云端邮件安全服务兴起聚焦APT防御

企业应用云端邮件服务时，像是微软Office 365平台的Exchange Online与Google G Suite等，往往会担心相关安全防护功能是否到位，就像企业自建邮件系统主机时，通常也会搭配硬体或软体式邮件安全闸道，强化内建安全与外寄管控力，而在云端邮件服务上，想要强化使用者收发信的安全，如今也有不少选择。

随着云端安全应用日益盛行，现在一些电子邮件安全厂商，也以云端方式提供服务，对于企业用户来说，考量企业邮件上云时，也就能有更多选搭第三方技术的组合性，而且，这类产品同属云端服务，因此也具有快速部署，并带来简化软硬体维护的优势。

因此，如果企业想要导入云端邮件服务，又不想只依靠邮件服务商，所提供的内建安全功能与加值方案，或是想选择其他专业电子邮件安全厂商的服务，就可透过搭配方式组合。

我们这次共介绍了5家厂商推出的电子邮件安全云端服务，像是基点资讯Cellopoint Online Pretection、Sophos Central Email Standard、HDE One、趋势科技Hosted Email Security与Cisco Cloud Email Security。让你了解这些产品的防护面向与特色。

进阶威胁防护成为普遍内建功能

以运作架构而言，简单来说，这类电子邮件安全云端服务的设置上，主要透过的方式，修改DNS的MX记录指向，让企业收发的电子邮件，都能多经过一层云端安全闸道的防护。而且，这类电子邮件云端安全服务都是SaaS应用，同样不需企业编制专属人力维护，要获取最新防护技术与功能强化，也更容易。

就这次我们接触的电子邮件云端安全厂商而言，防护功能各有所长，涵盖的面向也有不同差异。

像是趋势、Cisco与网擎的云端服务功能面向较广，内寄外送都有管控原则可以设定，而基点与Sophos的产品着重在收信安全的防护，但没有DLP相关功能。基本上，这些产品其实都能对应企业自建与SaaS邮件服务，应用範围广。

还有一些功能面向也很特别，像是HDE的产品，在邮件DLP与备份功能之外，还结合了存取管控的机制，以强化登入与装置验证的能力，并以企业云端邮件服务为主要支援对象，而Sophos额外提供的钓鱼测试信服务，也是市场上少有的解决方案。

接下来，让我们逐一了解这些产品的功能与特色。

强化邮件APT抵抗力，可透过云端安全服务防护

针对邮件APT防护，近年不少厂商应用云端沙箱来防护，还有重写邮件内连结的技术，并让企业使用者能够方便地查看APT资讯，了解详细资讯。（图中为Cellopoint Online Protection管理介面）

从存取控制防护企业云端邮件的资讯洩漏

防止企业云端邮件遭不当存取或登入，导致邮件资讯洩漏，也有厂商针对提供存取管控的防护，并搭配安全浏览器与装置凭证的机制，相当特别。（图中为HDE Access Control管理介面）

增加更多元的恶意邮件威胁防护技术，是近年各家业者发展的一大焦点

在这次介绍的5家邮件安全服务商中，有4家都能提供内寄邮件威胁防护功能，包括基点资讯、Sophos，以及趋势科技与Cisco的产品，只有HDE产品不具备，强调面向较为不同。

对于近年的恶意邮件威胁，可说是近年企业关注的邮件安全问题，也是近年来企业在意的资安防护重点之一。

针对近年钓鱼邮件与目标式攻击的手法，以及邮件中带有恶意连结与商用邮件冒用诈骗等，我们已经看到这些厂商开始提供对应机制。譬如说，在这些云端防护服务的后面，各厂商也积极建立全球威胁情报网；针对邮件APT防护上，像是基点产品也针对可疑邮件连结与附档，提供URL重写与云端沙箱侦测的方案，而在趋势与Cisco的方案中，也具备云端沙箱的防护技术，同时还针对变脸诈骗的攻击提供侦测能力。

 基点资讯  Cellopoint Online Protection

以发展电子邮件安全的本土厂商基点资讯（Cellopoint），近年推出了Cellopoint Online Protection（COP）云端安全服务，可帮助企业电子邮件提供垃圾邮件、病毒侦测。

强调从邮件发送特徵、行为趋势，以动态方式侦测邮件威胁，提供即时防御，防範传统防护机制难以侦测的APT攻击，像是可针对邮件连结与附件，提供未知威胁的侦测与拦截。

在贩售方式上，COP可分成标準版（Standard）与进阶版（Advanced），方便企业选择所需防护功能，前者包含防垃圾邮件与病毒过滤的功能，建议售价是每人每月60元，后者则提供APT邮件攻击防御机制，每人每月100元。因此，企业可以同时选购两者，也能只针对APT防护功能选择后者，相当弹性。

基本的应用方式上，主要是使所有电子邮件，都能经过COP云端安全服务的过滤。管理者不用太多设定，就能做到防护，企业登入Cellopoint提供的专属后台管理介面，即可检视隔离邮件区、病毒邮件区、APT邮件区，以及恶意网址隔离邮件区的内容，另外也可设定是否自动通知收件人有信被隔离。

这背后的防护机制上，CelloPoint建立了电子邮件全球威胁情报分析平台，以及多层次防护的架构。在基本防垃圾邮件功能上，提供可辨识正常的寄件端主机、阻挡自动发信程式、防止冒用他人邮件地址寄信等功能，以及防止DoS攻击影响邮件系统运作，防字典攻击等安全机制。

在病毒邮件侦测方面，COP标準版本身搭配的是Sophos防毒引擎，如果用户有更多病毒防护需求，这里还能支援其他防毒引擎，像是可额外选购Bitdefender防毒引擎。

这款产品的最大特点在于，具有APT防护功能，并且可以分成邮件网址与邮件附档过滤两大部分。

其中的邮件连结过滤，强调可侦测钓鱼与恶意连结，像是透过CelloCloud即时更新的最新威胁情资，进行静态比对，也会重写未知可疑网址，导向未知URL检查中心进行检查。

因此，当收件人将滑鼠游标移至邮件连结上时，就可以看到原始连结前方多了一段前缀网址，可导向CelloCloud执行动态即时比对。如果发现该网址具有威胁性，就会跳出警告页面，不让使用者前往。

在邮件附档的防护侦测上，COP提供云端沙箱侦测能力，可运用本身的深层检测DI（Deep Inspection）引擎拆解邮件标头、本文与附档，再将可疑邮件打包加密进行动态沙箱扫描，并透过全系统模拟技术，以触发与诱捕潜藏的恶意程式，最后回传至主控台后，利用关联式分析与威胁评分机制，以判别隔离或放行。

而且，这里的防护效果也很直观，COP后台介面已提供鉴识报告。举例来说，当COP侦测到一个最新的APT攻击邮件后，会将邮件送至隔离区，企业管理者从后台介面能够检视详细的APT资讯，包括恶意威胁评分、恶意档案名称、网路活动、恶意行为、执行程序与Registry历程等，相当实用。

Cellopoint Online Protection

● 原厂：基点资讯(02)8969-2558

● 建议售价：标準版每人每月60元，进阶版每人每月100元

● 支援邮件系统：微软Exchange Online/Office 365、Google G Suite，以及其他企业电子邮件伺服器平台

透过Cellopoint Online Protection，可针对使用者收到邮件中夹带的网址连结与附档，提供安全检查机制，防範未知攻击行为；而在管理后台的隔离区介面上，还能够查看详细的进阶威胁资讯。

主要特色：

1. 可直接选购APT防护功能，相当弹性

2. 提供邮件内可疑URL重写，用户点击即时检测

3. 邮件附档也有静态检测与动态沙箱分析，可进一步侦测全新未知威胁

 

 Sophos  Central Email Standard

由资安与防毒厂商Sophos推出的Sophos Central Email Standard，也是专攻邮件威胁防护的产品。

它是基于自家Sophos Central云端平台的服务，也可称为Cloud Email Security，与基点Cellopoint Online Protection服务的功能面向类似，主要强化邮件接收的安全性。

从防护机制来看，Sophos Central Email Standard的功能相当精简，主要强调垃圾邮件过滤，以及钓鱼与恶意程式防护，平台本身主要应用Sophos自身的垃圾邮件过滤与防毒引擎，同时也透过自家SXL（Sophos Extensible List）技术，从SophosLab取得最新的安全威胁资讯，像是防範最新垃圾邮件与动态检查网址等，拦截可疑内容或网址。它的建议售价是每人每年1,168元。

在这次介绍的电子邮件云端安全产品中，Sophos Central Email Standard的功能最单纯，方案也只有一种，企业用户管理设定也很简易，透过Sophos Central电子邮件闸道的仪表板介面，以及日誌记录与报告项目，可以检视所有邮件处理动作与安全状态，也提供记录，便于查询邮件动向。

这里也提供AD同步程式，方便针对公司网域使用者套用政策，在电子邮件安全防护的内容筛选上，也有不同内容种类设定与处置动作。

值得注意的是，Sophos Central云端平台上的邮件防护功能，并不像自家硬体式邮件闸道产品那样丰富，但仍有一些独有的特色。

像是紧急收信匣，举例来说，当企业使用的邮件系统发生问题，Sophos Central Email平台将能够为使用者保留寄来的信件，而不会退信，在这段期间当中，使用者就可以登入自助服务网页来检视电子邮件，确保邮件接收不至于中断。

另外，在提升使用者面对钓鱼邮件的防护意识上，Sophos Central平台中，也针对这样的需求提供了，可寄送钓鱼测试信件的云端服务Central Phish Threat，企业可独立选购租用，相当特别且少见，它的建议售价是每人每年1,330元。

Central Phish Threat的功能也很简单，可供企业不定期寄送钓鱼测试信，并内建不少钓鱼邮件範本，管理者透过报告可以检视哪些员工开了信件、点了连结，并且，能够立即警示并跳出影片，让使用者立即知道错在哪，做到即时教育的目的。

在电子邮件安全之外，其实Sophos Central平台本身也综合了多种面向的安全防护，像是防毒软体、网页安全闸道、企业行动管理、无线网路，以及电脑硬碟加密等，横向整合性高，而这也是Sophos与其他厂商的一大差异。

Sophos Central Email Standard

● 原厂：Sophos(02)7709-1980

● 建议售价：每人每年1168元

● 支援邮件系统：微软Exchange Online/Office 365、Google G Suite，以及微软Exchange 2003等

Sophos Central Email Standard的防护功能很单纯，强调垃圾邮件过滤，以及钓鱼邮件与恶意程式防护，另外也提供邮件记录能查询邮件动向，并有紧急收信匣的机制能确保收信不中断。

主要特色：

1.阻挡垃圾邮件、防毒设定不複杂

2.提供紧急收信匣，可在邮件系统服务中断时，保留寄来的信件，而不会退信。

3.另有可供企业寄送钓鱼测试信的云端服务，并提供报告与即时教育机制

 

 趋势  Hosted Email Security

如果企业用户想要更为丰富的电子邮件安全云端服务，资安大厂趋势科技推出的Hosted Email Security（HES）是一种选择，它的防护功能丰富且贩售方式单纯，範围涵盖防垃圾邮件、防毒，兼具APT防护技术与DLP资料外洩防护，功能相当全面。它的建议售价是每人每年1,500元，一次最少需购买50个授权数。

在Hosted Email Security提供的安全机制中，最大特色就是包含许多趋势自家的资安防护技术，像是搭配动态网路层邮件信誉评等服务Email Reputation Services（ERS），以及网页信誉评等服务（WRS），因此可在建立邮件连线时，侦知发信主机的安全等级，以及检视电子邮件中的恶意连结，而预设处置方式会放在隔离区。

HES本身也内含今年趋势科技主打的XGen防护技术，以机器学习能力侦测那些更难侦测的未知威胁，像是即时防御勒索软体的威胁，也可以针对钓鱼网址精準封锁。

HES也利用自家发展的进阶威胁扫描引擎（ATSE），来侦测文件漏洞攻击码，像是Adobe PDF、微软Office等文件中的进阶恶意程式，透过静态及行为分析逻辑来侦测；至于云端沙箱机制，HES也有，能针对可疑邮件进一步分析，做到恶意附档的模拟执行与分析，并强调很多元件都可与之搭配，提供动态即时扫描防护。

值得一提的是，HES还提供了新的社交工程攻击防护技术，内建了商业邮件诈骗（Business Email Compromise，BEC）的防护选项，可对应近年横行的变脸诈骗攻击威胁。一旦侦测到有问题，系统预设动作就会在邮件内加上文字戳记（Stamp），提醒使用者注意。这项社交工程攻击防护技术的背后，係藉由侦测与交叉分析，针对像是邮件标题、内文与递送资讯等，进而找出这类鱼叉式网路钓鱼邮件。

而在安全防护的设定上，HES的原则设定很方便，其中的邮件接收部分，已经预设了多项政策，可简化操作，管理者也可直接进入原则修改调整。只是，不像其他产品提供中文化管理介面。

值得一提的是，原本是HES选购项目的DLP功能，今年也改为内建，可协助检测邮件外寄内容，以拦阻机敏资料不至透过电子邮件管道外洩。这里的处置方式上，也提供了以密件副本方式发送给指定相关人员，以及隔离区的机制，让主管审核通过才能放行，并可设定一天3次的通知信提醒。

趋势Hosted Email Security

● 原厂：趋势科技(02)2378-3666

● 建议售价：每人每年1500元

● 支援邮件系统：微软Exchange Online/Office 365、Google G Suite，以及其他企业电子邮件伺服器平台

趋势Hosted Email Security的管理上，针对内寄、外送的政策管理预设丰富的过滤设定，像是针对商用邮件冒用诈骗的手法，也提供了相关原则设定选项。

主要特色：

1. 结合趋势自家多种资安防护技术

2. 可检视邮件中的恶意连结，支援云端沙箱扫描附档，具APT防护，并内建DLP功能

3.新加入社交工程攻击防护技术，可对应变脸诈骗攻击的威胁

 

 Cisco  Cloud Email Security

由网路设备大厂Cisco推出的Cloud Email Security（CES），与趋势HES同属防护功能较丰富的产品。

CES基本方案内建垃圾邮件、防毒功能，也提供了特殊的内容过滤机制，还有3个可额外选购的功能项目，像是进阶恶意程式防护，以及DLP与金钥加密等，让企业能弹性搭配。可惜，原厂并未提供建议售价，不像一般云端服务那样价格透明。

就基本安全防护特色而言，CES内建了併购自IronProt的防垃圾邮件等功能，并提供内文脉络自我适应的扫描引擎（Context Adaptive Scanning Engine，CASE），强化垃圾邮件过滤与网址分析的侦测技术。在防毒机制上，这里採用的是Sophos防毒引擎，并提供搭配McAfee防毒引擎的额外选项。

在CES的邮件防护功能中，有几个独到的机制相当值得一提，像是在内建的内容过滤技术当中，提供了Forged Email Detection，以及Macro detection技术，前者可对应商业邮件诈骗攻击，后者是能侦测内含巨集的Office档案。

举例来说，侦测到高阶主管信件可能有冒名问题时，CES会在邮件标题自动添加「Possibly Forged」的提示；若是附档Office文件格式包含巨集，CES将透过设定条件执行过滤，可让使用者在收信开启附档时，只会看到档案内容已经被系统清除的提示，相当实用。

对应更高层次的邮件防护面向，CES则提供了进阶恶意程式防护、DLP与金钥加密等功能，作为额外选购的项目。

这里所谓的进阶恶意程式防护功能（Advanced Malware Protection，AMP），主要针对邮件附档的安全，以Cisco Talos全球威胁情报服务为基础，并整合了併购自ThreatGRID而得到的技术，提供档案信誉、动态沙箱分析与追溯安全等功能。

在运作方式上，邮件附档会先经过档案信誉的比对，可疑档案还会再以沙箱来侦测其行为。原厂也强调採用实体沙箱环境，非以虚拟环境模拟，具有降低恶意程式反制沙箱侦测的能力。

与一般邮件APT防护的不同之处在于，Cisco在这里具备了档案回溯（File Retrospection）的技术，可针对放行的邮件附档持续分析与记录档案活动。日后CES一旦察觉到恶意行为，若使用者邮件服务採用的是微软Exchange Online，系统还能使用档案追蹤能力，自动透过微软开放的API，将原本没发现的威胁档案移除，相当特别。

至于DLP资料外洩防护功能，也是CES可额外选购的项目。像是可设定符合条件的机敏资讯无法寄到外部信箱，也提供隔离区的做法，让管理者可以决定放行与否。而在整体安全管理上，CES的管理后台介面上，也提供仪表板介面可针对邮件内寄与外发检视报告。

Cisco Cloud Email Security

● 原厂：Cisco (02)8758-7100

● 建议售价：厂商未提供

● 支援邮件系统：微软Exchange Online/Office 365、Google G Suite，以及其他企业电子邮件伺服器平台

在Cisco Cloud Email Security的管理后台中，企业管理者可针对邮件的内外收发制订不同管理政策，这里预设的过滤条件已经很丰富，其中AMP进阶恶意程式防护与内容过滤功能，是一大特色。

主要特色：

1.提供内容过滤功能可侦测变脸诈骗与巨集附档

2.提供进阶恶意程式防护（AMP），可针对邮件附档持续分析与记录档案活动，还能搭配邮件回溯机制自动删除。

3. 同时提供资料外洩防护选购项目

针对邮件资料外洩防护是另一条路线，甚至可扩及存取安全

针对企业邮件资料外洩防护，也是过去几年也常被强调的防护重点，侦测邮件是否夹带机敏资讯或个人资料，如邮件违反DLP 原则，系统会阻挡邮件寄出，或是需经审核通过才能放行。

在这5家邮件安全服务商中，有3家厂商提供，包括前面提到的趋势与Cisco产品，还有一家尚未介绍的厂商是HDE。它的防护不仅是运用DLP，特别是还提供了存取管控的机制，进一步强化资料外洩防护的涵盖範围，相当特别。

 HDE  HDE One

来自日本的HDE One邮件安全解决方案，主要搭配多款云端服务而成，包含了存取管控Access Control、邮件资料外洩防护Email DLP、邮件归档备份Email Archive，以及档案安全传输服务Secure Transfer。

而整体HDE One的搭售方式上，又可分成标準版与商用版，后者的差异是在存取管控服务中，多了装置凭证的功能。只可惜原厂并未提供建议售价，与Cisco作法相同，价格并不透明。

不同于多数电子邮件云端安全服务，都会提供邮件接收安全的防护，HDE One的主要应用是，提供存取管控与资料外洩防护的加值应用。其中的存取管控机制，更是一般主打邮件安全云端服务少有的功能面向，相当特别。

在存取管控功能方面，HDE主要针对Office 365与G Suite云端邮件服务，提供用户连线的进阶管理，以防止未经授权的存取或登入。同时，此管控机制也能应用在多项云端服务，并能带来SSO单一登入的便利性。

从这里的管控原则来看，HDE One提供了IP位置限制、OTP二阶段身分验证与安全浏览器的功能，企业管理者可制订原则，并套用在不同使用者及群组。

举例来说，像是限制使用者登入企业邮件服务时，所使用的电脑必须是在公司IP位置才能存取，一旦不符合存取规则，将出现无法登入的提示，同时也能启用安全浏览器的政策，当员工在公司外的网路登入时，就必须用HDE提供的安全浏览器，才能连上邮件服务，并还能够限制邮件附档无法下载，相当实用。看起来，这里也像是结合了企业行动管理产品的概念。

除了上述管制之外，今年HDE又增加了装置凭证的进阶功能，让使用者装置预先安装凭证在手机或电脑上，并提供个人凭证、多人凭证的登入类型，强化未知装置连线的防护，每人最多可配发5个装置凭证，当装置遗失时也能随时让装置凭证失效。

在邮件资料外洩防护服务的管控上，HDE One可针对外寄邮件进行机密敏感过滤、电子邮件审核与自动附件加密的功能，也提供延迟寄送的机制。这里的规则条件设定，主要是透过输入关键字与正规表示式来侦测，让符合条件的机敏邮件，可以经过审核程序才能放行，或是自动将邮件附档ZIP加密、密件副本给指定主管。

另外，对于邮件备份与大档传输的需求，HDE One也提供云端服务。前者具有容量无限制、不可删除的收发信即时备份空间，内建简易的搜寻介面与弹性管理权限设定；后者提供邮件附档过大时的档案分享应用，平台内建F-Secure扫毒功能，上传的档案也将压缩成ZIP档并加上密码防护，也有档案传输请求机制。

HDE One

● 原厂：HDE(02)2736-3223

● 建议售价：厂商未提供

● 支援邮件系统：微软Exchange Online/Office 365、Google G Suite

在HDE One Access Control的后台管理介面中，这里提供了丰富的存取控制原则设定，相当特别。同时，HDE One还搭配了邮件归档备份，以及资料外洩防护等云端服务。

主要特色：

1.提供邮件存取控制、DLP、备份归档与大档传输服务

2.存取管控可搭配安全浏览器与装置凭证等机制，强化资料外洩防护

3.存取管控功能还能扩及各种类型的云端邮件服务

云端邮件安全服务日益风行，有越来越多业者投入

在上述这些邮件防护面向之外，若是企业对于邮件安全有更高的条件需求，你也可以注意这些产品的邮件安全支援性，像是DKIM、SPF与DMARC寄件网域验证安全的邮件签署机制，或是S/MIME、PKI等加密以及签章技术，让寄收件者双方确保邮件未在寄件途中遭到窜改。另外，各服务商提供的云端服务水準协议（SLA），能否满足企业需其，也是在导入时可以多了解的部分。

综合来看，对应企业邮件上云这样的趋势，现在不少厂商都会强调，能够支援微软与Google企业邮件服务，并藉由各厂商擅长的技术，协助企业强化邮件安全与管控能力。

而在云端技术的加持下，尤其是威胁防护功能，将可凭藉各厂商的云端威胁情报中心，以及应用云端的延展性和运算能力，提供更即时有效的威胁防护。

除了之前介绍的云端邮件厂商网擎，以及这里提到的基点、趋势、Cisco、HDE与Sophos，在国外市场上还有不少厂商投入，像是赛门铁克Email Security.Cloud、Forcepoint Email Security Cloud、The Email Laundry、Proofpoint Essentials、Mimecast Email Security等。

显然，云端时代的邮件安全防护，可供选择的服务大幅增加，已经不像早期那样选择太少，不仅是新兴云端厂商加入战局，不少传统邮件闸道设备厂商、资安厂商，也都开始提供相关云端安全方案。

针对商业邮件诈骗BEC，已有邮件安全厂商提供侦测功能

近年，俗称「变脸诈骗」的商务商业邮件诈骗（Business Email Compromise，BEC）威胁，是企业正在关注的议题，像是利用假冒高层主管通知财务汇款的手法，诱骗使用者移转资金到诈骗者名下帐户，一不小心就造成数百万元损失。

我们在趋势Hosted Email Security与Cisco Cloud Email Security产品中，已经看到BEC相关的侦测功能，像是可交叉分析寄送电子邮件的各个环节，当系统侦测到有问题时，可以在邮件内文加上警示戳记，或是在邮件标题前方，加上Forged Email Detection的警示。

当使用者经系统提醒，察觉邮件可能有问题，最好透过其他管道跟对方再次确认。（上图为Cisco Cloud Email Security管理介面、下图为趋势Hosted Email Security管理介面）

 相关报导  企业云端邮件安全解决方案採购大特辑