信息化觀察網(wǎng)

本文來自微信公眾號“數(shù)世咨詢”，作者/nana。

威脅形勢不斷發(fā)展變化，電子郵件仍是網(wǎng)絡攻擊的主要目標，而傳統(tǒng)的電子郵件安全措施卻已不再夠用。依賴歷史攻擊數(shù)據(jù)的解決方案只能捕獲曾經(jīng)看到過的攻擊，難免處于不利地位，一直在拼命追趕網(wǎng)絡犯罪分子創(chuàng)新的腳步——事實上，這些解決方案識別新型攻擊平均耗時13天。

威脅形勢日趨嚴峻

網(wǎng)絡釣魚攻擊的頻率和復雜程度都在不斷提高，因為攻擊者嘗試使用兩種關(guān)鍵手法：惡意軟件投放和社會工程。在惡意軟件投放方面，網(wǎng)絡犯罪分子搭合法基礎(chǔ)設施便車的現(xiàn)象激增，他們利用OneDrive和SharePoint等合法基礎(chǔ)設施的可信聲譽來繞過安全工具。至于人的方面，攻擊者使用生成式AI技術(shù)冒充可信聯(lián)系人——比如破壞性的商務電郵入侵（BEC）和能以假亂真的魚叉式網(wǎng)絡釣魚。令人擔憂的是，英國網(wǎng)絡安全初創(chuàng)公司Darktrace發(fā)現(xiàn)，自從ChatGPT發(fā)布，網(wǎng)絡釣魚電子郵件的平均語言復雜度就上升了17%。

這些趨勢表明攻擊形勢發(fā)生了轉(zhuǎn)變：從頻率高、影響小的廣撒網(wǎng)式網(wǎng)絡釣魚技術(shù)轉(zhuǎn)向了復雜度高、影響大的針對性攻擊，能夠繞過依靠規(guī)則和特征碼的安全工具。

圖1：攻擊發(fā)展進程與電子郵件安全工具的相對覆蓋范圍

此外，數(shù)字化時代的電子郵件安全不僅需要著眼收件箱，還需要放眼每個用戶的電子郵件、賬戶和應用。實際上，僅僅專注于阻止收件箱中已知威脅的工具已經(jīng)不足以應對當前威脅形勢了。

行業(yè)圖景

傳統(tǒng)網(wǎng)關(guān)和很多現(xiàn)代集成云電子郵件安全（ICES）提供商有一些共同點：他們用之前的威脅情報來預測下一次攻擊。新興供應商則將AI應用到這一有缺陷的方法上，尋找直接匹配，并用“數(shù)據(jù)增強”來識別類似的電子郵件。盡管利用了AI，該方法依然專注過往，因而對新興威脅視而不見。

而且，這些工具還是資源密集型的，需要持續(xù)的策略維護和人工分揀誤報。于是，符合“設過即忘”定義的技術(shù)，即能夠自主區(qū)分良性與惡意并持續(xù)適應各個企業(yè)環(huán)境的電子郵件安全，就有了登場的機會。

轉(zhuǎn)向AI

業(yè)內(nèi)正在經(jīng)歷一場從“安全”電子郵件網(wǎng)關(guān)到智能AI方法的巨大轉(zhuǎn)變。

只有深入了解每個員工的日常互動，才能準確確定電子郵件是否歸屬其收件箱。該方法從行為入手檢測異常：各人如何使用其收件箱，以及每個用戶的“正常”狀態(tài)是什么樣子的。

當前威脅形勢下，這種方法依托原生電子郵件安全來應對使用新穎或偽合法基礎(chǔ)設施的高級攻擊。

圖2：原生電子郵件安全+AI覆蓋更多攻擊類型

檢測置信度高，就可以做出準確而針對性強的響應——只清除電子郵件中最危險的部分而不是出于謹慎全面禁止，從而在不干擾正常業(yè)務運營的情況下盡量減小風險。

全面審視每個用戶

現(xiàn)有電子郵件工具只關(guān)注入站電子郵件，并不考慮賬戶被盜的潛在重大破壞。今時今日的電子郵件安全不能僅僅局限在收件箱上，需要全面了解用戶在電子郵件及其他方面的行為。

想要掌握用戶的完整上下文，就得掌握他們在應用、網(wǎng)絡和設備上的活動，看清基于身份的攻擊的全貌。結(jié)合所屬企業(yè)環(huán)境（包括網(wǎng)絡、云和端點數(shù)據(jù)）了解用戶，可以將電子郵件安全與企業(yè)和外部攻擊面聯(lián)系在一起，更為詳盡地了解潛在攻擊。

納入最終用戶

數(shù)字化時代，安全是每個人的責任。電子郵件安全需讓員工適度參與進來，為他們提供做出正確決定所需的上下文信息，又不至于壓垮他們或放權(quán)太過。

能夠利用AI提高員工安全意識的工具才是最成功的好工具：通過上下文橫幅、解釋性摘要和定制操作來消除風險因素——納入最終用戶來加強防御。向員工提供信息，同時仍將關(guān)鍵決策留給安全團隊，企業(yè)就可以進一步加強其安全態(tài)勢，將安全團隊從疲于奔命的四處撲救模式提升到更高層次的戰(zhàn)略決策模式。

電子郵件安全新前沿以智能AI對抗網(wǎng)絡犯罪，未能站上這波浪尖的企業(yè)最終可能會付出代價。對于CISO而言，問題不在于是否應該升級電子郵件保護，而在于何時升級：依靠老舊電子郵件安全的風險，他們還能冒多久？