電子郵件不僅用于內(nèi)部交流，它還被用于市場營銷以及與投資者和商業(yè)伙伴往來的重要工具。作為交流的一種方式，它的熟悉性和多功能性無與倫比。在正式和非正式情況下均可使用，它可以包含冗長的文本內(nèi)容和相對較大的不同類型的文件附件。但是，正是這種受歡迎程度和靈活性，使電子郵件成為黑客攻擊的常見目標。通過電子郵件可以進行大量的網(wǎng)絡(luò)釣魚活動和惡意軟件分發(fā)。

企業(yè)意識到這一現(xiàn)實，因此他們強制實施安全措施。實際上，許多企業(yè)級云平臺會自動掃描電子郵件中的惡意軟件。但是，不幸的是，要檢測和防止威脅絕非易事，尤其是在安全系統(tǒng)首次遇到新威脅時。

　　初次相遇中的高失誤率

初次接觸使電子郵件安全工具的失誤率特別高。當前的領(lǐng)先安全工具通常是有效的，除非它們面對未知的攻擊或首次遇到的攻擊。這些都是我們可以從最新發(fā)布的有關(guān)電子郵件安全系統(tǒng)有效性的研究中得出的結(jié)論。

研究發(fā)現(xiàn)，電子郵件安全解決方案在首次遇到時無法正確識別或阻止威脅。

更糟糕的是，安全系統(tǒng)需要24到48小時才能充分了解未知威脅并有效地阻止它們。就網(wǎng)絡(luò)安全而言，這是一個非常長的時間，因為成功完成電子郵件攻擊只需幾秒鐘或幾分鐘。

想象一下，當威脅持續(xù)一天以上沒有受到威脅時，大量勒索軟件，間諜軟件，廣告軟件和欺騙性方案就會進入單個計算機或網(wǎng)絡(luò)。

處理未知威脅時的高檢測失敗率以及第一次遇到后的較長檢測時間使得必須重新考慮企業(yè)的電子郵件威脅檢測模型。鑒于越來越多的新的或未知的網(wǎng)絡(luò)威脅，安全公司需要改進用于保護電子郵件的策略。

　　電子郵件安全的主要模型

大多數(shù)安全系統(tǒng)都通過威脅簽名，沙箱和機器學(xué)習(xí)等技術(shù)來保護電子郵件。他們收集簽名或標識符，用于確定文件或活動是否有害或異常。

另一方面，安全工具利用沙箱將應(yīng)用程序與關(guān)鍵系統(tǒng)隔離。這樣可以防止惡意軟件在設(shè)法滲透時立即訪問系統(tǒng)資源。現(xiàn)代電子郵件安全系統(tǒng)還集成了機器學(xué)習(xí)功能，可以更有效地檢測和預(yù)防威脅。

他們可以根據(jù)自己匯編的歷史數(shù)據(jù)自動學(xué)習(xí)如何對某物是否構(gòu)成威脅做出有根據(jù)的猜測。

這些方法通常效果很好，但是測試表明它們存在致命缺陷：未知威脅。未知或身份不明的惡意軟件的興起使電子郵件安全性變得不那么可靠。甚至行業(yè)領(lǐng)先的電子郵件保護系統(tǒng)都具有這種致命弱點。

前面提到的研究證明了過濾威脅的有效性降低的現(xiàn)實。這項于2019年10月開始的實證研究測試了Microsoft的Office 365 ATP和瀏覽器的企業(yè)版。

　　有效性降低和研究

該研究要求不斷收集新的惡意文件，并對其進行修改以產(chǎn)生可作為新威脅的變體。然后，將新收集的惡意文件及其變體發(fā)送到受Office 365 ATP保護的電子郵件中。監(jiān)視電子郵件帳戶，并記錄和分析有關(guān)漏檢和TTD的信息。

發(fā)送到受保護電子郵件的所有惡意文件都經(jīng)過了驗證，以確保檢測失敗確實是失敗，而不僅僅是標識錯誤的情況。如果未檢測到有害文件，則將它們再次發(fā)送，直到將其檢測到并停止為止。

測試發(fā)現(xiàn)，Office365 ATP在七個星期內(nèi)的未命中率在15%到31%之間，平均未命中率是23%。G Suite的平均未命中率為35.5%，因此情況沒有任何好轉(zhuǎn)。表現(xiàn)最差的是第一周，錯過率為45%。

關(guān)于TTD，Office365平均需要48小時，而G Suite需要26.4小時。這意味著當重新發(fā)送這些未檢測到的惡意文件時，它們分別平均需要花費兩天和一天的時間才能正確檢測它們最初丟失的有害文件。

　　檢測中不可避免的差距

令人震驚的是，互聯(lián)網(wǎng)上最負盛名的名字未能檢測到多達45%的威脅，而且他們花了一天多的時間來重新訓(xùn)練其防御能力并成功攔截早先被錯誤分類為安全的威脅。當接受相同的測試時，不太受歡迎的安全解決方案的性能可能會大大降低。

當然，安全系統(tǒng)不應(yīng)期望在首次遇到時立即檢測到威脅。在正確發(fā)現(xiàn)并阻止威脅之前，最多可以有三個檢測間隙。

第一個是從第一次接觸到使用信譽服務(wù)將潛在威脅與簽名數(shù)據(jù)庫匹配的時間。這是威脅檢測的基本過程。根據(jù)從各種來源收集的數(shù)據(jù)來識別有害的附件。

第二個差距是從威脅搜尋階段無法正確識別惡意文件的時間到進行另一階段以限定潛在威脅的惡意程序的時間。例如，可能的異常附件可能被允許通過，因為它被認為僅僅是營銷活動。更深入的檢查可能會發(fā)現(xiàn)營銷方面掩蓋了嚴重的異常情況。

當在第二個間隙之后仍未檢測到威脅，直到添加了新的機制來檢測到威脅為止時，出現(xiàn)第三個間隙。所有這些差距代表了安全系統(tǒng)最薄弱的環(huán)節(jié)，因此容易受到攻擊。

　　對新模型的需求

難以檢測未知攻擊的主要原因是安全系統(tǒng)的數(shù)據(jù)驅(qū)動特性。它們中的大多數(shù)依賴于有關(guān)已知威脅的信息。他們必須等待威脅特征碼的更新，才能執(zhí)行正確的檢測。

這并不意味著數(shù)據(jù)驅(qū)動的檢測是錯誤的。關(guān)鍵是它需要與其他策略一起增強。隨著網(wǎng)絡(luò)犯罪分子利用人工智能和機器學(xué)習(xí)來自動化新惡意軟件和其他威脅的產(chǎn)生，在沒有范式轉(zhuǎn)變的情況下，未知攻擊的問題將變得更加嚴重。

攻擊者可能會制造出多種現(xiàn)有威脅的變種，大多數(shù)系統(tǒng)將其簡單地視為未知威脅。

安全策略不應(yīng)過于關(guān)注威脅數(shù)據(jù)庫。相反，最好合并一個與威脅無關(guān)的檢測引擎。不必完全依賴威脅簽名，而是可以為應(yīng)用程序建立呈現(xiàn)某些文件或鏈接的“干凈執(zhí)行流程”模型。

這些模型主要由列入白名單的CPU級別的代碼執(zhí)行流組成，這些流作為基準來確定文件的正常處理或良性處理。然后掃描文件并將其與干凈執(zhí)行流程的模型進行比較。如果它們的處理方式與現(xiàn)有的干凈執(zhí)行模型不一致，則將文件分類為威脅，從而將其阻止或隔離。

網(wǎng)絡(luò)罪犯毫不留情，會毫不猶豫地取得成功。他們知道如何使新技術(shù)發(fā)揮自己的優(yōu)勢，尤其是使用AI，以產(chǎn)生大量未知威脅的變體，這是電子郵件安全性的主要弱點。

要阻止它們，僅依靠依賴數(shù)據(jù)的系統(tǒng)是不夠的。企業(yè)可以從使用模型驅(qū)動的方法中受益匪淺。安全系統(tǒng)無需依賴威脅簽名更新，而可以檢查應(yīng)用程序在面對潛在的惡意文件時如何做出反應(yīng)/運行。只有那些與已建立的正常運行模型匹配的設(shè)備才被認為是安全的。想了解更多網(wǎng)絡(luò)安全的信息，請繼續(xù)關(guān)注中培偉業(yè)。