电子邮件不仅用于内部交流,它还被用于市场营销以及与投资者和商业伙伴往来的重要工具。作为交流的一种方式,它的熟悉性和多功能性无与伦比。在正式和非正式情况下均可使用,它可以包含冗长的文本内容和相对较大的不同类型的文件附件。但是,正是这种受欢迎程度和灵活性,使电子邮件成为黑客攻击的常见目标。通过电子邮件可以进行大量的网络钓鱼活动和恶意软件分发。
企业意识到这一现实,因此他们强制实施安全措施。实际上,许多企业级云平台会自动扫描电子邮件中的恶意软件。但是,不幸的是,要检测和防止威胁绝非易事,尤其是在安全系统首次遇到新威胁时。
初次相遇中的高失误率
初次接触使电子邮件安全工具的失误率特别高。当前的领先安全工具通常是有效的,除非它们面对未知的攻击或首次遇到的攻击。这些都是我们可以从最新发布的有关电子邮件安全系统有效性的研究中得出的结论。
研究发现,电子邮件安全解决方案在首次遇到时无法正确识别或阻止威胁。
更糟糕的是,安全系统需要24到48小时才能充分了解未知威胁并有效地阻止它们。就网络安全而言,这是一个非常长的时间,因为成功完成电子邮件攻击只需几秒钟或几分钟。
想象一下,当威胁持续一天以上没有受到威胁时,大量勒索软件,间谍软件,广告软件和欺骗性方案就会进入单个计算机或网络。
处理未知威胁时的高检测失败率以及第一次遇到后的较长检测时间使得必须重新考虑企业的电子邮件威胁检测模型。鉴于越来越多的新的或未知的网络威胁,安全公司需要改进用于保护电子邮件的策略。
电子邮件安全的主要模型
大多数安全系统都通过威胁签名,沙箱和机器学习等技术来保护电子邮件。他们收集签名或标识符,用于确定文件或活动是否有害或异常。
另一方面,安全工具利用沙箱将应用程序与关键系统隔离。这样可以防止恶意软件在设法渗透时立即访问系统资源。现代电子邮件安全系统还集成了机器学习功能,可以更有效地检测和预防威胁。
他们可以根据自己汇编的历史数据自动学习如何对某物是否构成威胁做出有根据的猜测。
这些方法通常效果很好,但是测试表明它们存在致命缺陷:未知威胁。未知或身份不明的恶意软件的兴起使电子邮件安全性变得不那么可靠。甚至行业领先的电子邮件保护系统都具有这种致命弱点。
前面提到的研究证明了过滤威胁的有效性降低的现实。这项于2019年10月开始的实证研究测试了Microsoft的Office 365 ATP和浏览器的企业版。
有效性降低和研究
该研究要求不断收集新的恶意文件,并对其进行修改以产生可作为新威胁的变体。然后,将新收集的恶意文件及其变体发送到受Office 365 ATP保护的电子邮件中。监视电子邮件帐户,并记录和分析有关漏检和TTD的信息。
发送到受保护电子邮件的所有恶意文件都经过了验证,以确保检测失败确实是失败,而不仅仅是标识错误的情况。如果未检测到有害文件,则将它们再次发送,直到将其检测到并停止为止。
测试发现,Office365 ATP在七个星期内的未命中率在15%到31%之间,平均未命中率是23%。G Suite的平均未命中率为35.5%,因此情况没有任何好转。表现最差的是第一周,错过率为45%。
关于TTD,Office365平均需要48小时,而G Suite需要26.4小时。这意味着当重新发送这些未检测到的恶意文件时,它们分别平均需要花费两天和一天的时间才能正确检测它们最初丢失的有害文件。
检测中不可避免的差距
令人震惊的是,互联网上最负盛名的名字未能检测到多达45%的威胁,而且他们花了一天多的时间来重新训练其防御能力并成功拦截早先被错误分类为安全的威胁。当接受相同的测试时,不太受欢迎的安全解决方案的性能可能会大大降低。
当然,安全系统不应期望在首次遇到时立即检测到威胁。在正确发现并阻止威胁之前,最多可以有三个检测间隙。
第一个是从第一次接触到使用信誉服务将潜在威胁与签名数据库匹配的时间。这是威胁检测的基本过程。根据从各种来源收集的数据来识别有害的附件。
第二个差距是从威胁搜寻阶段无法正确识别恶意文件的时间到进行另一阶段以限定潜在威胁的恶意程序的时间。例如,可能的异常附件可能被允许通过,因为它被认为仅仅是营销活动。更深入的检查可能会发现营销方面掩盖了严重的异常情况。
当在第二个间隙之后仍未检测到威胁,直到添加了新的机制来检测到威胁为止时,出现第三个间隙。所有这些差距代表了安全系统最薄弱的环节,因此容易受到攻击。
对新模型的需求
难以检测未知攻击的主要原因是安全系统的数据驱动特性。它们中的大多数依赖于有关已知威胁的信息。他们必须等待威胁特征码的更新,才能执行正确的检测。
这并不意味着数据驱动的检测是错误的。关键是它需要与其他策略一起增强。随着网络犯罪分子利用人工智能和机器学习来自动化新恶意软件和其他威胁的产生,在没有范式转变的情况下,未知攻击的问题将变得更加严重。
攻击者可能会制造出多种现有威胁的变种,大多数系统将其简单地视为未知威胁。
安全策略不应过于关注威胁数据库。相反,最好合并一个与威胁无关的检测引擎。不必完全依赖威胁签名,而是可以为应用程序建立呈现某些文件或链接的“干净执行流程”模型。
这些模型主要由列入白名单的CPU级别的代码执行流组成,这些流作为基准来确定文件的正常处理或良性处理。然后扫描文件并将其与干净执行流程的模型进行比较。如果它们的处理方式与现有的干净执行模型不一致,则将文件分类为威胁,从而将其阻止或隔离。
网络罪犯毫不留情,会毫不犹豫地取得成功。他们知道如何使新技术发挥自己的优势,尤其是使用AI,以产生大量未知威胁的变体,这是电子邮件安全性的主要弱点。
要阻止它们,仅依靠依赖数据的系统是不够的。企业可以从使用模型驱动的方法中受益匪浅。安全系统无需依赖威胁签名更新,而可以检查应用程序在面对潜在的恶意文件时如何做出反应/运行。只有那些与已建立的正常运行模型匹配的设备才被认为是安全的。想了解更多网络安全的信息,请继续关注中培教育。