科联天下


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)

路过

鸡蛋

鲜花

握手

雷人

评论 (0 个评论)

facelist

您需要登录后才可以评论 思科 CCO 登录 | 思科 CCO 注册   

Archiver | 思科社区  

GMT+8, 2020-5-29 07:54 , Processed in 0.058355 second(s), 22 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

返回顶部