脱钩：人工智能如何捕捉网络钓鱼邮件即使我们以技术总监戴夫·帕尔默为诱饵，从社交媒体应用到协作云服务，前所未有的交流方式现在每天都在出现。然而，世界各地的工作场所仍然依赖于老式的电子邮件，仅2018年就有超过100万亿封电子邮件被发送。一个办公室职员平均每天收到121封电子邮件，而且——我们大多数人都能证明——因此只有一点时间来决定每封邮件是否值得回复。考虑到这种攻击，90%的恶意软件源自收件箱，伪装成钓鱼邮件，其发件人冒充可信同事。共个当然，长期上网的网民已经学会了对外国王子要求帮助运送黄金的信息保持警惕。然而，如今近四分之三的目标网络攻击都涉及"鱼叉式网络钓鱼"电子邮件：一种个性化的网络钓鱼形式，攻击者利用在线侦察或物理窃听来产生令人信服的伪造。事实证明，传统的安全手段和检测电子邮件的手段都是无效的。一项著名的研究发现，在为实验发送的15万封网络钓鱼邮件中，几乎一半的收件人在第一次点击邮件的诈骗链接小时。检测鱼叉式网络钓鱼活动需要一种网络防御的平台方法，而不是孤立的、针对电子邮件的解决方案。在无监督机器学习的推动下，网络人工智能平台开始了解个人用户如何在数字基础设施中工作和协作，从电子邮件服务到云，再到内部网络。当寻找"网络钓鱼"的最轻微迹象时，这种情境化的知识是必不可少的，因为在一种情况下对一个用户恶意的活动在其他情况下可能是良性的。最关键的是——因为有动机的攻击者仍然可以在组织的保护层内找到一条出路——这样的无所不包的人工智能平台可以自主地做出反应，将损害降至最低，不管感染在哪里发生。学习从"零号病人"的角度来看，这是一场针对全球企业的复杂但又很普通的攻击。毫无疑问，这次攻击开始于一场针对整个企业员工的鱼叉式网络钓鱼活动。这些电子邮件使用一种称为域欺骗（domain spoofing）的网络钓鱼策略，即注册一个看似合法的域名，类似于一个熟悉联系人的发件人地址。通常情况下，攻击者会试图冒充高层管理人员，并提出紧急请求——希望员工在发现伪造者之前能够遵守域。在在这个例子中，攻击者通过她的微博监视了公司的首席执行官，模仿她的写作风格，以诱使收件人打开电子邮件的附件。因为这个伪造的域名并没有出现在该公司本地电子邮件控制所使用的IP黑名单上，所以它们进入了200多名员工的收件箱，一旦点击一下，它们就可以用一种快速反应的勒索软件感染公司。更糟糕的是，这家跨国公司在四大洲设有办事处。因此，当"零号病人"（patient zero）——伦敦的一名女售货员——第一时间收到邮件时，其美国安全团队仍在半路熟睡世界。世界同时，公司网络人工智能平台对邮件进行了分析，并将邮件属性与每个员工典型的网络行为关联起来，利用其对整个数字基础设施的知识。这项分析显示，这些电子邮件是可疑的，虽然人工智能还没有介入，但它已经准备好了它的自主响应能力，可以立即采取行动。回到伦敦，零号病人浏览电子邮件，无意中下载了勒索软件的有效载荷，开始横向移动，识别文件共享，并以机器速度加密公司文件。对于大多数组织来说，它已经是迟到了。但是几秒钟之内，网络人工智能平台就标记出勒索软件活动的不寻常性质，并考虑到威胁的紧迫性，确定有必要进行自主响应。它手术中和了异常的横向移动和加密，限制了受感染设备的正常行为。然而，平台并不止于此。在进行了根本原因分析后，人工智能会将攻击追踪到网络钓鱼电子邮件，这些信息会提示它在欺骗其他受害者之前对活动中的其他电子邮件进行清理。女售货员继续工作，不知道人工智能在幕后也很努力，把公司从一个大公司救了出来妥协.AI攻击近程炸弹不仅仅是拥有人工智能的防御者。正如我在2017年的一篇文章中所讨论的那样，人工智能承诺通过使这些电子邮件更真实、更具可扩展性来增强鱼叉式网络钓鱼的能力——自动化对人类攻击来说，这是一个相当劳动密集的过程。2016年的一个显著实验发现，一个由人工智能驱动的工具箱，研究目标的社交媒体行为，以便向他们发送个性化的鱼叉钓鱼推文，能够在短短两小时内诱使275名受害者落入其陷阱，让一名人类攻击者蒙羞。在同样的时间里，人类只制造了129个尝试。比较对于具有5-14%折衷率的大规模标准网络钓鱼活动，这种自动鱼叉式网络钓鱼成功率在30%到66%之间，而人工智能技术仍在成倍提高。无论面向周边的保护变得多么强大，对付下一波人工智能攻击并没有灵丹妙药。相反，我们必须利用我们自己的人工智能平台从内到外保护我们的数字资产。通过以这种方式将电子邮件安全性与企业安全性结合起来，我们可以自主地反击网络钓鱼攻击，即使是那些我们上钩、下线和伸卡球。到了解网络人工智能如何智能地检测和自动中和网络钓鱼电子邮件，请查看我们的数据表：Antigena EmailDave PalmerDave是技术总监在Darktrace，监督数学和工程团队以及项目策略。戴夫在政府情报部门工作超过13年，曾在英国情报机构GCHQ和军情五处工作，负责提供关键任务基础设施服务，包括更换和保护整个全球网络，发展互联网业务能力和管理重大灾难恢复事件。他是网络安全初创公司和成长期公司的顾问，这些公司来自英国政府的网络安全加速器和赛隆公司。他对人工智能和网络安全未来的见解也经常出现在英国媒体上。他拥有大学计算机科学和软件工程一级学位伯明翰。分享在LinkedIn上的FacebookTweetShare发送电子邮件