自 1970 年出现后,电子邮件几乎没多大变化。由于易用性,电子邮件成为全球最常用的商业交流方式,有 37 亿人使用。同时,它也成为网络犯罪分子最具针对性的入侵点,并带来严重后果。
最初发明时,电子邮件是用来建立连接。此时,网络通信刚刚起步,仅仅为邮箱创建一个数字化替代方案就已经堪称革命性,而且很困难。
电子邮件诈骗
然而,今天,电子邮件诈骗非常容易。2019 年,70% 的组织报告自己成为高级网络钓鱼攻击的受害者。每天有 5600 万封钓鱼电子邮件发送,“钓鱼组织”平均花费 82 秒就能”钓到“第一个受害者。
问题不在于缺乏安全意识,而是在于信息误导。
许多人建议使用:DMARC(电子邮件身份验证协议)作为防止身份欺诈的解决方案。但是,DMARC 只在通信双方强制执行它时才能生效,这让它只对组织内的通信有效。因此,名人或著名来源不能用它阻止黑客冒充并联系他们的客户。黑客早已深知 DMARC 的限制,虽然执法机构努力追赶,但黑客早已超越 SEG 和 DMARC,这些协议只能发挥虚假安全感的作用。
人工操作也不足。黑客用 Distributed Spam Distraction 和 polymorphic attacks 让运维人员精疲力尽,并掩盖他们的恶意行为。通过击败以规则为基础的电子邮件身份验证系统,代理不得不在每个电子邮件上花费大量时间。
最近流行一种称为 Visual Similarity attacks 的攻击让事情变得更糟。犯罪分子会伪造一个与合法网站相同的登录页面,例如一个 Gmail 的登录页面,然后误导受害者在上面输入账户密码等信息。这种攻击同时愚弄人工运维人员和电子邮件保护工具。
然而,人工智能技术却可以用来解决上述出现的问题。
AI 如何重写电子邮件保护规则?
网络钓鱼攻击和基于应用程序的 0-day 漏洞攻击很像。在基于应用程序的 0-day 攻击中,黑客发现并破解特定应用程序的某个未知弱点来渗透一个系统。
电子邮件被各种应用程序使用,但在这个例子中,目标有两类:
- 一是那些被操纵泄露密码的用户;
- 二是以未知方式下载恶意软件的用户。
由于电子邮件用户的网络安全知识程度不同,因此许多邮箱保护工具试图在一开始就阻止恶意电子邮件到达用户。
然而,黑客也很聪明,多达 25% 的钓鱼电子邮件绕过传统电子邮件安全网关。因此,我们需要一个在邮箱内部打击网络钓鱼的工具。
人工智能具有超越特征检测、动态自学邮箱和通信习惯的能力。所以,系统能基于邮件数据和元数据自动检测到任何异常,从而提升电子邮件通信的信任和身份验证。
任何可预测的事情都可以由人工智能自动化,而人类工作人员负责处理异常情况。
人工智能还可以检测 URL 黑名单。使用计算机视觉,系统可以实时扫描站链接,并检测视觉特征来决定一个登录页面是否是假冒的,自动屏蔽对已验证的恶意 URL 访问。
人工智能的另一个优势是它扫描完全不同的系统能力和检测模式。目前,像 SEG、垃圾电子邮件、反病毒软件和事件响应工具等网络安全工具是单独维护的,这给黑客创造了可以利用的漏洞。
需要强调的是,人工智能不应该被认为是一个“银弹”。单一技术无法阻止所有威胁,但可以减少“噪音”,从而让人类运维人员更快做出明智决策。一个系统只有在它高效地使人类参与到循环中才是完整的。这些运维人员通过检测边缘案例可以使系统更智能,人工智能能从中学习。同时,人工智能的学习能力将运维人员从重复处理相似事件中解放出来。
一个完善的人工智能防护系统还应使员工能轻松使用电子邮件防护工具,并使举报可疑案件更容易。一个公司的员工有时可能是它的最后一道防线,因为一个安全系统的强度取决于它最薄弱的环节。通过创建一个民主化的事件报告和处理系统,我们可以跨组织共享事件。人工智能可以针对这个众包的专业社区进行训练,使其在一个组织检测到攻击之后能预测和阻止所有组织中的事件。
这样的系统能大规模防护网络钓鱼攻击。许多黑客进行“spray and pray”攻击,向受害者群发邮件,希望有人落入陷阱。一个分布式的事件库可以从许多不同源头收集信息,使其他机构快速共享信息,从而在攻击首次被检测到之后,整个系统都对其免疫。而且当人工智能在同一个 repository 训练时,偏差和多态攻击可以被自动检测出来。当人工智能检测操作模式而不是硬连接的签名时,黑客就很难伪装他们的操作。
拯救私人邮件
我们平均每天发送 2690 亿条信息,而且这个时代的社交媒体和即时通信 App 还未取代电子邮箱。电子邮件的优势在于它的便捷性,以及连接陌生人的能力。但考虑网络安全时,这种能力也是电子邮件的最大弱点。
随着黑客升级他们的工具来谋划攻击,我们需要能保证电子邮件便捷性的同时,保护好具有很少安全训练的普通用户的系统。人工智能就是这种提供便捷性的同时,不断发展和适应新威胁和攻击的理想工具。