Hvordan takle phishing med maskinlæring

Hvor sofistikert phishing gir angripere total kontroll over datamaskinen din. Phishing handler om den dårlige fyren og lure offeret, sier Kevin Mitnick, grunnlegger av Mitnick Security Consulting. Mitnick vet om skurkene - han pleide å være en.

Maskinlæring innebærer automatisering av operasjoner via intelligente mekanismer, som kan justere og tilpasse seg etter behov. Dette reduserer behovet for menneskelig intervensjon - forutsatt at den riktige serien med kontroller er på plass.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Det finnes en rekke bruksområder og applikasjoner for maskinlæring i flere bransjer som industri, helsevesen, sikkerhet og mer. I de fleste tilfeller analyserer maskinlæring prosesser og bestemmer hvilke data eller handlinger som er verdifulle eller viktige, og hvilke som ikke er det.

Anti-phishing løsning

Jeg snakket med e-postsikkerhetsorganisasjonen Edgewaves president Steve Kelley om maskinlæring da det gjelder spørsmålet om phishing fra e-post, som representerer en konstant trussel for organisasjoner og brukere.

I følge Kelley konstruerte EdgeWave en sikkerhetsplattform på flere lag med e-post som gir sikkerhet før og etter levering og respons på hendelser. Kjernen i plattformen er en automatisert, anti-phishing-løsning, som bruker både maskinlæring og menneskelig gjennomgang for raskt å analysere og løse all mistenkelig e-post. Denne tilnærmingen reduserer avanserte, målrettede angrep dramatisk, samtidig som den reduserer tiden og pengene brukt av IT betydelig.

Nedenfor er utdrag fra samtalen vår.

Scott Matteson: Hvordan brukes maskinlæring for å sikre e-postbokser?

Steve Kelley: Maskinlæring utnyttes kontinuerlig av vårt EdgeWave Threat Detection Center. EdgeWave opprettholder en trusseldatabase som inneholder data om alle elementene som inneholder en e-post. Denne databasen blir kontinuerlig oppdatert og brukt til å gjennomgå hvert element for hver e-post. Kombinasjonen av mistanke om individuelt e-postelement, forsterket med vår menneskelige analytikerintelligens, driver maskinlæringen i EdgeWave Threat Detection Center.

En del av maskinlæringen vår er også intelligensen som er oppnådd fra en menneskelig gjennomgang. Vi vet at maskinlæring bare kan gå så langt før, i noen tilfeller, må et menneske utføre en grundigere analyse og gjennomgang. Men intelligensen som læres fra menneskelig gjennomgang, blir absolutt rullet tilbake til maskinens læringsprosess i en uendelig syklus.

Scott Matteson: Hvilke tegn ser den etter, og hvordan reagerer den deretter?

Steve Kelley: Ettersom de forskjellige elementene i en e-post er veldig tydelig definert (returbane, innholdstype osv.), Evaluerer EdgeWave hver av disse for hver e-post mot vår trusseldatabase. I mange tilfeller ser vi hvor enkeltelementer kan være mistenkelige, men når de kombineres sammen lager de en ondsinnet e-post.

Scott Matteson: Hva er et eksempel på en betydelig utfordring i å motvirke phishing-angrep via e-post?

Steve Kelley: Utfordringen for e-post er at det har en tendens til å være utgangspunktet for nettangrep snarere enn den eneste gjerningsmannen. Tenk for eksempel på situasjoner der JavaScript er innebygd i et PDF-vedlegg, som åpnes. JavaScript starter bare utnyttelsesprosessen. Å avgjøre om JavaScript er skadelig er utfordrende uten å kjøre skriptet direkte og evaluere de påfølgende handlingene (sandboxing). Utfallet av JavaScript-handlingene kan evalueres opp mot vår trusseldatabase for å bestemme et nivå av mistanke.

EdgeWave har en taksonomi på over 40 000 regler basert på informasjonen og prosessene beskrevet ovenfor. Mange av disse er resultatet av maskinlæring (A + B + C = dårlig) pluss detaljert analyse av våre trusselregistreringsanalytikere. Denne logikken legges deretter tilbake i trusseldatabasen vår, slik at læringene våre utvikler seg med hver analyse.

Scott Matteson: Er det en slags skala fra 0 til 10 hvor sannsynlig en e-post er et phishing-forsøk, der 0 ikke er sannsynlig og 10 er veldig sannsynlig?

Steve Kelley: Alle ThreatTest-meldinger blir presentert for EdgeWave-analytikere med nøkkelindikatorer uthevet og fargekodet. Denne scoringen er designet for å gi analytikerne våre en rask visuell indikator på mistankens nivå, samt hvilke elementer som allerede var sjekket. Det hjelper også analytikeren til å forstå hvor de trenger å bruke tiden sin for å mest mulig bestemme riktig klassifisering for e-posten.

Scott Matteson: Hvordan er sluttbrukeropplevelsen med ThreatTest?

Steve Kelley: Vår brukeropplevelse er en ekstremt enkel og fullstendig lukket loop. Brukere sender inn meldinger via en Outlook-plugin-modul som fungerer på tvers av Outlook (Windows og Mac), Outlook-appen (iOS og Android) og Outlook Web Access. Når en melding er sendt, blir den flyttet fra brukerens innboks til kundens ThreatTest-karantene der den venter på klassifisering. Samtidig mottar sluttbrukeren en e-postvarsling som informerer dem om at e-posten ble akseptert og blir vurdert av en EdgeWave Threat Detection Analyst. Når meldingen er klassifisert, blir sluttbrukerinnlevereren deretter varslet om klassifiseringen og riktig handling basert på kundeadministratorens konfigurasjon.

Scott Matteson: Hva er resultatene hvis en vare anses som en trussel; hvor nøyaktig svarer programvaren?

Steve Kelley: Til syvende og sist er beslutningen om hvordan man skal svare på en ondsinnet e-post, opp til organisasjonens administrator å definere. Standardhandlingen er å slette meldingen. Sluttbruker-innsendere får beskjed via e-post om at meldingen ble klassifisert som ondsinnet og hvilken handling som ble utført på meldingen. Igjen er handlingen definert av kunden. Med vår Incident Response-evne kan vi også søke i kundens postlager etter den samme meldingen i andre brukeres innboks og slette alle forekomster.

Scott Matteson: Hva er noen subjektive daglige eksempler på ThreatTest i aksjon?

Steve Kelley: Vi har sett en økning i phishing-meldinger som er veldig lette på tekst og ikke har koblinger eller vedlegg. Hele meldingen føles mistenkelig, men det er ikke noe innhold som aktiverer skadelig aktivitet. Videre forskning fra EdgeWave Threat Detection Center oppdaget at disse enkle e-postene ganske bokstavelig talt var åpningssalven. Svar på e-posten returnerer en annen grunnleggende e-post, denne gangen ber mottakeren kjøpe gavekort. Igjen, det er ingen nettadresser eller vedlegg å aktivere, bare ren tekst. To e-postutvekslinger og null skadelig eller aktiverbart innhold.

Neste e-post ber mottakeren om å sende kodene fra hvert gavekort via e-post siden det ikke er tid til å sende de fysiske kortene. Nok en gang, ikke skadelig innhold, men kroken er satt. På dette tidspunktet kan offeret lett komme seg ut. Men hvis de fortsetter, har den kriminelle nå hundrevis (tusenvis?) Dollar av gavekortkoder de kan innløse hvor som helst. En veldig liten versjon av e-postkompromiss for virksomheten, men mye vanskeligere å oppdage på grunn av bruk av veldig grunnleggende e-post uten skadelig eller aktiverbart innhold.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com