导语:CACTER SMC2注重邮件安全事件的检测与闭环处置能力,全方位守护邮件系统的安全。
根据Coremail邮件安全人工智能实验室监测,2024年Q2全国企业级用户遭受超过21.4亿次暴力破解,相比于Q1的39.1亿次暴力破解,环比降幅约为45%,无差别的暴力破解攻击大幅下降,但数据显示暴力破解攻击成功次数正在回升。
2024年Q2全域暴力破解成功次数达到912.7万次,环比增长11.4%。攻防专家推测可能是攻击者优化口令字典规则,其次加大了撞库攻击比例,导致破解成功率提高,因此邮箱管理员仍需保持警惕并采取必要的防护措施。
而企业邮件系统用户众多,管理员难以掌握所有邮箱用户的账号安全设置状态,如:客户端专用密码开启情况、二次验证情况、自动转发等。面对如此严峻的挑战,CACTER安全管理中心第二代(以下简称“SMC2”)全面焕新,SMC2在上一代产品的基础上,进行了全面的升级和优化。
不同于SMC1以安全监控态势为主的产品形态,SMC2更注重邮件安全事件的检测与闭环处置能力。作为邮件系统专属安全管家,SMC2支持监测失陷账号、网络攻击、主机威胁,拥有邮件审计、用户行为审计、用户威胁行为分析等能力,并提供账号锁定、IP加黑、邮件召回、告警等处置手段,简化管理,助力企业邮件系统安全运营,全方位守护邮件系统的安全。
数据与分析|轻松处理和应用邮件系统日志
作为一款内网安全产品,SMC2独立于邮件系统进行安装。通过轻量级的agent采集邮件系统的日志数据,然后对数据进行清洗并入库,这一过程不会占用邮件系统服务器的资源,也不会影响邮件系统的正常收发业务。
SMC2能够处理包括登录日志、收发信日志、行为日志和访问日志在内的多种日志类型,这些日志数据是邮件系统安全分析的基础,管理员可以轻松处理和应用邮件系统日志,快速便捷做好邮件系统运维管理工作。
1、邮件审计:高效邮件检索与安全取证工具
SMC2的邮件审计功能为用户提供了强大的邮件信息检索能力。管理员可以通过组合检索,快速定位邮件信息,并通过审计结果导出功能,将检索结果进行整理和分析。这一功能不仅能够帮助管理员定期或根据特定事件触发审计,及时发现潜在的安全风险或违规行为,而且在安全事件发生或争议时,邮件审计功能还可以作为取证的重要工具。
2、邮件召回:智能补救措施
当检测到可疑或威胁性邮件时,SMC2支持管理员执行邮件召回操作,将邮件从用户邮箱中撤回至不可见目录或垃圾箱中。这不仅阻止了威胁的进一步传播,还为用户提供了一种补救措施。召回操作后,系统还可以自动通知用户,告知其邮件被召回的情况,确保透明度和及时沟通。
3、用户行为审计:构建安全行为档案
用户行为审计功能则从用户操作的角度出发,支持对用户登录、邮件操作、附件下载等39种用户行为的分类查询和时间链条查询。这不仅帮助管理员快速了解用户在特定时间段内的操作行为链条,且数据保存长达180天以上,满足了合规性要求。
4、用户威胁行为分析:智能风险评估
SMC2创新性引入了用户威胁行为分析模块,通过构建用户安全画像,从用户行为出发评估风险等级,并以可视化的方式呈现行为分析结果。这一功能不仅暴露了单独看似不敏感但关联起来具有风险的行为,而且为管理员提供了辅助研判的有力证据。
5、用户安全配置跟踪:集中管理安全配置
SMC2集中展示了所有邮箱用户的安全配置情况,管理员可以通过组合查询,快速发现不符合规定或存在潜在风险的用户配置。这包括自动转发地址、可信任设备、黑名单和白名单等,帮助管理员提高管理效率并简化管理流程。
6、收发信量统计与登录趋势分析:洞察系统运行状态
SMC2支持用户级和系统级的收发信量统计与登录趋势分析。管理员可以查看系统级的收信、发信和登录情况,并通过不同维度的数据分析,找出域内的收发信和登录规律。系统还可以提示管理员潜在的异常指标,如突然增多的威胁邮件、异常发信数量的用户等。
发现即处置|主动发现和闭环处置邮件系统威胁
1、主动发现&锁定被盗账号:智能算法的应用
SMC2内置了检测23种异常登录行为的算法,能够精准识别暴力破解、异地登录等风险行为,及时为管理员提供事件详情,辅助研判账号安全状态,并支持直接在SMC2中锁定问题账号。
2、网络攻击与主机威胁的监测:安全防护全面升级
SMC2还能够主动发现Coremail旧漏洞利用等网络攻击行为,以及SQL注入、XSS跨站脚本攻击等常见web攻击。此外,SMC2内置了漏洞扫描器指纹,能够识别常见的漏洞扫描器,并且能够监测到攻击者对邮件系统的文件变更,留意未被告知的变更,记录与查询变更信息,检查主机威胁迹象。
3、准实时/定时告警:安全管理的即时响应
为了使管理员能够及时响应安全事件,SMC2支持设置准实时告警和定时告警。告警的设置可以根据管理员的使用习惯和重要时期的需要进行自定义,确保安全事件能够得到快速有效的处理。
方向与研究|SMC2未来准备解决的管理难题
SMC2未来的发展将继续围绕提升邮件系统安全管理的智能化和自动化水平。随着技术的不断进步,SMC2将集成更先进的算法和大数据分析能力,以更准确地识别和响应安全威胁。
SMC2将实现更加精细化的安全态势感知,通过深度学习技术对用户行为进行模式识别,提前预测并防范潜在风险。同时,SMC2将加强与现有邮件系统的整合,实现更流畅的数据交换和更高效的日志分析流程,进一步降低管理成本并提升操作便捷性。
随着SOAR(安全编排自动化响应)理念的深入应用,SMC2也将能够提供更加自动化的处置流程,减少对人工干预的依赖,提高响应速度。
SMC2的目标是成为一个全面、智能、高效的邮件安全管理平台,不仅能满足当前的安全需求,更能预见并适应未来可能出现的安全挑战,为用户打造一个安全、可靠、高效的邮件使用环境。
如若转载,请注明原文地址