RSA 创新沙盒盘点| INKY——基于机器学习的恶意邮件识别系统
2020-02-20
2020年2月24日-28日,网络安全行业盛会RSA Conference将在旧金山拉开帷幕。尊龙凯时君已经为大家介绍过入选今年创新沙盒的十强初创公司:Elevate Security 、Sqreen、Tala Security和AppOmni四家厂商了,今天将为大家介绍的是:INKY。
一、公司介绍
INKY公司的总部位于马里兰大学公园,凭借独特的计算机视觉、人工智能和机器学习技术,INKY在电子邮件防护领域处于行业领先的地位。目前,该公司已经完成了三轮融资,共筹集了1183.5万美元。其最近的一次A轮融资在2019年11月,融资金额为600万美元。公司创始人Dave Baggett还与他人共同创立了ITA Software公司(ITA Software公司是业内领先的机票搜索公司,于2011年被谷歌以7.3亿美元收购,目前为谷歌Flights®提供支撑)。
INKY Phish Fence是该公司的旗舰产品,该产品是一个基于云计算的电子邮件安全平台。该平台能够像人一样理解电子邮件,分析其中的欺诈、钓鱼等恶意行为,以防止企业被恶意邮件攻击。
二、背景介绍
钓鱼邮件是最常见的网络威胁之一。大部分网络攻击都是以钓鱼邮件为切入点。Gartner的数据显示78%的网络安全事件中涉及到钓鱼邮件。传统钓鱼邮件的原理如图所示。
攻击者首先伪装成一个可信的实体给受害者发送邮件,并欺骗受害者点击电子邮件中的恶意链接或者下载恶意附件,从而导致受害者的主机被安装恶意软件,进而导致受害主机被勒索软件攻击或者数据泄露。
然而,当今网络钓鱼邮件正变得越来越具有迷惑性,所以即使经验丰富的安全人员也无法有效的对其进行分辨。其中,商业邮件失陷(Business Email Compromise ,BEC)每年造成12亿美金的损失。BEC攻击通常通过正常的商务流程,但会伪装成企业的员工、商业伙伴或供应商,通过社工手段窃取企业的资金或敏感数据。与传统的钓鱼邮件包含恶意链接或附件不同,BEC攻击者的邮件内容等是正常的,所以网络安全层面的检查无效。因为邮件安全引起的业务损失较高,应对BEC相关的安全产品成为Gartner 2019年十大项目之一。在相关的产品中,机器学习技术越来越多的被用来识别恶意邮件,并取得了较好的效果。
三、产品介绍
INKY Phish Fence是该公司的主打产品。该产品是基于云的电子邮件防护软件。基于特定领域的机器学习和计算机视觉技术,该产品可以识别并阻止多种恶意邮件,包括钓鱼邮件,诈骗邮件等。同时,该产品可以和多种电子邮件服务组件相结合,包括Exchange、Office 365、G Suite,为其提供全方位的防护。
1、Exchange:Exchange 是微软公司的电子邮件服务组件。INKY可以与Exchange无缝集成。INKY通过自动扫描所有内部和外部的电子邮件,寻找其中的钓鱼邮件、恶意邮件、垃圾邮件等。恶意电子邮件会被隔离。
2、Office 365:Office 365 是一种订阅式的跨平台办公软件,基于云平台提供多种服务。Office 365是很多钓鱼邮件攻击的主要目标。由于钓鱼手段的巧妙和狡猾,Office 365本身和传统的第三方安全系统并不能有效的检测到。INKY可以与Office 365无缝集成,具有针对Office 365平台的自定义实现。它集成起来又快又容易。INKY还可以分阶段部署,易于实施。
3、G Suite:G Suite是Google 在订阅基础上提供的一套协作软件工具。INKY可以与G Suite无缝集成,实现对恶意邮件,钓鱼邮件的准确检测。
INKY Phish Fence过滤每一封电子邮件。在最终呈现给用户的邮件中,该系统会在每一封邮件的顶部加上一个横幅(banner),来对邮件的安全性进行说明。
横幅是INKY Phish Fence的一大特色,如图所示。
不同风险程度的邮件用不同的颜色标识。其中,灰色横幅用于标识安全的邮件,黄色横幅用于标识谨慎打开的邮件,红色横幅用于标识危险邮件。在黄色和红色标识中点击“Details”链接可以进一步查看对邮件的描述。这些信息可以让用户了解他们的收件箱中存在的威胁。另外,这些信息可以让用户学习到更多的钓鱼邮件相关的知识,这往往比钓鱼邮件模拟测试更加有效。横幅中的“Report This Email”链接允许终端用户报告来自任何终端设备的有问题的电子邮件,而不需要特殊的客户端软件。INKY甚至整合了自然语言处理(NLP)算法来识别敏感内容,如电汇或发票付款请求、密码相关的电子邮件等,并在横幅中标注客户可配置的策略来对用户进行指导。
四、核心技术
传统的电子邮件安全解决方案通常只依赖于已知的攻击者数据库。INKY除了使用最新的数据库外,还使用机器学习和计算机视觉技术来检测钓鱼邮件,甚至捕捉零日的BEC钓鱼诈骗。超过24个计算机视觉和文本分析模型能够像人一样“看到”邮件信息,并捕捉人类可能会忽略的文本、类型和图像的异常。通过智能分析,可以检测出有问题的电子邮件。
钓鱼邮件检测:钓鱼邮件中往往包含有恶意链接。INKY对收到的电子邮件中包含的每个链接进行模拟点击,并检查相关的网页是否有钓鱼或其他恶意内容的特征。含有恶意网站链接的电子邮件会被标记告警或隔离。
恶意代码检测:HTML为电子邮件提供了更高级别的可配置性,但也使得在电子邮件中嵌入恶意可执行代码成为可能。默认情况下,INKY能够标识并阻止执行跨站点脚本攻击(XSS)、JavaScript和CSS攻击的代码。
可疑发件人检测:INKY的机器学习引擎可以通过行为特征和社交网络图谱来识别可疑的行为或身份。通过观察邮件在组织中的流动情况,INKY可以为所有的人创建行为档案。当INKY看到一封电子邮件的发件人的特征与学习到的特征不匹配时,它会发出告警,如图所示。
结果上报:INKY产品的一个独特的功能是可以在每封电子邮件中点击“Report this Email”链接。这意味着用户可以在不需要安装特定软件的情况下报告来自任何设备(web、手机、任何电子邮件客户端)的有问题的邮件。而大多数电子邮件保护软件只能在已安装特定软件的系统上工作。这样,INKY可以随时收到用户对检测结果的反馈,进一步完善其检测模型。
四、总结
随着钓鱼邮件越来越具有迷惑性,传统的基于规则的检测方法已经无法有效的进行检测。INKY公司的产品INKY Phish Fence采用机器学习技术对邮件进行智能分析,可以更加有效地识别钓鱼邮件。而部署在云端的检测系统使得企业部署更加灵活。同时,该产品可以与Exchange,Office 365和G Suite等办公软件无缝集成,能够为企业提供更加全面的防护。
· 参考链接 ·
[1] Gartner 2019十大安全项目:https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2019/
[2]https://www.crunchbase.com/search/funding_rounds/field/organizations/num_funding_rounds/arcode
[3] https://www.inky.com/
[4] Gartner Security & Risk Management Summit 2019