2020年2月24日-28日,網(wǎng)絡(luò)安全行業(yè)盛會(huì)RSA Conference將在舊金山拉開帷幕��。綠盟君已經(jīng)為大家介紹過入選今年創(chuàng)新沙盒的十強(qiáng)初創(chuàng)公司:Elevate Security �、Sqreen���、Tala Security和AppOmni四家廠商了,今天將為大家介紹的是:INKY�。
一�����、公司介紹
INKY公司的總部位于馬里蘭大學(xué)公園,憑借獨(dú)特的計(jì)算機(jī)視覺����、人工智能和機(jī)器學(xué)習(xí)技術(shù),INKY在電子郵件防護(hù)領(lǐng)域處于行業(yè)領(lǐng)先的地位�。目前,該公司已經(jīng)完成了三輪融資���,共籌集了1183.5萬美元�。其最近的一次A輪融資在2019年11月���,融資金額為600萬美元��。公司創(chuàng)始人Dave Baggett還與他人共同創(chuàng)立了ITA Software公司(ITA Software公司是業(yè)內(nèi)領(lǐng)先的機(jī)票搜索公司�����,于2011年被谷歌以7.3億美元收購����,目前為谷歌Flights?提供支撐)���。
INKY Phish Fence是該公司的旗艦產(chǎn)品�,該產(chǎn)品是一個(gè)基于云計(jì)算的電子郵件安全平臺(tái)。該平臺(tái)能夠像人一樣理解電子郵件����,分析其中的欺詐、釣魚等惡意行為�����,以防止企業(yè)被惡意郵件攻擊��。
二����、背景介紹
釣魚郵件是最常見的網(wǎng)絡(luò)威脅之一。大部分網(wǎng)絡(luò)攻擊都是以釣魚郵件為切入點(diǎn)���。Gartner的數(shù)據(jù)顯示78%的網(wǎng)絡(luò)安全事件中涉及到釣魚郵件��。傳統(tǒng)釣魚郵件的原理如圖所示��。
攻擊者首先偽裝成一個(gè)可信的實(shí)體給受害者發(fā)送郵件�����,并欺騙受害者點(diǎn)擊電子郵件中的惡意鏈接或者下載惡意附件�����,從而導(dǎo)致受害者的主機(jī)被安裝惡意軟件���,進(jìn)而導(dǎo)致受害主機(jī)被勒索軟件攻擊或者數(shù)據(jù)泄露。
然而�,當(dāng)今網(wǎng)絡(luò)釣魚郵件正變得越來越具有迷惑性,所以即使經(jīng)驗(yàn)豐富的安全人員也無法有效的對(duì)其進(jìn)行分辨����。其中,商業(yè)郵件失陷(Business Email Compromise �����,BEC)每年造成12億美金的損失�����。BEC攻擊通常通過正常的商務(wù)流程�����,但會(huì)偽裝成企業(yè)的員工、商業(yè)伙伴或供應(yīng)商��,通過社工手段竊取企業(yè)的資金或敏感數(shù)據(jù)�����。與傳統(tǒng)的釣魚郵件包含惡意鏈接或附件不同�,BEC攻擊者的郵件內(nèi)容等是正常的,所以網(wǎng)絡(luò)安全層面的檢查無效���。因?yàn)猷]件安全引起的業(yè)務(wù)損失較高����,應(yīng)對(duì)BEC相關(guān)的安全產(chǎn)品成為Gartner 2019年十大項(xiàng)目之一�。在相關(guān)的產(chǎn)品中,機(jī)器學(xué)習(xí)技術(shù)越來越多的被用來識(shí)別惡意郵件�����,并取得了較好的效果���。
三���、產(chǎn)品介紹
INKY Phish Fence是該公司的主打產(chǎn)品��。該產(chǎn)品是基于云的電子郵件防護(hù)軟件�?����;谔囟I(lǐng)域的機(jī)器學(xué)習(xí)和計(jì)算機(jī)視覺技術(shù)����,該產(chǎn)品可以識(shí)別并阻止多種惡意郵件��,包括釣魚郵件����,詐騙郵件等。同時(shí)���,該產(chǎn)品可以和多種電子郵件服務(wù)組件相結(jié)合����,包括Exchange�����、Office 365、G Suite���,為其提供全方位的防護(hù)�����。
- Exchange:Exchange 是微軟公司的電子郵件服務(wù)組件��。INKY可以與Exchange無縫集成��。INKY通過自動(dòng)掃描所有內(nèi)部和外部的電子郵件�����,尋找其中的釣魚郵件����、惡意郵件�、垃圾郵件等。惡意電子郵件會(huì)被隔離���。
- Office 365:Office 365 是一種訂閱式的跨平臺(tái)辦公軟件�����,基于云平臺(tái)提供多種服務(wù)����。Office 365是很多釣魚郵件攻擊的主要目標(biāo)。由于釣魚手段的巧妙和狡猾��,Office 365本身和傳統(tǒng)的第三方安全系統(tǒng)并不能有效的檢測(cè)到����。INKY可以與Office 365無縫集成�,具有針對(duì)Office 365平臺(tái)的自定義實(shí)現(xiàn)。它集成起來又快又容易�。INKY還可以分階段部署,易于實(shí)施�。
- G Suite:G Suite是Google 在訂閱基礎(chǔ)上提供的一套協(xié)作軟件工具。INKY可以與G Suite無縫集成�����,實(shí)現(xiàn)對(duì)惡意郵件����,釣魚郵件的準(zhǔn)確檢測(cè)。
INKY Phish Fence過濾每一封電子郵件。在最終呈現(xiàn)給用戶的郵件中�����,該系統(tǒng)會(huì)在每一封郵件的頂部加上一個(gè)橫幅(banner)�,來對(duì)郵件的安全性進(jìn)行說明。
橫幅是INKY Phish Fence的一大特色���,如圖所示�。
不同風(fēng)險(xiǎn)程度的郵件用不同的顏色標(biāo)識(shí)�。其中,灰色橫幅用于標(biāo)識(shí)安全的郵件����,黃色橫幅用于標(biāo)識(shí)謹(jǐn)慎打開的郵件,紅色橫幅用于標(biāo)識(shí)危險(xiǎn)郵件���。在黃色和紅色標(biāo)識(shí)中點(diǎn)擊“Details”鏈接可以進(jìn)一步查看對(duì)郵件的描述���。這些信息可以讓用戶了解他們的收件箱中存在的威脅。另外�����,這些信息可以讓用戶學(xué)習(xí)到更多的釣魚郵件相關(guān)的知識(shí),這往往比釣魚郵件模擬測(cè)試更加有效���。橫幅中的“Report This Email”鏈接允許終端用戶報(bào)告來自任何終端設(shè)備的有問題的電子郵件����,而不需要特殊的客戶端軟件�。INKY甚至整合了自然語言處理(NLP)算法來識(shí)別敏感內(nèi)容,如電匯或發(fā)票付款請(qǐng)求���、密碼相關(guān)的電子郵件等��,并在橫幅中標(biāo)注客戶可配置的策略來對(duì)用戶進(jìn)行指導(dǎo)����。
四����、核心技術(shù)
傳統(tǒng)的電子郵件安全解決方案通常只依賴于已知的攻擊者數(shù)據(jù)庫�。INKY除了使用最新的數(shù)據(jù)庫外,還使用機(jī)器學(xué)習(xí)和計(jì)算機(jī)視覺技術(shù)來檢測(cè)釣魚郵件��,甚至捕捉零日的BEC釣魚詐騙�。超過24個(gè)計(jì)算機(jī)視覺和文本分析模型能夠像人一樣“看到”郵件信息,并捕捉人類可能會(huì)忽略的文本、類型和圖像的異常�。通過智能分析,可以檢測(cè)出有問題的電子郵件�。
- 釣魚郵件檢測(cè):釣魚郵件中往往包含有惡意鏈接。INKY對(duì)收到的電子郵件中包含的每個(gè)鏈接進(jìn)行模擬點(diǎn)擊��,并檢查相關(guān)的網(wǎng)頁是否有釣魚或其他惡意內(nèi)容的特征���。含有惡意網(wǎng)站鏈接的電子郵件會(huì)被標(biāo)記告警或隔離�。
- 惡意代碼檢測(cè):HTML為電子郵件提供了更高級(jí)別的可配置性�����,但也使得在電子郵件中嵌入惡意可執(zhí)行代碼成為可能�。默認(rèn)情況下,INKY能夠標(biāo)識(shí)并阻止執(zhí)行跨站點(diǎn)腳本攻擊(XSS)�����、JavaScript和CSS攻擊的代碼����。
- 可疑發(fā)件人檢測(cè):INKY的機(jī)器學(xué)習(xí)引擎可以通過行為特征和社交網(wǎng)絡(luò)圖譜來識(shí)別可疑的行為或身份。通過觀察郵件在組織中的流動(dòng)情況���,INKY可以為所有的人創(chuàng)建行為檔案�����。當(dāng)INKY看到一封電子郵件的發(fā)件人的特征與學(xué)習(xí)到的特征不匹配時(shí)�,它會(huì)發(fā)出告警,如圖所示���。
- 結(jié)果上報(bào):INKY產(chǎn)品的一個(gè)獨(dú)特的功能是可以在每封電子郵件中點(diǎn)擊“Report this Email”鏈接�����。這意味著用戶可以在不需要安裝特定軟件的情況下報(bào)告來自任何設(shè)備(web�����、手機(jī)�、任何電子郵件客戶端)的有問題的郵件��。而大多數(shù)電子郵件保護(hù)軟件只能在已安裝特定軟件的系統(tǒng)上工作���。這樣,INKY可以隨時(shí)收到用戶對(duì)檢測(cè)結(jié)果的反饋�����,進(jìn)一步完善其檢測(cè)模型。
四�、總結(jié)
隨著釣魚郵件越來越具有迷惑性,傳統(tǒng)的基于規(guī)則的檢測(cè)方法已經(jīng)無法有效的進(jìn)行檢測(cè)�����。INKY公司的產(chǎn)品INKY Phish Fence采用機(jī)器學(xué)習(xí)技術(shù)對(duì)郵件進(jìn)行智能分析���,可以更加有效地識(shí)別釣魚郵件�����。而部署在云端的檢測(cè)系統(tǒng)使得企業(yè)部署更加靈活����。同時(shí)�,該產(chǎn)品可以與Exchange,Office 365和G Suite等辦公軟件無縫集成���,能夠?yàn)槠髽I(yè)提供更加全面的防護(hù)�����。
· 參考鏈接 ·
- Gartner 2019十大安全項(xiàng)目:https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2019/
- https://www.crunchbase.com/search/funding_rounds/field/organizations/num_funding_rounds/arcode
- https://www.inky.com/
- Gartner Security & Risk Management Summit 2019
當(dāng)前文章:RSA2020創(chuàng)新沙盒盤點(diǎn)|INKY——基于機(jī)器學(xué)習(xí)的惡意郵件識(shí)別系統(tǒng)
文章位置:
http://uogjgqi.cn/article/coidjss.html
