Защита электронной почты с помощью систем безопасности на основе искусственного интеллекта
Электронная почта — это по-прежнему популярный и важный формат общения в сети, а также неотъемлемый способ ведения дел в современном мире. Вместе с тем, почта является удобной отправной точкой для доступа к другим учетным записям и устройствам пользователя для злоумышленников.
Содержание
В современном мире в условиях развития средств коммуникации, электронная почта продолжает оставаться основным способом обмена информацией в организациях как для передачи данных между сотрудниками, так и партнерам. Необходимо отметить, что количество целевых атак по электронной почте в последние годы удвоилось, что привело к коммерческим потерям в размере 1,2 миллиарда долларов.
Подробнее о том, как защитить аккаунты в социальных сетях в нашем Telegram канале. В сообществе представлены разные точки зрения, тематические переводы и актуальные новости — подписывайтесь.
Применяемые в настоящее время большинством организаций средства безопасности электронной почты не обеспечивают необходимый уровень защиты. В свою очередь, хакеры все чаще используют инструменты искусственного интеллекта (ИИ) для создания более совершенных фишинговых писем или мошенничества с компрометацией деловой электронной почты. По этой причине их очень трудно отличить от безопасных электронных писем. В следствие этого организации вынуждены переходить на применение инновационных архитектур систем информационной безопасности с элементами ИИ, предназначенных для автоматического проактивного выявления угроз на разных уровнях инфраструктуры, реагирования на них и противодействия сложным атакам.
Области применения ИИ для обеспечения безопасности
Использование технологий искусственного интеллекта, таких как машинное обучение (Machine Learning, ML), глубокое обучение (Deep Learning, DL), обработка естественного языка (Natural Language Processing, NLP) и компьютерное зрение повышает эффективность разрабатываемых на их основе средств защиты. Областями применения ИИ для обеспечения безопасности электронной почты являются:
– обнаружение аномалий и поведенческий анализ – на начальном этапе программные средства на основе машинного обучения применяются для изучения повседневного общения внутри организации и формирования базовых моделей поведения. Далее с целью выявления отклонений от базового уровня поведения, которые могут являться потенциальными угрозами, анализируются метаданные, содержимое электронной почты и поведение адресатов. Примером такого ПО служит платформа безопасности электронной почты Libraesva (Италия), использующая ИИ для изучения моделей коммуникационного поведения организаций и частных лиц. Libraesva ESG On-Premise Virtual Appliance – это полноценное интегрированное решение для обеспечения безопасности электронной почты, включающее в себя операционную систему, механизм многоуровневого анализа и полноценную среду администрирования. Защищает Microsoft 365, Google Workspace и другие облачные почтовые платформы с помощью нескольких уровней защиты, как на уровне шлюза, так и на уровне API. Libraesva ESG сканирует текстовые документы, PDF-файлы, URL-адреса, вложения, отзывает вредоносные электронные письма и отслеживает транзакции для улучшения обнаружения угроз. Фишинговые атаки, мошенничество с использованием электронной почты пресекаются до того, как они достигнут своей цели. Имеются версии мобильных приложений для устройств Android и iOS;
– анализ содержимого электронной почты – с помощью методов обработки естественного языка анализируется контекст полученных электронных писем. Делается вывод о содержании в сообщении вредоносного ПО или предпосылок для взлома. Одной из реализаций данной функции является средство защиты SlashNext (США), представляющее собой интегрированную облачную платформу безопасности с графом взаимосвязей, контекстуальным анализом, компьютерным зрением, обработкой естественного языка и генеративным искусственным интеллектом. Она осуществляет обнаружение и предотвращение кражи учетных данных, компрометацию деловой электронной почты, целевого фишинга, компрометации законных ссылок, мошенничества с помощью социальной инженерии, программ-вымогателей и вредоносных программ. Предлагаются версии мобильных приложений для устройств Android и iOS;
– фильтрация спама – применение анализа обширных наборов данных и настроений, а также методов обработки естественного языка снижают вероятность попадания спама в почтовый ящик, тем самым уменьшается вероятность атак с помощью фишинговых писем и других типов угроз. Примером такого ПО служит решение для борьбы со спамом Vade (Франция). Оно сочетает в себе искусственный интеллект с адаптивными алгоритмами, которые учитывают обратную связь с человеком в режиме реального времени, для улучшения своего механизма ИИ для адаптации к эксплойтам нулевого дня и возникающим угрозам кибербезопасности электронной почты организации. Система искусственного интеллекта, разработанная Vade, анализирует сообщения и веб-страницы для обнаружения фишинговых и вредоносных программ-вымогателей, а также блокирует массовые рассылки корреспонденции лицам, не выражавшим желания её получить;
– обнаружение вредоносных вложений и URL-адресов – с помощью ИИ в режиме реального времени сканируются и анализируются вложения и URL-адреса в электронных письмах, проверяются типы файлов и репутация вложений, а также ссылки с целью обнаружения вредоносного содержимого, которое может вести на опасные веб-ресурсы. Например, облачная система защиты электронной почты Trustifi Inbound Shield (США) проводя глубокий анализ ссылок, метаданных и репутации доменов и сканирования файлов и zip-архивов на наличие троянов, вирусов и вредоносных программ идентифицирует и блокирует подозрительные входящие электронные письма. В дополнение к сканированию и удалению вредоносного контента, Inbound Shield ищет аномалии, в том числе: неавторизованных авторов, отправляющих сообщения с фальсифицированных доменов; запросы на денежные переводы и конфиденциальную информацию; ссылки на олицетворяемые веб-сайты; вложения, содержащие фрагменты исполняемого кода, строки SQL-инъекций и тому подобное;
– анализ угроз – системами безопасности непрерывно отслеживается сетевой трафик, тенденции, закономерности и другие показатели компрометации, собирается информация об угрозах из различных источников и с помощью ИИ, используя его возможности по анализу больших объемов данных и способность к самообучению и адаптации (к новым угрозам и методам), эффективно выявляются возникающие угрозы. Примером такого ПО служит решение Darktrace (Великобритания), сочетающее в себе обнаружение угроз в режиме реального времени, цифровую визуализацию и расширенные возможности расследования в единой унифицированной системе. Оно разработано с открытой и расширяемой архитектурой, которая легко интегрируется с облачными сервисами и средами с нулевым доверием. Darktrace допускает возможность 100% облачного или гибридного развертывания. Программное обеспечение за счет улучшенного анализа исторических данных помогает организациям защитить себя от кибератак;
– реагирование на инциденты и карантинные процедуры – с помощью автоматизации реагирования на инциденты и процедур помещения в карантин при выявлении в режиме реального времени потенциальной угрозы за счет применения систем безопасности на основе ИИ эффективно снижаются риски. Например, интегрированная облачная платформа безопасности электронной почты Ironscales (Израиль) на базе искусственного интеллекта предоставляет возможность выявления и предотвращения киберугроз, таких как компрометация корпоративной электронной почты, захват учетных записей, фишинг, программы-вымогатели и атаки вредоносных программ, прошедших через защищенные почтовые шлюзы. Продукт Ironscales Review предоставляет возможность формирования отчетности об инцидентах, которые помогают организациям быстро реагировать на угрозы безопасности и защищать свои данные;
– обмен информацией об угрозах – сотрудничество и обмен информацией между различными организациями являются одним из важных элементов в обеспечении безопасности электронной почты. Для этого программные средства защиты используют с целью сбора и анализа информации об онлайн-угрозах из разных источников, таких как веб-страницы отраслевых органов, разработчиков средств безопасности и др. Компания Miemcast (США), специализирующаяся на облачном управлении электронной почтой для Microsoft Exchange и Microsoft Office 365, включая службы безопасности, архивирования и непрерывности работы для защиты деловой почты, применяет данный подход в своих решениях, что позволяет клиентам подготовиться к атакам еще до их начала. Платформа использует массово-параллельную грид-инфраструктуру для хранения и обработки электронной почты через географически распределенные центры обработки данных. Она обеспечивает интеллектуальную маршрутизацию электронной почты в зависимости от местоположения почтового ящика сервера или пользователя;
– использование технологии обмана и интеллектуальных ловушек – системы безопасности электронной почты по мере развития будут включать технологии обмана и интеллектуальные ловушки, представляющие собой виртуальные приманки, что позволит изучать и понимать тактику и методы хакеров. Например, компанией Cynet (Израиль) в своих решениях по обеспечению безопасности электронной почты, кроме обычного набора функций защиты применяются, т.н. обманные технологии. В них для обнаружения программ-вымогателей предусматривается размещение файлов-приманок и хостов в местах, к которым обычно пытаются получить доступ злоумышленники. Обращение к ним сигнализирует о возможной атаке на информационные ресурсы организации.
Опыт использования систем защиты электронной почты выявил необходимость их интеграции в облачные платформы с целью блокирования вредоносных электронных писем, прошедших через встроенные в платформы элементы управления безопасностью.
Анализ применения ПО с ИИ, в реальных условиях показывает его эффективность 99,9% против всех фишинговых атак и компрометации деловой электронной почты, в том числе запущенных со взломанных учетных записей электронной почты сотрудников организации.
Достижение эффективности
Способами достижения такого уровня эффективности являются:
1. Применение подхода, заключающегося в моделировании законного («хорошего») почтового трафика. Поведение легальных пользователей является вполне предсказуемым – оно отклоняется от нормативных паттернов только тогда, когда учетная запись взломана или используется другим лицом.
Суть подхода – обучение систем осуществляется на наборах данных составленных из массива электронных писем с «хорошими» атрибутами. За эталон принимаются «повседневные» параметры как поведенческих характеристик персонала (моделей), так и инфраструктурных компонентов. Любое отклонение от нормы интерпретируется как подозрительное, что позволяет значительно сократить объем анализируемых в последующем данных на предмет содержания в них вредоносных вложений.
2. Глобально масштабируемые динамические наборы данных – ведущие разработчики программного обеспечения защиты электронной почты, собирая информацию от своих клиентов, ежегодно анализируют триллионы электронных сообщений. Целью данной работы является уточнение поведенческих моделей между отдельными лицами, организациями, доменами и инфраструктурами на основе обработки сотни значений характеристик и определение надежных и представляющих угрозу связей по электронной почте в глобальном масштабе. На основе этого осуществляется динамическая оценка каждого нового сообщения по разным наборам поведенческих моделей, применяются политики безопасности в соответствии с потребностями конкретной организации.
Кроме того, данный подход позволяет моделям машинного обучения непрерывно самообучаться. Благодаря потоковой передаче данных в режиме реального времени ИИ-системы, требующие внесения изменений в первоначальную модель, совершенствуются практически мгновенно после обнаружения новых угроз. Каждый новый клиент добавляет актуальную информацию в динамический глобальный набор данных, создавая мультипликативный эффект, делающий системы защиты умнее и эффективнее с каждым новым электронным письмом.
3. В случаях, когда недостаточно существующих наборов данных для борьбы с вновь выявленными угрозами и специалисты не могут определить основные механизмы, лежащие в основе атак, необходимо применять эвристические методы и правила, способные на базе реальных данных генерировать и обобщать новые экспертные классификации для алгоритмов машинного обучения. В дальнейшем системы безопасности с их использованием смогут распознавать закономерности появления новых вариантов атак, прежде чем будут сформулированы правила для первоначального обучения.
4. По мере того как все больше организаций переходит на облачные платформы, они сталкиваются с растущими рисками, связанными с продвинутыми угрозами электронной почты. Например, на разработанный компанией Microsoft (США) программный продукт Office 365 приходится 36% всех фишинговых атак. По данным издания Forbes (США), 29% организаций сообщают о компрометации их учетных записей электронной почты данного сервиса, что усилило уязвимость к фишингу и атакам по компрометации деловой электронной почты, запущенным с доверенных внутренних учетных записей.
Преимущества и недостатки
Таким образом, использование искусственного интеллекта для защиты электронной почты имеет следующие преимущества по сравнению с традиционными методами:
- Быстрота и точность – системы безопасности на основе ИИ могут обрабатывать большие объемы данных в режиме реального времени и выявлять даже самые сложные и изощренные атаки.
- Адаптивность и обучаемость – ИИ-системы могут постоянно самообучаться на основе новых данных и обратной связи от пользователей и администраторов, а также адаптироваться к изменяющимся стратегиям и тактикам злоумышленников.
- Масштабируемость и универсальность – технологии ИИ могут применяться к любому типу почтового сервиса или клиента, а также к любому языку или региону, без необходимости создания специализированных правил или моделей для каждого случая.
Следует отметить, что, несмотря на все преимущества, использование ИИ для защиты электронной почты также имеет некоторые недостатки или ограничения:
- Зависимость от данных и алгоритмов – ИИ-системы могут давать неверные или смещенные результаты, если они обучались на некачественных, неполных или нерепрезентативных наборах данных, или если в них заложены неоптимальные или устаревшие алгоритмы.
- Непрозрачность и сложность – зачастую трудно понять или объяснить, как принимаются решения или делаются предсказания ИИ-системами, особенно в случае глубокого обучения, которое может создавать сложные и неинтерпретируемые нейронные сети.
- Этические и юридические вопросы, связанные с ответственностью, конфиденциальностью, безопасностью и правами человека, особенно в случае злоупотребления или злонамеренного проектирования ИИ-систем или их использования.
Возможности, предоставляемые системами искусственного интеллекта, позволяют реализовать проактивный метод защиты, который, в отличие от преобладающей до настоящего времени консервативной парадигмы, предусматривающей предотвращение только известных угроз, предполагает распознавание и даже предвидение новых способов атаки. Однако следует отметить, что ИИ-системы не могут исключить человеческий фактор и заменить здравый смысл, которые всегда должны быть на первом месте при пользовании электронной почтой.