電子郵件不僅用于內(nèi)部交流，它還被用于市場營銷以及與投資者和商業(yè)伙伴往來的重要工具。作為交流的一種方式，它的熟悉性和多功能性無與倫比。在正式和非正式情況下均可使用，它可以包含冗長的文本內(nèi)容和相對(duì)較大的不同類型的文件附件。但是，正是這種受歡迎程度和靈活性，使電子郵件成為黑客攻擊的常見目標(biāo)。通過電子郵件可以進(jìn)行大量的網(wǎng)絡(luò)釣魚活動(dòng)和惡意軟件分發(fā)。

企業(yè)意識(shí)到這一現(xiàn)實(shí)，因此他們強(qiáng)制實(shí)施安全措施。實(shí)際上，許多企業(yè)級(jí)云平臺(tái)會(huì)自動(dòng)掃描電子郵件中的惡意軟件。但是，不幸的是，要檢測和防止威脅絕非易事，尤其是在安全系統(tǒng)首次遇到新威脅時(shí)。

　　初次相遇中的高失誤率

初次接觸使電子郵件安全工具的失誤率特別高。當(dāng)前的領(lǐng)先安全工具通常是有效的，除非它們面對(duì)未知的攻擊或首次遇到的攻擊。這些都是我們可以從最新發(fā)布的有關(guān)電子郵件安全系統(tǒng)有效性的研究中得出的結(jié)論。

研究發(fā)現(xiàn)，電子郵件安全解決方案在首次遇到時(shí)無法正確識(shí)別或阻止威脅。

更糟糕的是，安全系統(tǒng)需要24到48小時(shí)才能充分了解未知威脅并有效地阻止它們。就網(wǎng)絡(luò)安全而言，這是一個(gè)非常長的時(shí)間，因?yàn)槌晒ν瓿呻娮余]件攻擊只需幾秒鐘或幾分鐘。

想象一下，當(dāng)威脅持續(xù)一天以上沒有受到威脅時(shí)，大量勒索軟件，間諜軟件，廣告軟件和欺騙性方案就會(huì)進(jìn)入單個(gè)計(jì)算機(jī)或網(wǎng)絡(luò)。

處理未知威脅時(shí)的高檢測失敗率以及第一次遇到后的較長檢測時(shí)間使得必須重新考慮企業(yè)的電子郵件威脅檢測模型。鑒于越來越多的新的或未知的網(wǎng)絡(luò)威脅，安全公司需要改進(jìn)用于保護(hù)電子郵件的策略。

　　電子郵件安全的主要模型

大多數(shù)安全系統(tǒng)都通過威脅簽名，沙箱和機(jī)器學(xué)習(xí)等技術(shù)來保護(hù)電子郵件。他們收集簽名或標(biāo)識(shí)符，用于確定文件或活動(dòng)是否有害或異常。

另一方面，安全工具利用沙箱將應(yīng)用程序與關(guān)鍵系統(tǒng)隔離。這樣可以防止惡意軟件在設(shè)法滲透時(shí)立即訪問系統(tǒng)資源。現(xiàn)代電子郵件安全系統(tǒng)還集成了機(jī)器學(xué)習(xí)功能，可以更有效地檢測和預(yù)防威脅。

他們可以根據(jù)自己匯編的歷史數(shù)據(jù)自動(dòng)學(xué)習(xí)如何對(duì)某物是否構(gòu)成威脅做出有根據(jù)的猜測。

這些方法通常效果很好，但是測試表明它們存在致命缺陷：未知威脅。未知或身份不明的惡意軟件的興起使電子郵件安全性變得不那么可靠。甚至行業(yè)領(lǐng)先的電子郵件保護(hù)系統(tǒng)都具有這種致命弱點(diǎn)。

前面提到的研究證明了過濾威脅的有效性降低的現(xiàn)實(shí)。這項(xiàng)于2019年10月開始的實(shí)證研究測試了Microsoft的Office 365 ATP和瀏覽器的企業(yè)版。

　　有效性降低和研究

該研究要求不斷收集新的惡意文件，并對(duì)其進(jìn)行修改以產(chǎn)生可作為新威脅的變體。然后，將新收集的惡意文件及其變體發(fā)送到受Office 365 ATP保護(hù)的電子郵件中。監(jiān)視電子郵件帳戶，并記錄和分析有關(guān)漏檢和TTD的信息。

發(fā)送到受保護(hù)電子郵件的所有惡意文件都經(jīng)過了驗(yàn)證，以確保檢測失敗確實(shí)是失敗，而不僅僅是標(biāo)識(shí)錯(cuò)誤的情況。如果未檢測到有害文件，則將它們?cè)俅伟l(fā)送，直到將其檢測到并停止為止。

測試發(fā)現(xiàn)，Office365 ATP在七個(gè)星期內(nèi)的未命中率在15%到31%之間，平均未命中率是23%。G Suite的平均未命中率為35.5%，因此情況沒有任何好轉(zhuǎn)。表現(xiàn)最差的是第一周，錯(cuò)過率為45%。

關(guān)于TTD，Office365平均需要48小時(shí)，而G Suite需要26.4小時(shí)。這意味著當(dāng)重新發(fā)送這些未檢測到的惡意文件時(shí)，它們分別平均需要花費(fèi)兩天和一天的時(shí)間才能正確檢測它們最初丟失的有害文件。

　　檢測中不可避免的差距

令人震驚的是，互聯(lián)網(wǎng)上最負(fù)盛名的名字未能檢測到多達(dá)45%的威脅，而且他們花了一天多的時(shí)間來重新訓(xùn)練其防御能力并成功攔截早先被錯(cuò)誤分類為安全的威脅。當(dāng)接受相同的測試時(shí)，不太受歡迎的安全解決方案的性能可能會(huì)大大降低。

當(dāng)然，安全系統(tǒng)不應(yīng)期望在首次遇到時(shí)立即檢測到威脅。在正確發(fā)現(xiàn)并阻止威脅之前，最多可以有三個(gè)檢測間隙。

第一個(gè)是從第一次接觸到使用信譽(yù)服務(wù)將潛在威脅與簽名數(shù)據(jù)庫匹配的時(shí)間。這是威脅檢測的基本過程。根據(jù)從各種來源收集的數(shù)據(jù)來識(shí)別有害的附件。

第二個(gè)差距是從威脅搜尋階段無法正確識(shí)別惡意文件的時(shí)間到進(jìn)行另一階段以限定潛在威脅的惡意程序的時(shí)間。例如，可能的異常附件可能被允許通過，因?yàn)樗徽J(rèn)為僅僅是營銷活動(dòng)。更深入的檢查可能會(huì)發(fā)現(xiàn)營銷方面掩蓋了嚴(yán)重的異常情況。

當(dāng)在第二個(gè)間隙之后仍未檢測到威脅，直到添加了新的機(jī)制來檢測到威脅為止時(shí)，出現(xiàn)第三個(gè)間隙。所有這些差距代表了安全系統(tǒng)最薄弱的環(huán)節(jié)，因此容易受到攻擊。

　　對(duì)新模型的需求

難以檢測未知攻擊的主要原因是安全系統(tǒng)的數(shù)據(jù)驅(qū)動(dòng)特性。它們中的大多數(shù)依賴于有關(guān)已知威脅的信息。他們必須等待威脅特征碼的更新，才能執(zhí)行正確的檢測。

這并不意味著數(shù)據(jù)驅(qū)動(dòng)的檢測是錯(cuò)誤的。關(guān)鍵是它需要與其他策略一起增強(qiáng)。隨著網(wǎng)絡(luò)犯罪分子利用人工智能和機(jī)器學(xué)習(xí)來自動(dòng)化新惡意軟件和其他威脅的產(chǎn)生，在沒有范式轉(zhuǎn)變的情況下，未知攻擊的問題將變得更加嚴(yán)重。

攻擊者可能會(huì)制造出多種現(xiàn)有威脅的變種，大多數(shù)系統(tǒng)將其簡單地視為未知威脅。

安全策略不應(yīng)過于關(guān)注威脅數(shù)據(jù)庫。相反，最好合并一個(gè)與威脅無關(guān)的檢測引擎。不必完全依賴威脅簽名，而是可以為應(yīng)用程序建立呈現(xiàn)某些文件或鏈接的“干凈執(zhí)行流程”模型。

這些模型主要由列入白名單的CPU級(jí)別的代碼執(zhí)行流組成，這些流作為基準(zhǔn)來確定文件的正常處理或良性處理。然后掃描文件并將其與干凈執(zhí)行流程的模型進(jìn)行比較。如果它們的處理方式與現(xiàn)有的干凈執(zhí)行模型不一致，則將文件分類為威脅，從而將其阻止或隔離。

網(wǎng)絡(luò)罪犯毫不留情，會(huì)毫不猶豫地取得成功。他們知道如何使新技術(shù)發(fā)揮自己的優(yōu)勢，尤其是使用AI，以產(chǎn)生大量未知威脅的變體，這是電子郵件安全性的主要弱點(diǎn)。

要阻止它們，僅依靠依賴數(shù)據(jù)的系統(tǒng)是不夠的。企業(yè)可以從使用模型驅(qū)動(dòng)的方法中受益匪淺。安全系統(tǒng)無需依賴威脅簽名更新，而可以檢查應(yīng)用程序在面對(duì)潛在的惡意文件時(shí)如何做出反應(yīng)/運(yùn)行。只有那些與已建立的正常運(yùn)行模型匹配的設(shè)備才被認(rèn)為是安全的。想了解更多網(wǎng)絡(luò)安全的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。