RevBits Email Security - Endpoint Agent分析（EDR+API集成）

https://revbits.com/pdf/RevBits_Email_Security_Product_Brief_Securing_Email_Inboxes.pdf

 

邮件安全检测场景？ 

根据文档内容,RevBits邮件安全提供以下邮件安全检测场景:

1. 终端邮件安全代理软件直接部署在用户终端,可以在邮件进入用户收件箱时进行深度分析,检测和阻止更隐蔽的恶意邮件,弥补集中式邮件安全网关的不足。（应该是EDR + api集成）

2. 利用分布式处理能力,邮件安全代理可以对每封邮件进行超过50种高级算法的深度分析,而不会影响邮件传输速度。这提供了比邮件网关更好的分析能力和保护能力。

3. 可以检测到更高级的钓鱼攻击,如伪装登录页面进行 credential harvesting 的攻击。

4. 阻止密码保护附件中的恶意内容。

5. 可以将被阻止的邮件进行隔离和汇总,并标注风险因素和阻止原因,为用户提供安全培训。同时也可以提供给管理员进一步分析。

6. 整合了邮件安全网关和终端邮件安全代理,形成端到端的邮件安全保护链,同时在统一的管理端ashboard中监控和管理。

所以RevBits邮件安全主要提供终端和网关的深度分析与检测能力,以及端到端的邮件安全场景。

 

 

有什么关键技术？

根据文档内容,RevBits邮件安全的一些关键技术包括:

1. 分布式处理技术

利用软件代理直接部署在用户终端,利用终端更强大的计算资源进行深度分析,同时不影响邮件传输速度。

2. 50多种高级算法深度分析

邮件安全代理可以对每封邮件进行50多种高级算法的深度分析,比如语义分析、内容分析等,提高检测效果。

3. 专利鉴别技术

RevBits拥有鉴别钓鱼攻击的专利技术,可以检测到更高级的钓鱼方式,如伪装登录页面进行 credential harvesting 的攻击。

4. 密码保护附件分析

可以进行密码保护附件的深度分析,检测附件中的恶意内容。

5. 统一管理

将终端和网关邮件安全功能统一在一个管理端ashboard中进行监控和管理。

6. 人工智能

文档提到恶意邮件利用生成式AI技术进行改进,难以识别,说明RevBits邮件安全可能也利用AI技术提升检测能力。

所以分布式处理、深度算法分析、专利鉴别技术以及统一管理似乎是RevBits邮件安全的一些关键技术点。

 

 

Endpoint Agent 是什么功能？

根据文档内容,可以总结出RevBits Email Security - Endpoint Agent的主要功能:

1. Endpoint Agent是RevBits邮件安全的软件代理,直接部署在用户终端上,如Outlook收件箱。

2. 它可以在邮件进入用户收件箱时进行深度分析,以检测和阻止更隐蔽的恶意邮件,弥补集中式邮件安全网关的不足。

3. 利用分布式处理能力,Endpoint Agent可以对每封邮件进行50多种高级算法深度分析,而不影响邮件传输速度。

4. 它可以检测更高级的钓鱼攻击,如伪装登录页面进行credential harvesting的攻击。

5. 可以阻止密码保护附件中的恶意内容。

6. 将被阻止的邮件进行隔离和汇总,并提供给用户和管理员查看,用于安全培训。

7. Endpoint Agent是RevBits邮件安全的一部分,可以与邮件安全网关整合,形成端到端保护。

所以总之,Endpoint Agent作为RevBits邮件安全的软件代理,它的主要功能是直接部署在用户终端,利用分布式处理能力进行深度分析检测,弥补网关不足,提供端到端邮件安全保护。

 

补充：

安全电子邮件网关 (SEG) 是什么？如何实现呢？

安全电子邮件网关（SEG，Security Email Gateway）是一种防护解决方案，旨在保护组织免受电子邮件威胁，如垃圾邮件、钓鱼邮件、恶意软件、病毒以及更高级的目标攻击等。SEG的主要功能是在电子邮件到达用户邮箱之前，对其进行检查和过滤，从而阻止恶意内容和未经授权的数据传输。

如何实现安全电子邮件网关：

实现安全电子邮件网关通常涉及以下几个步骤和组件：

1. 邮件过滤规则：通过定义一系列复杂的规则来识别和过滤垃圾邮件和钓鱼邮件。这些规则可以基于发件人的信誉、邮件中的特定关键词、邮件的结构和格式等因素。

2. 签名基础的威胁检测：利用已知的恶意软件和病毒签名数据库来扫描邮件附件和链接，以识别和阻止已知的威胁。

3. 行为分析和启发式检测：使用先进的技术（如机器学习和人工智能）来分析电子邮件的行为和属性，识别新出现的和未知的威胁。这种方法不依赖于已知的恶意软件签名，而是寻找与恶意活动相关的行为模式。

4. 沙箱技术：沙箱是一种隔离环境，用于运行和分析可疑的电子邮件附件和链接，以观察它们的行为而不影响主系统。如果在沙箱中发现恶意行为，相应的邮件就会被阻止。

5. 数据泄露防护（DLP）：通过监控和阻止敏感信息（如财务数据、个人身份信息等）通过电子邮件非法传输，来保护组织的数据安全。

6. 加密和认证：实施电子邮件加密和使用诸如SPF（发件人策略框架）、DKIM（域名密钥识别邮件）、DMARC（域名基准邮件认证报告和遵从性）等认证技术，以确保电子邮件的真实性和完整性。

7. 用户培训和意识提升：虽然不是技术措施，但培训用户识别潜在的电子邮件威胁也是防御策略的重要组成部分。

通过上述方法和技术的综合应用，安全电子邮件网关能够有效地减少电子邮件相关的安全威胁，保护组织的信息安全。然而，随着网络攻击手段的不断演进，持续更新和维护SEG系统以对抗新兴威胁也同样重要。

 

 

安全电子邮件网关 (SEG) 是如何部署的？

安全电子邮件网关（SEG）的部署可以根据组织的具体需求和网络架构采取不同的方式。主要的部署方式包括本地部署（On-premises）、云部署（Cloud-based）、以及混合部署（Hybrid）。下面详细介绍这几种部署方式：

1. 本地部署（On-premises）

在本地部署模式中，安全电子邮件网关作为硬件或软件形式安装在公司的内部网络中。这种部署方式允许企业完全控制其电子邮件安全解决方案，并且可以根据需要定制安全策略。

• 优点：提供更高级别的控制和定制能力；数据保留在本地，有助于满足特定的合规要求。
• 缺点：需要较大的初始投资用于硬件和软件；需要内部专家进行维护和更新；扩展性和灵活性较低。

2. 云部署（Cloud-based）

云部署模式下，安全电子邮件网关由第三方服务提供商在云中托管。企业将其电子邮件流量重定向到云服务，由服务提供商负责过滤恶意邮件和攻击。

• 优点：快速部署和易于管理；成本效益高，因为通常基于订阅模式；具有良好的可扩展性和灵活性；服务提供商负责更新和维护。
• 缺点：对第三方服务提供商的依赖较高；可能存在数据隐私和合规性的考虑。

3. 混合部署（Hybrid）

混合部署结合了本地部署和云部署的优点。在这种模式下，一部分安全电子邮件网关功能在本地部署，而另一部分功能由云服务提供。

• 优点：提供灵活的部署选项，结合了本地控制的优势和云部署的灵活性；适合需要同时满足特定的安全和合规要求的企业。
• 缺点：可能需要更复杂的配置和管理；成本可能会因同时使用本地和云资源而增加。

部署过程中的考虑因素

无论选择哪种部署方式，部署安全电子邮件网关时都应考虑以下几个关键因素：

• 安全需求：评估组织面临的具体威胁和安全需求。
• 合规要求：确保解决方案符合行业标准和法规要求。
• 成本：考虑预算和总体拥有成本（TCO）。
• 可扩展性和灵活性：确保解决方案能够适应未来的增长和变化。
• 维护和支持：评估内部资源和能力，确定是否需要外部支持。

选择合适的部署方式和考虑上述因素将有助于确保安全电子邮件网关能够有效地保护组织免受电子邮件威胁。

 

 

SEG 处理和过滤 SMTP 流量==》是说专门解析和处理邮件协议流量吗？

是的，当我们说到安全电子邮件网关（SEG）处理和过滤SMTP流量时，意味着SEG专门解析和处理基于简单邮件传输协议（SMTP）的邮件协议流量。SMTP是互联网上发送电子邮件的标准协议，几乎所有的电子邮件服务和服务器都使用这个协议来发送和接收邮件。

SEG通过对SMTP流量进行深入的检查和分析，能够识别和过滤出潜在的威胁，如垃圾邮件、钓鱼邮件、恶意软件、病毒等，从而保护组织的电子邮件通信免受这些威胁的影响。具体来说，SEG在处理SMTP流量时会执行以下操作：

1. 连接管理：在邮件服务器之间建立SMTP连接时，SEG可以检查发件人的IP地址，对其进行信誉评估，以决定是否接受或拒绝连接。

2. 邮件接收：在SMTP会话中，SEG接收邮件头和正文，对其进行分析，以识别潜在的垃圾邮件和钓鱼邮件等威胁。

3. 内容分析：通过对邮件内容的深入分析，包括附件和链接，SEG能够检测恶意软件和病毒。这可能包括使用沙箱技术来执行可疑附件和链接，以观察其行为。

4. 过滤和拦截：基于预定义的策略和检测到的威胁，SEG会决定是否允许邮件通过、将其标记为垃圾邮件或直接拦截。

5. 报告和日志记录：SEG记录处理过程中的详细信息，包括检测到的威胁、采取的行动等，以便于事后分析和审计。

通过这些步骤，SEG确保了只有安全、无害的邮件能够到达最终用户的邮箱，从而大大降低了电子邮件相关威胁的风险。

 

 

如果是加密的邮件协议呢？SEG如何处理

 

当处理加密的邮件协议（例如，通过TLS（传输层安全）加密的SMTP）时，安全电子邮件网关（SEG）需要采取特定的措施来确保它能够解密、检查和再次加密邮件，而不破坏其安全性。这个过程通常被称为TLS解密、内容检查和重新加密。以下是SEG处理加密邮件协议的基本步骤：

1. TLS解密

• 中间人（MITM）部署：为了检查加密流量，SEG通常以“中间人”的形式部署。这意味着所有进出组织的加密邮件流量首先会被SEG解密。为了做到这一点，SEG需要拥有用于解密流量的适当密钥。
• 证书管理：SEG使用一个与组织的邮件服务器信任的证书，这样它就可以在不引起终端用户警报的情况下解密、检查和重新加密邮件流量。

2. 内容检查

• 邮件分析：一旦邮件被解密，SEG就会对邮件内容进行分析，包括附件和链接，以识别垃圾邮件、钓鱼邮件、恶意软件、病毒等威胁。
• 策略执行：基于组织的安全策略，SEG会决定是否允许邮件通过、将其标记或拦截。

3. 重新加密

• 邮件加密：在邮件内容被检查并清除任何威胁之后，SEG会使用接收方的公共密钥重新加密邮件，确保其在传输过程中的安全性。
• 发送邮件：重新加密后的邮件将被发送到最终目的地，保证了邮件在传输过程中的保密性和完整性。

安全考虑

• 隐私和合规性：处理加密邮件时，需要确保遵守数据保护法律和规定，如GDPR（一般数据保护条例）等，保护用户隐私。
• 密钥管理：密钥的安全管理是至关重要的，需要确保密钥的安全存储和访问控制，避免未授权访问。

通过这种方式，即使是加密的邮件流量，SEG也能有效地执行其安全策略，保护组织免受电子邮件威胁的影响，同时又能保持邮件通信的机密性和完整性。

 

 

ICES是通过邮件服务器的开放API来访问邮件数据吗？

是的，集成云电子邮件安全（ICES）通常通过邮件服务器的开放API来访问邮件数据，以实现其安全功能。这种方式允许ICES解决方案无缝地集成到现有的电子邮件基础设施中，而无需对邮件服务器进行重大更改或干预正常的邮件流程。

如何工作：

1. API集成：ICES解决方案通过使用电子邮件服务提供商（如Microsoft Office 365、Google Workspace等）公开的APIs，与邮件服务器建立连接。这些APIs提供了一种方式来读取、发送、删除和管理邮件等操作，而不需要直接访问服务器。

2. 数据访问：通过APIs，ICES可以访问邮件内容、附件、邮件头信息等，以便进行安全检查。这包括对垃圾邮件、钓鱼邮件、恶意软件的检测，以及执行数据泄露预防（DLP）策略等。

3. 威胁检测和响应：一旦检测到潜在威胁或违反策略的行为，ICES可以采取预定的响应措施，如隔离邮件、删除恶意附件或通知管理员等。

4. 安全策略执行：ICES还可以通过APIs执行安全策略，比如强制实施邮件加密、管理访问权限和应用数据保护规则等。

优势：

• 无缝集成：通过APIs，ICES可以轻松集成到各种邮件系统中，无需复杂的配置或改动现有架构。
• 实时保护：API集成允许ICES实时监控和分析邮件流量，快速响应新出现的威胁。
• 灵活性和扩展性：基于API的集成提供了高度的灵活性，使得ICES能够支持从小型企业到大型企业的不同规模需求。
• 维护和更新简便：当邮件服务提供商更新其服务时，通过API集成的ICES解决方案可以更容易地进行适配和更新，确保持续的兼容性和安全性。

通过利用邮件服务器的开放API，ICES为组织提供了一种强大、灵活且易于部署的电子邮件安全解决方案，帮助保护其免受各种电子邮件威胁的影响。