Электронная почта является источником жизненной силы большинства организаций, поэтому неудивительно, что атаки на электронную почту постоянно входят в число главных проблем, с которыми сталкиваются директора по информационной безопасности. До 94% фишинговых атак осуществляются по электронной почте, при этом злоумышленники по-прежнему отдают предпочтение этому важному бизнес-инструменту как предпочтительному способу получения доступа к сетям жертв. Согласно отчету ФБР об интернет-преступлениях за 2020 год , атаки на корпоративную электронную почту, которые включают как целевой фишинг, так и «вейлинг» (whaling), нанесли ущерб в размере 1,8 миллиарда долларов.
Взлом SolarWinds Orion , атака Kaseya и недавняя уязвимость Log4j подчеркивают разрушительные последствия успешных атак на цепочку поставок. Компрометация электронной почты поставщика, которая относится к захвату учетных записей сторон, которые регулярно общаются с организацией, является одной из самых серьезных угроз, связанных с электронной почтой, на сегодняшний день. Эти третьи стороны часто имеют более слабую защиту, чем предполагаемая жертва, и после взлома позволяют злоумышленникам использовать доверительные отношения для взлома целевой среды. Такие угрозы требуют передовых методов защиты, таких как искусственный интеллект (ИИ).
Традиционных средств защиты недостаточно
Электронная почта долгое время была привлекательной целью для злоумышленников; таким образом, большинство организаций имеют по крайней мере минимальный уровень защиты. Тем не менее, вредоносные электронные письма все еще преодолевают эту защиту и попадают в почтовые ящики пользователей. Оттуда они часто побуждают жертву открыть вложение или ссылку, запуская цепочку событий, которая в конечном итоге приводит к взлому устройства.
Устаревшие средства защиты электронной почты сосредоточены на обнаружении индикаторов, которые, как известно, являются вредоносными. Например, электронное письмо может быть отправлено с подозрительного домена, содержать ссылку на вредоносный веб-сайт или включать вложение с подписью, совпадающей с подписью известного вредоносного ПО. Эти методы не могут защитить от угроз с электронной почты, отправленных доверенными сторонами, или сообщений, содержащих ссылки или вложения, которые не были замечены ранее.
Представьте на минуту многонациональную организацию, имеющую не только тысячи пользователей электронной почты, но и немалое количество партнеров, с которыми они регулярно общаются. Такой сценарий предоставляет злоумышленникам несколько направлений атаки, поскольку потенциально любой из этих партнеров может быть использован в качестве точки входа в сеть желаемой жертвы.
Однако, если система ИИ сможет понять, что представляет собой ожидаемое поведение при общении по электронной почте, она сможет нейтрализовать любые отклонения, указывающие на угрозу. Предыдущая история переписки может быть использована для понимания того, связывался ли отправитель с организацией ранее, распознан ли домен и имеет ли организация действительные деловые отношения с этим доменом. ИИ может анализировать частоту сообщений и даже тип языка, используемого в электронных письмах, чтобы обнаружить подозрительную активность, указывающую на угрозу.
ИИ видит то, что упускают другие
Если учетная запись электронной почты партнера будет скомпрометирована, понимание системы ИИ определенной «нормы» сыграет ключевую роль в защите предприятия. ИИ будет оценивать любые ссылки, отправленные с этой учетной записи, и если эти ссылки указывают на домен, к которому ни один из внутренних хостов никогда не обращался, то это можно считать необычным. Еще одним признаком угрозы может быть то, что сама ссылка скрыта от пользователя в теле письма.
Из сотен точек данных современные системы искусственного интеллекта собирают воедино эти тонкие сигналы угрозы, чтобы определить наиболее подходящий ответ — наименее агрессивное действие, необходимое для сдерживания угрозы, без нарушения бизнес-операций и снижения производительности.
Злоумышленники часто пытаются обойти устаревшие инструменты безопасности, отправляя ссылки на авторитетные веб-сайты, которые не будут обнаружены с помощью одной проверки репутации. Описанный здесь подход с использованием ИИ не только правильно определяет, что такие ссылки являются аномальными, но и выполняет дальнейший анализ языка в электронном письме, чтобы подтвердить, что пользователя побуждают кликнуть. Вместо того, чтобы жестко блокировать все электронные письма от этого отправителя, система ИИ может пропускать легитимные электронные письма.
ИИ реагирует на развивающиеся угрозы
Злоумышленники знают и используют ограничения традиционных средств защиты. ИИ может точно определять отклонения от обычных моделей деятельности и реагировать на них, обеспечивая при этом бесперебойную работу обычных бизнес-операций. Такие инструменты могут сопоставлять естественный язык, используемый в электронных письмах, с другими индикаторами, чтобы определить, присутствует ли потенциально вредоносная активность. Это позволяет организации обнаруживать атаки, которые остались бы незамеченными, если бы она просто полагалась на репутацию домена или название файла.
Электронная почта остается излюбленным вектором атак киберпреступников, поскольку она продолжает приносить результаты. Существующие средства защиты можно обойти с относительной легкостью, и все большее число случаев приходится на скомпрометированные учетные записи доверенных третьих лиц в цепочке поставок организации. С помощью ИИ каждое электронное письмо будет отображаться в контексте установленных действий организации, поэтому все, что не имеет к этому отношения, негде спрятать.
Перевод статьи «Fighting Supply Chain Email Attacks With AI»