CAC2.0反釣魚防盜號是Coremail推出的一款同時具備威脅郵件識別過濾、郵箱賬號異常監測與與準實時告警、泄露賬號威脅登錄攔截,以及綜合型郵件威脅情報(攻擊IP、威脅URL、釣魚郵件主題、重保緊急情報等)的云安全服務,全面防范“郵件威脅”和“賬號威脅”,擁有“事前攔截,事中告警,事后處置”的全流程能力,能夠在企業郵箱管理的苛刻環境下,提供穩定可靠的服務。
為了提高CAC2.0對疑似被盜賬號的綜合分析能力,Coremail全新升級發布CAC2.0的核心模塊——防暴衛士2.0。
防暴衛士2.0的響應時間從原先的24小時通知,變成了15-30分鐘的準實時告警,這是防暴衛士2.0一個巨大的提升點。全新升級的防暴衛士2.0,分別應用兩套算法模型演算“登錄行為異常”和“發信行為異常”賬號,同時支持管理員自定義設置通知策略,選擇通知方式(郵件、短信)和頻率。
歷時一年多的風險IP情報庫也建立完成,可應用于攔截可疑登錄,相比之前的SVM等算法模型,使用風險IP情報庫進行攔截的實操性和準確率相對較高。
亮點1:登錄行為異常和發信行為異常
新一代的防暴衛士2.0將登錄行為異常和發信行為異常分為兩個板塊,這兩個板塊已實現準實時分析頻率。
01、登錄行為異常
登錄行為異常保留了原來的總覽面板和詳情面板。當管理員在總覽面板看到某一賬號被披露近期疑似被暴破或非常用地登錄,可以進到詳情登錄痕跡頁,查看異常賬號的登錄成功日志,對疑似賬號進行初步判斷,再跟賬號所有者進行核實,最后可以鎖定該賬號是否被盜號。
登錄異常風險描述還增加了非常用地登錄成功和非常用設備登錄成功行為識別。而CAC2.0后續的產研計劃將會不斷豐富登錄異常行為識別類型。
02、發信行為異常
防暴衛士2.0實時監測用戶發信記錄,統計賬號發信類型,并直觀披露賬號發信情況。如果一個賬號在歷史有被盜號的記錄,并且攻擊者頻繁使用該賬號,那么可以通過該賬號的發信行為來進行判斷分析該賬號是否再次被盜。
亮點2:準實時告警
當賬號疑似被盜時,管理員該如何及時收到通知進行評斷呢?
本次防暴衛士2.0的升級中,新增了通知管理這一大模塊。管理員可設置通知策略,支持不同賬號危險級別通知預警。
比如,將高危賬號設置為短信方式的準實時通知,中低危賬號設置為以郵件形式的24小時預警通知。還支持設置不同通知方式、不同通知頻率和多個通知用戶。
亮點3:風險IP情報庫
目前風險IP情報庫的日均活躍風險IP高達3W,累計捕獲風險IP數為超過138W。
風險IP情報庫捕獲收錄IP的類型可分為兩種。第一種,有暴力破解行為記錄以及破解成功后外發垃圾郵件的行為的IP;第二種,已經被公開情報標記的黑IP。
風險IP情報庫應用在可疑登錄攔截和攻擊IP&攻擊記錄兩大板塊。
01、可疑登錄攔截
可疑登錄攔截應用了風險IP情報庫的數據。當攻擊者登錄已泄露賬號時,即使密碼正確郵件系統放行,CAC2.0仍然會攔截其不允許登錄。管理員可上云服務中心查看攔截日志,當發現攔截日志中有本公司IP時,可將該IP添加至IP白名單。
02、攻擊IP&攻擊記錄
本次升級對攻擊IP&攻擊記錄的面板進行了調整,將這兩個板塊整合起來,方便管理員查看本域攻擊IP情況,以及可到攻擊記錄頁面查看IP攻擊的具體賬號和詳情。攻擊情況還可查看某一賬號被哪些IP攻擊過,做到了雙向溯源。
亮點4:全新態勢面板
全新的態勢面板增加了登錄請求類型分布、登錄攔截趨勢和數量、疑似被盜賬號高危趨勢、高危暴破以及威脅榜單。這些態勢面板可以幫助管理員在短時間內掌握本域賬號安全和整體情況。
未來,Coremail將不斷優化技術產品和服務,推出更優質的產品和解決方案,持續奮進,一站式解決所有郵件安全問題。
