2024年中国网络安全行业《邮件安全产品及服务购买决策参考》发布

9 天前作者：GoUpSec

邮件安全的一小步，企业网络安全的一大步

电子邮件是政府和企业沟通的主要渠道之一，同时也是多年来网络攻击和实战攻防演习的首要目标和媒介。

近年来随着生成式AI的爆发式增长，网络钓鱼和社会工程攻击迎来了一次“技术革命”，导致邮件安全威胁态势迅速恶化，邮件安全防御技术和策略面临一次重大升级和革新，作为企业网络安全的第一道也是最重要的防线，邮件安全的一小步，就是企业网络安全的一大步。

邮件安全威胁现状与趋势

虽然微信、钉钉等在线协作工具平台和即时通讯正在蚕食电子邮件的生产力工具地位，但电子邮件依然是网络攻击最热门的攻击媒介。全球范围内，大约90%以上的网络攻击将电子邮件作为攻击入口。

根据奇安信最新发布的邮件安全报告，2023年，全国企业邮箱用户共收发各类电子邮件约7798.5亿封。其中，正常邮件占比45.8%、普通垃圾邮件 40.5%、钓鱼邮件7.4%、带毒邮件5.8%、谣言邮件0.24%，色情、赌博等违法信息推广邮件约0.18%。2023年最为流行的三种钓鱼邮件类型分别是身份验证/备案（36.1%）、补贴/退税（30.9%）和升级/扩容（17.4%），三者之和占到了所有钓鱼邮件总量的84.4%。

以下是常见的邮件安全威胁类型：

钓鱼攻击：攻击者通过伪造的邮件或链接引导用户泄露敏感信息。随着技术的发展，钓鱼邮件正变得越来越难以识别。
商业电子邮件泄密（BEC）：攻击者假冒公司高管，要求转账或获取敏感信息。
恶意软件和勒索软件：电子邮件仍然是恶意软件和通过网络钓鱼窃取凭证的重要攻击媒介，攻击者通过邮件附件或恶意链接投放恶意软件或勒索软件，给企业造成数据泄露或财务损失。据Gartner估计，40%的勒索软件攻击是通过电子邮件发起的。
垃圾邮件：虽然垃圾邮件的危害性较小，但会影响工作效率，并可能成为攻击的载体。

随着生成式AI技术的普及，RaaS等勒索软件运营模式的流行，深度伪造等新的攻击手段和技术工具快速迭代，新型邮件攻击技术的应用给邮件安全工作带来了严峻的挑战，邮件全威胁呈现以下几大趋势：

实施高度复杂和针对性的（跨国）网络钓鱼攻击和社会工程攻击的门槛正不断降低
攻击样本更加多样化、更具迷惑性
基于恶意二维码、加密压缩包的攻击方式使得邮件中的恶意链接、恶意附件更加难以识别
基于动态IP池的账号爆破方式，使很多传统的防爆破技术失效
“盗号”+“同域钓鱼”使得域内通信不再可信
针对远程/混合办公、移动办公、BYOD的移动端漏洞利用、恶意软件投放和数据泄露
企业人力资源HR部门正成为网络钓鱼邮件攻击成功率最高的身份冒充对象

电子邮件安全威胁正不断升级，成为当下和未来企业网络安全的决定性战场，电子邮件相关安全产品和解决方案市场的竞争和创新也高度活跃，进入了新一轮高速增长期。

邮件安全市场现状与趋势

Gartner给电子邮件安全产品的定义是：用于为电子邮件提供攻击保护和访问保护的预测、预防、检测和响应框架的统称。电子邮件安全涵盖安全邮件网关（SEG）、电子邮件系统、用户行为、内容安全、数据保护以及各种支持流程、服务和相邻的安全架构。有效的电子邮件安全解决方案不仅需要选择具备所需功能和配置的正确产品，还需要制定正确的操作程序。

电子邮件安全解决方案通常分为以下四类：

安全电子邮件网关(SEG)。传统上，SEG解决方案以本地设备、虚拟设备或云服务的形式提供入站和出站电子邮件的安全性。SEG处理和过滤 SMTP流量，并要求组织更改其邮件交换(MX)记录以指向SEG。
集成云电子邮件安全(ICES)。来越多的云电子邮件提供商开始提供内置电子邮件安全功能。作为对这些原生功能的补充，高级电子邮件安全功能越来越多地被部署为集成云电子邮件安全解决方案，而不是网关。这些解决方案使用对云电子邮件提供商的API访问来分析电子邮件内容，而无需更改MX记录。集成解决方案不仅仅是阻止已知的不良内容，还为用户提供内联提示，帮助加强安全意识培训，以及检测受损的内部帐户。最初，这些解决方案是作为现有网关解决方案的补充进行部署的，但云电子邮件提供商的原生功能和ICES的组合越来越多地取代传统的SEG。
电子邮件数据保护(EDP)。电子邮件数据保护解决方案添加了加密功能，以跟踪和防止在发送电子邮件之前或之后未经授权访问电子邮件内容。EDP还可以帮助防止由于收件人错误而导致意外数据丢失。
电子邮件安全相关服务。与电子邮件安全重叠或紧密相关（集成）的安全服务，例如安全意识培训、数据存储、电子邮件连续性服务等。

电子邮件安全市场细分来源：Gartner

随着网络钓鱼和社会工程攻击威胁的不断增长、基于电子邮件的网络攻击的频率和复杂性正不断增加，企业移动设备的采用率不断提高、法规越来越严格以及基于云的电子邮件安全解决方案的普及，企业对高级电子邮件安全措施的需求不断增长。未来五年电子邮件安全市场是增长最快的网络安全细分市场之一。

企业纷纷认识到需要全面的解决方案来防范网络钓鱼、勒索软件和其他针对电子邮件通信的恶意活动。

根据《财富》的调查报道，2022年电子邮件安全市场规模为38.7亿美元，预计2023年至2030年的复合年增长率为11.1%。预计2030年的收入将达到89亿美元。

根据Gartner的预测，到2025年20%的反网络钓鱼解决方案将通过与电子邮件平台的API集成来提供，而目前这一比例还不到5%。

与此同时，网络安全行业通过在电子邮件安全解决方案中集成人工智能(AI) 和机器学习(ML)以增强威胁检测和响应能力。人工智能算法可以分析模式、检测异常并提供针对新兴威胁的自适应保护，从而提高电子邮件安全措施的整体有效性。这种技术集成增强了市场规模及其适应不断变化的网络威胁的能力。以下是邮件安全产品服务市场的五大趋势：

云邮件安全的崛起：越来越多的企业将邮件安全从本地迁移到云端解决方案。云邮件安全产品提供更好的可扩展性和灵活性，同时易于部署和维护。根据Gartner的报告，随着云采用的普及，2023年有约70%的组织使用云电子邮件解决方案。

AI与机器学习技术的应用：先进的邮件安全产品已经开始采用人工智能和机器学习来分析大量邮件数据，从而提高识别高级威胁（如零日攻击和复杂的钓鱼攻击）的准确性。
集成式安全方案：企业越来越倾向于采用集成的邮件安全解决方案，将邮件安全与其他安全层（如SSE、端点安全、数据防泄露和XDR等）以及办公和协作平台的API集成与内容过滤结合在一起，构建多层次防护体系，提高对安全威胁的检测和响应能力。
电子邮件传输加密：如今，大多数电子邮件在邮件系统之间使用传输级加密，但随着越来越多的敏感信息被共享，确保邮件的存储和通信安全变得越来越重要。电子邮件加密工具已经存在很久，但由于可用性问题，只有大约40%的组织采用。安全邮件网管（SEG）产品通常包括加密，但可用性差别很大。在中国电子邮价安全市场，基于国密算法的全流程数据加密和保护方案逐渐成为主流，但是对于端到端加密的较新解决方案通常需要优先考虑可用性。
整合用户教育和意识培训：除技术解决方案之外，随着新兴网络钓鱼和社工技术的快速发展，企业纷纷加大了对员工的网络安全意识培训，特别是防止钓鱼攻击和BEC的内容。

邮件安全产品的关键能力和功能

网络钓鱼攻击威胁不断升级，企业电子邮件安全负责人在选择邮件安全产品时，需要优先考虑提供反网络钓鱼技术的电子邮件安全解决方案，进行有针对性的BEC保护，此类解决方案使用AI检测通信模式和对话式异常，并使用计算机视觉检查可疑URL，可检测社会工程和BEC攻击。

许多电子邮件安全解决方案还可以通过电子邮件数据丢失防护(DLP)和电子邮件加密功能解决出站电子邮件安全用例。其他关键功能和服务包括安全意识培训以及电子邮件加密。

以下是一些关键的电子邮件安全功能和能力：

1、反钓鱼和BEC防护

高级威胁检测：通过行为分析、内容分析以及上下文相关的检测机制，识别并阻断复杂的钓鱼和BEC（商务电子邮件泄漏）攻击。
仿冒检测：自动检测和阻止假冒域名、邮件地址以及身份的攻击。

2、恶意软件和勒索软件防护

多层次恶意软件扫描：通过多重扫描引擎和沙箱技术检测和拦截恶意附件和恶意链接。
勒索软件防护：及时识别勒索软件行为并进行隔离，防止其传播到企业网络中的其他节点。

3、垃圾邮件过滤

智能过滤：通过机器学习算法持续优化垃圾邮件过滤，确保高精确度，减少误报。
可配置的过滤规则：允许企业根据自身需求调整垃圾邮件过滤规则和策略。

4、内容控制与数据泄露防护（DLP）

敏感数据识别：能够识别邮件中的敏感信息（如个人信息、财务数据、知识产权）并根据预定义的策略阻止外发。
加密功能：确保敏感邮件和数据在传输过程中受到加密保护。

5、威胁情报和实时监控

实时威胁情报集成：结合全球威胁情报数据，快速应对新出现的威胁。
实时监控与警报：提供详细的安全事件日志和实时警报，帮助安全团队迅速识别并响应威胁。

6、实时威胁检测和响应

动态分析:实时分析邮件内容，检测恶意代码、钓鱼链接、恶意附件等。
行为分析:通过机器学习识别异常邮件行为，如大量发送垃圾邮件或异常访问模式。
沙箱技术:在隔离环境中执行可疑附件，检测潜在的恶意软件。

7、用户身份验证与授权

双因素认证（2FA）：增强登录安全性，防止未经授权的邮件访问。
邮件追踪和审计：提供邮件追踪功能，帮助企业审计和监控邮件活动，特别是涉及敏感信息的邮件。

企业选择邮件安全产品时需要考量的因素

电子邮件安全市场面临的最大挑战之一是难以进行可靠、独立、定期的电子邮件保护测试，尤其是垃圾邮件和网络钓鱼检测。与AV-TEST或AV-Comparatives等机构提供的反恶意软件测试相比，目前市场中的顶级邮件安全供应商也未能提供可靠的垃圾邮件和网络钓鱼月度测试结果。虽然SE Labs会定期测试多种电子邮件安全产品，但不是每月一次，主要侧重恶意软件和网络钓鱼。

企业选择邮件安全产品时面临的一个主要挑战是：由于缺乏邮件安全厂商参与，以及获取最新垃圾邮件和网络钓鱼样本的能力，第三方测试平台的数据置信度较低，企业需要分别对邮件安全厂商和产品进行调研和评估，以下是企业向邮件安全厂商提出的一些常见问题和产品选型考量因素：

技术兼容性与集成性：所选产品是否能够无缝集成到现有的IT和安全架构中？尤其是要确保其能够与现有的邮件服务器兼容，并与其他安全解决方案（如态势感知、SIEM、DLP）集成。
扩展性和灵活性：产品是否可以根据业务需求增长而扩展？它是否支持全球分布式的团队和远程办公环境？
集成性：您的产品是否可以无缝集成到我们的现有邮件服务和安全工具中？它是否能够与我们现有的SIEM系统集成，确保事件可追踪和分析？
威胁检测能力：如何检测复杂的钓鱼攻击和零日威胁？是否能够提供行为分析和机器学习驱动的检测机制？
性能和准确性：垃圾邮件过滤、恶意软件检测以及钓鱼攻击防护的误报率如何？如何在保证安全的同时，尽量减少对邮件正常工作的干扰？
合规性与数据保护：产品是否符合企业所处行业的法律法规要求？是否提供强大的加密和数据泄露防护功能（符合等级保护及密码应用测评要求）？
用户体验与易用性：产品界面是否友好，易于配置和管理？是否有自动化的安全流程和简化的管理工具，减少安全团队的负担？
供应商支持与服务：供应商是否提供24/7的技术支持和安全更新？支持团队的响应时间通常是多少？是否定期发布安全补丁，并及时响应新出现的威胁？是否提供邮件安全意识培训服务？
未来发展规划：邮件安全产品有何未来发展规划？是否在AI和自动化检测方面有持续的技术投入？

企业在选择邮件安全产品时，需要从当前的威胁环境和技术趋势出发，关注产品的防护能力、集成性、用户体验以及合规性，选择符合自身需求的邮件安全产品，确保其在复杂的网络安全环境中有效地保护邮件系统。

邮件安全“酷厂商”推荐

在生成式人工智能滥用、“新全球化”和全球地缘政治格局巨变的大背景下，企业邮件安全威胁态势迅速恶化。邮件安全在基于数据和身份的新一代网络安全防御体系中的重要性进一步提升，邮件安全防御技术和策略面临一次重大升级和革新。

在邮件安全市场“融合与创新”为主题的重大范型转移中，如何重新认识邮件安全威胁和技术的新定义、新威胁和新趋势，决定了企业能否正确甄别并选择合适的解决方案和战略合作伙伴来打造面向未来的邮件安全防御体系。

为了帮助CISO拨开营销迷雾，提高市场能见度，全面了解潜在邮件安全战略合作伙伴。GoUpSec根据邮件安全威胁趋势和热点，深入调研了7家国内邮件安全“酷厂商”（包括专业厂商和综合安全厂商），从产品功能、应用行业、成功案例、安全策略等维度对各厂商邮件安全产品及服务进行调研了解，整理形成了2024年中国网络安全行业《邮件安全产品及服务购买决策参考》。

本次报告共收录7家国内网络安全厂商，共计11个安全产品及服务，具体成功实施案例17例，适用于政府、医疗、金融、互联网、国央企、能源、制造业、交通、教育等重点行业。