Antigena电子邮件是如何绕过网关的恐怖软件攻击的？电子邮件安全产品总监Dan Fein于2020年3月12日星期四电子邮件攻击背后的网络犯罪分子经过充分研究，对人类的行为和情绪反应灵敏，经常通过利用时事新闻和时事新闻来唤起特定的反应。因此，攻击者试图锁定COVID-19，在他们的最新努力中，试图说服用户打开他们的电子邮件，并点击看似温和的，这并不奇怪链接。那个最新的电子邮件趋势涉及声称来自疾病控制和预防中心（Center for Disease Control and Prevention）的攻击者，声称掌握了有关COVID-19的紧急信息。这是最近我们称之为"恐惧软件"的典型趋势：网络犯罪分子利用集体恐惧感和紧迫感，诱使用户点击恶意附件或链接。虽然这种策略很常见，但实际的活动包含了独特的术语和内容。我们看到的电子邮件中有一些模式，但没有一种模式可以可靠地预测到，无法制定出严格而快速的规则，在不造成错误的情况下阻止使用新措辞的电子邮件积极的。为了例如，当电子邮件开始使用新的措辞时，寻找"CDC"在电子邮件发件人中的存在很容易失败，例如"WHO"。我们还发现链接和它们的显示文本不匹配–显示文本显示为"https://cdc.gov/[随机路径]"而实际链接是完全任意的URL。在这方面寻找模式匹配可能会导致误报，并将作为最好的。那个这些电子邮件中的大多数，尤其是早期的电子邮件，都通过了我们客户现有的大多数防御措施，包括Mimecast、Proofpoint和Microsoft的ATP，并被批准直接发送到最终用户的收件箱。幸运的是，这些电子邮件立即被识别出来，并由暗黑种族的自主响应技术Antigena Email采取行动收件箱。网关：目前大多数组织使用安全电子邮件网关（SEG），如Mimecast或Proofpoint，作为电子邮件发送者和接收者的电子邮件提供者之间的内联中间人。SEG在很大程度上刚刚成为垃圾邮件检测引擎，因为这些电子邮件在规模上是显而易见的。他们可以识别低风险的果实（即容易被检测为恶意的电子邮件），但当攻击变得个性化或与以前看到的稍有偏差时，他们无法检测和响应攻击。图1： 描述电子邮件安全网关内联的高级图表位置段倾向于使用"已知坏的"IP、域和文件哈希确定电子邮件的威胁级别-当他们使用新的IP、域或文件时，无法阻止新的攻击，这些新的攻击还没有被分类或报告为恶意。什么时候网关技术中使用了先进的检测方法，如异常检测或机器学习，建站服务，这些都是在电子邮件发送后执行的，并且需要大量几乎相同的电子邮件才能触发。最终的结果往往是从这些电子邮件中提取一个元素，然后简单地将其列入黑名单它。什么时候SEG无法确定这些因素，他们可能会求助于一种称为沙盒的技术，这种技术为测试电子邮件中的链接和附件创建了一个独立的环境。或者，每日返利，他们可能会转向基本级别的异常检测，由于缺乏电子邮件之外的数据上下文，这些异常检测是不充分的。对于沙箱，大多数先进的威胁现在通常使用规避技术，比如在执行前等待某个日期的激活时间。部署时，沙盒尝试会看到一个无害的文件，而不会识别正在等待的休眠攻击在数字范围内2： 这封电子邮件是在我们收到电子邮件前2小时注册的处理。采取在一个黑暗的客户环境中看到的COVID-19电子邮件示例，我们看到了混合使用的域，似乎是为了避免模式检测。在收到第一封电子邮件的时候，不可能在任何地方使用"已知坏"域名列表中的域名，因为它是在收到该域名后仅仅两个小时收到的注册。数字3： 虽然其他的防御措施没能阻止这些邮件，安提吉纳的电子邮件立即标记他们100%不寻常，并阻止他们从交货。安提吉纳电子邮件位于所有其他防御措施之后，这意味着只有当这些防御措施无法阻止恶意电子邮件或认为电子邮件可以安全送达时，我们才会看到电子邮件。在上面的COVID-19案例中，前5封邮件被MS-ATP标记为垃圾邮件可信度为1，表明微软扫描了该邮件，并确定邮件是干净的，因此微软没有采取任何行动不管怎样。那个猫捉老鼠的游戏网络罪犯总是在不断变化，迅速行动，以超过安全小组和绕过现有的防御。他们认识到电子邮件是进入一个组织最容易的入口，他们利用现有工具的不足，通过工厂式的系统大量生产个性化的电子邮件，这些系统以最少的人力进行研究、起草和发送互动。领域是便宜的，代理是便宜的，变形文件稍微改变一个文件的整个指纹很容易-将任何"已知错误"列表显示为过时的秒。网络AI：新方法需要一种新的方法，物联网应用技术是什么，它依赖于业务背景和对公司的由内而外的理解，而不是分析电子邮件隔离。安免疫系统方法darktrace的核心技术使用人工智能来检测企业中不寻常的行为模式。人工智能能够成功地做到这一点，它遵循了人类免疫系统的核心原则：培养一种天生的"自我"意识，并利用这种理解来检测异常的活动威胁。进来为了识别整个企业的威胁，人工智能能够理解网络之外的正常行为模式。这对于实现全面业务理解的目标至关重要。例如，SaaS应用程序中的活动与相应的网络事件、云中的事件和公事公办这是人们在电脑上做的事情和他们收发电子邮件之间的明确关系。如果用户在收到来自同一个域的电子邮件之前刚刚访问过某个网站，则可以提高该电子邮件的可信度：访问网站、订阅邮件列表，然后在几分钟内收到电子邮件是非常常见的。相反，收到一封来自一个全新发件人的电子邮件，其中包含一个组织中没有人访问过的链接，这就支持了这样一个事实：该链接可能不太好，也许应该从用户的电子邮件中删除该电子邮件收件箱。企业版-Wide ContextDarktrace的Antigena电子邮件将这种数据源的相互作用扩展到收件箱，利用完整的业务上下文通知电子邮件，提供独特的检测功能决定。那个Antigena电子邮件的设计为电子邮件安全提供了一个根本性的转变——从工具所在的位置到它如何理解和处理数据。与SEG不同，SEG只在电子邮件第一次通过时才进行内联处理，而不再是这样，Antigena电子邮件是被动的，接收记录到其中的数据。这项技术不需要等到一个域名被指纹或沙盒，或者直到它与一个有着著名名字和所有巴斯。安提吉纳电子邮件扩展了其独特的地位，不坐在电子邮件重新评估，处理电子邮件数百万次，而不是仅仅一次，确保在交付后能够很好地采取行动。如果企业内部的某个事件被确定是通过电子邮件发起的，那么一封带有流行链接的看似温和的电子邮件可能会随着时间的推移变得更加有趣，可能是当一个受信任的站点受到危害时。虽然安提吉纳网络将减轻网络上的新威胁，大数据的概念，但安提吉纳电子邮件将中和电子邮件中包含的链接与那些在原来的电子邮件。图4： Antigena电子邮件被动地远离电子邮件提供商，不断地重新评估和发布更新的操作作为新的数据介绍。什么时候邮件首先到达，Antigena电子邮件提取其原始元数据，以机器速度多次处理，然后随着新证据的引入（通常基于整个业务中所看到的事件），处理了数百万次。这套系统证实了它所看到的一切，与它之前所理解的在整个企业环境中都是正常的。例如，当域从电子邮件正文中的信封信息或链接中提取时，会将它们与该域在公司的网络。图5： 上面的链接被确定为100%罕见的企业。剖析以上COVID-19链接的电子邮件，我们可以提取一些可用的数据Antigena电子邮件用户界面，看看为什么Darktrace认为电子邮件是如此不寻常。"发件人"地址中的域很少见，它是从客户整个数字环境中的数据派生的补充上下文信息，不仅限于电子邮件，大数据系统，还包括网络数据。这些电子邮件的KCE、KCD和RCE表明，这是第一次在任何电子邮件中看到发件人：与发件人之间没有任何通信，电子邮件地址也从未出现在任何电子邮件的正文中电子邮件。图6： 注明记录，并注明KCE编号组织。相关以上所述，Antigena电子邮件认为这些电子邮件100%不正常的业务，并立即删除他们从收件人的收件箱。该平台在第一封邮件中这样做，之后的每封邮件都是这样做的——安提吉纳没有收到一封基于COVID-19的电子邮件电子邮件。结论网络人工智能并不区分"好"和"坏"，而是一个事件是否可能属于它。这项技术看起来只是将数据与环境中学习到的活动模式进行比较，并将新的电子邮件（与