本文来自微信公众号“数世咨询”,作者/nana。
威胁形势不断发展变化,电子邮件仍是网络攻击的主要目标,而传统的电子邮件安全措施却已不再够用。依赖历史攻击数据的解决方案只能捕获曾经看到过的攻击,难免处于不利地位,一直在拼命追赶网络犯罪分子创新的脚步——事实上,这些解决方案识别新型攻击平均耗时13天。
威胁形势日趋严峻
网络钓鱼攻击的频率和复杂程度都在不断提高,因为攻击者尝试使用两种关键手法:恶意软件投放和社会工程。在恶意软件投放方面,网络犯罪分子搭合法基础设施便车的现象激增,他们利用OneDrive和SharePoint等合法基础设施的可信声誉来绕过安全工具。至于人的方面,攻击者使用生成式AI技术冒充可信联系人——比如破坏性的商务电邮入侵(BEC)和能以假乱真的鱼叉式网络钓鱼。令人担忧的是,英国网络安全初创公司Darktrace发现,自从ChatGPT发布,网络钓鱼电子邮件的平均语言复杂度就上升了17%。
这些趋势表明攻击形势发生了转变:从频率高、影响小的广撒网式网络钓鱼技术转向了复杂度高、影响大的针对性攻击,能够绕过依靠规则和特征码的安全工具。
图1:攻击发展进程与电子邮件安全工具的相对覆盖范围
此外,数字化时代的电子邮件安全不仅需要着眼收件箱,还需要放眼每个用户的电子邮件、账户和应用。实际上,仅仅专注于阻止收件箱中已知威胁的工具已经不足以应对当前威胁形势了。
行业图景
传统网关和很多现代集成云电子邮件安全(ICES)提供商有一些共同点:他们用之前的威胁情报来预测下一次攻击。新兴供应商则将AI应用到这一有缺陷的方法上,寻找直接匹配,并用“数据增强”来识别类似的电子邮件。尽管利用了AI,该方法依然专注过往,因而对新兴威胁视而不见。
而且,这些工具还是资源密集型的,需要持续的策略维护和人工分拣误报。于是,符合“设过即忘”定义的技术,即能够自主区分良性与恶意并持续适应各个企业环境的电子邮件安全,就有了登场的机会。
转向AI
业内正在经历一场从“安全”电子邮件网关到智能AI方法的巨大转变。
只有深入了解每个员工的日常互动,才能准确确定电子邮件是否归属其收件箱。该方法从行为入手检测异常:各人如何使用其收件箱,以及每个用户的“正常”状态是什么样子的。
当前威胁形势下,这种方法依托原生电子邮件安全来应对使用新颖或伪合法基础设施的高级攻击。
图2:原生电子邮件安全+AI覆盖更多攻击类型
检测置信度高,就可以做出准确而针对性强的响应——只清除电子邮件中最危险的部分而不是出于谨慎全面禁止,从而在不干扰正常业务运营的情况下尽量减小风险。
全面审视每个用户
现有电子邮件工具只关注入站电子邮件,并不考虑账户被盗的潜在重大破坏。今时今日的电子邮件安全不能仅仅局限在收件箱上,需要全面了解用户在电子邮件及其他方面的行为。
想要掌握用户的完整上下文,就得掌握他们在应用、网络和设备上的活动,看清基于身份的攻击的全貌。结合所属企业环境(包括网络、云和端点数据)了解用户,可以将电子邮件安全与企业和外部攻击面联系在一起,更为详尽地了解潜在攻击。
纳入最终用户
数字化时代,安全是每个人的责任。电子邮件安全需让员工适度参与进来,为他们提供做出正确决定所需的上下文信息,又不至于压垮他们或放权太过。
能够利用AI提高员工安全意识的工具才是最成功的好工具:通过上下文横幅、解释性摘要和定制操作来消除风险因素——纳入最终用户来加强防御。向员工提供信息,同时仍将关键决策留给安全团队,企业就可以进一步加强其安全态势,将安全团队从疲于奔命的四处扑救模式提升到更高层次的战略决策模式。
电子邮件安全新前沿以智能AI对抗网络犯罪,未能站上这波浪尖的企业最终可能会付出代价。对于CISO而言,问题不在于是否应该升级电子邮件保护,而在于何时升级:依靠老旧电子邮件安全的风险,他们还能冒多久?
