2023-07-19 17:50:46 和讯网新闻
CAC2.0反钓鱼防盗号是Coremail推出的一款同时具备威胁邮件识别过滤、邮箱账号异常监测与与准实时告警、泄露账号威胁登录拦截,以及综合型邮件威胁情报(攻击IP、威胁URL、钓鱼邮件主题、重保紧急情报等)的云安全服务,全面防范“邮件威胁”和“账号威胁”,拥有“事前拦截,事中告警,事后处置”的全流程能力,能够在企业邮箱管理的苛刻环境下,提供稳定可靠的服务。
为了提高CAC2.0对疑似被盗账号的综合分析能力,Coremail全新升级发布CAC2.0的核心模块——防暴卫士2.0。
防暴卫士2.0的响应时间从原先的24小时通知,变成了15-30分钟的准实时告警,这是防暴卫士2.0一个巨大的提升点。全新升级的防暴卫士2.0,分别应用两套算法模型演算“登录行为异常”和“发信行为异常”账号,同时支持管理员自定义设置通知策略,选择通知方式(邮件、短信)和频率。
历时一年多的风险IP情报库也建立完成,可应用于拦截可疑登录,相比之前的SVM等算法模型,使用风险IP情报库进行拦截的实操性和准确率相对较高。
亮点1:登录行为异常和发信行为异常
新一代的防暴卫士2.0将登录行为异常和发信行为异常分为两个板块,这两个板块已实现准实时分析频率。
01、登录行为异常
登录行为异常保留了原来的总览面板和详情面板。当管理员在总览面板看到某一账号被披露近期疑似被暴破或非常用地登录,可以进到详情登录痕迹页,查看异常账号的登录成功日志,对疑似账号进行初步判断,再跟账号所有者进行核实,最后可以锁定该账号是否被盗号。
登录异常风险描述还增加了非常用地登录成功和非常用设备登录成功行为识别。而CAC2.0后续的产研计划将会不断丰富登录异常行为识别类型。
02、发信行为异常
防暴卫士2.0实时监测用户发信记录,统计账号发信类型,并直观披露账号发信情况。如果一个账号在历史有被盗号的记录,并且攻击者频繁使用该账号,那么可以通过该账号的发信行为来进行判断分析该账号是否再次被盗。
亮点2:准实时告警
当账号疑似被盗时,管理员该如何及时收到通知进行评断呢?
本次防暴卫士2.0的升级中,新增了通知管理这一大模块。管理员可设置通知策略,支持不同账号危险级别通知预警。
比如,将高危账号设置为短信方式的准实时通知,中低危账号设置为以邮件形式的24小时预警通知。还支持设置不同通知方式、不同通知频率和多个通知用户。
亮点3:风险IP情报库
目前风险IP情报库的日均活跃风险IP高达3W,累计捕获风险IP数为超过138W。
风险IP情报库捕获收录IP的类型可分为两种。第一种,有暴力破解行为记录以及破解成功后外发垃圾邮件的行为的IP;第二种,已经被公开情报标记的黑IP。
风险IP情报库应用在可疑登录拦截和攻击IP&攻击记录两大板块。
01、可疑登录拦截
可疑登录拦截应用了风险IP情报库的数据。当攻击者登录已泄露账号时,即使密码正确邮件系统放行,CAC2.0仍然会拦截其不允许登录。管理员可上云服务中心查看拦截日志,当发现拦截日志中有本公司IP时,可将该IP添加至IP白名单。
02、攻击IP&攻击记录
本次升级对攻击IP&攻击记录的面板进行了调整,将这两个板块整合起来,方便管理员查看本域攻击IP情况,以及可到攻击记录页面查看IP攻击的具体账号和详情。攻击情况还可查看某一账号被哪些IP攻击过,做到了双向溯源。
亮点4:全新态势面板
全新的态势面板增加了登录请求类型分布、登录拦截趋势和数量、疑似被盗账号高危趋势、高危暴破以及威胁榜单。这些态势面板可以帮助管理员在短时间内掌握本域账号安全和整体情况。
未来,Coremail将不断优化技术产品和服务,推出更优质的产品和解决方案,持续奋进,一站式解决所有邮件安全问题。