Inovacije u umjetnoj inteligenciji (AI) iz temelja su promijenile sigurnosni okoliš e-pošte posljednjih godina, ali često može biti teško odrediti po čemu se jedan sustav razlikuje od nekog drugog. U stvarnosti, postoje značajne razlike u pristupima koji mogu odrediti pruža li tehnologija istinsku zaštitu ili tek jednostavno shvaćeni pojam obrane.
Ovaj blog istražuje ključnu razliku između dvije metode umjetne inteligencije: nadziranog i nenadziranog strojnog učenja. Nadzirani pristup strojnom učenju napaja stroj tisućama e-adresa za koje se već smatralo da su zlonamjerne i obučava ga da traži uzorke u tim e-porukama kako bi uočio buduće napade. Strojno učenje bez nadzora ostavlja AI sustav da analizira cjelokupne podatke iz stvarnog svijeta organizacije, omogućujući joj da uspostavi pojam što je "normalno" i uoči suptilna odstupanja koja ukazuju na napad.
Neke prepreke s kojima se susreće nadzirano strojno učenje istražuju se kada se razmatra slučaj potpuno novog napada koji koristi najnovije vijesti kako bi zaobišao sustave strojnog učenja obučene na skupovima podataka. Učinkovito rješenje sigurnosti e-pošte trebalo bi imati koristi od odgovarajućih prednosti oba modela kako bi se shvatilo ne samo je li e-pošta zlonamjerna, već i zašto. Ovo holističko razumijevanje uvijek omogućuje superiorne stope ulova s manje lažno pozitivnih rezultata.
Tijekom posljednjih nekoliko desetljeća tehnologije kibernetičke sigurnosti nastojale su ublažiti rizik sprečavanjem ponovnog pojavljivanja prethodno viđenih napada. U ranim danima, kada je životni vijek određenog soja zlonamjernog softvera ili infrastrukture napada bio u rasponu mjeseci i godina, ova je metoda bila zadovoljavajuća. Smanjenjem životnih vijekova napada, gdje se domena može koristiti u jednoj e-pošti i nikad se više neće vidjeti, pristup zasnovan na potpisu povijesnog izgleda sada je široko zamijenjen inteligentnijim sustavima.
Obuka stroja na 'lošim' e-porukama
Nadzirano strojno učenje uključuje iskorištavanje izuzetno velikog skupa podataka s tisućama ili milijunima e-adresa. Kad ove e-adrese prođu, AI se osposobljava za traženje uobičajenih obrazaca u zlonamjernoj e-pošti. Sustav zatim ažurira svoje modele, postavljena pravila i crne liste na temelju tih podataka.
Ova metoda svakako predstavlja poboljšanje tradicionalnih pravila i potpisa, ali ne izbjegava činjenicu da je i dalje reaktivna i da nije u stanju zaustaviti novu infrastrukturu napada ili nove vrste napada e-poštom. To je jednostavno automatizacija tog manjkavog, tradicionalnog pristupa - samo umjesto da čovjek ažurira pravila i potpise, umjesto toga ih ažurira stroj.
Oslanjanje samo na ovaj pristup ima jednu osnovnu, ali kritičnu manu: ne omogućuje vam zaustavljanje novih vrsta napada koje nikada prije nije vidio. Prihvaća da mora postojati "nulti pacijent" - ili prva žrtva - da bi uspjeli.
Industrija počinje prepoznavati izazove s ovim pristupom, a ogromne količine resursa - kako automatiziranih sustava, tako i istraživača sigurnosti - bacaju se na smanjenje ograničenja. To uključuje iskorištavanje tehnike koja se naziva "povećanje podataka", što uključuje uzimanje zlonamjerne e-pošte koja je provukla i generiranje mnogih "uzoraka treninga" koristeći biblioteke za povećanje teksta otvorenog koda za stvaranje "sličnih" e-adresa.
No trošenje vremena i truda u pokušaju rješavanja nerješivog problema je poput stavljanja svih jaja u pogrešnu košaru. Zašto pokušati popraviti neispravan sustav, a ne mijenjati igru uopće? Da bismo pojasnili ograničenja ovog pristupa, pogledajmo situaciju u kojoj je priroda napada potpuno nova.
Uspon strašnog softvera
Kad je globalna pandemija pogodila svijet, a vlade počele provoditi zabrane putovanja i nametati stroga ograničenja, nesumnjivo je postojao kolektivni osjećaj straha i neizvjesnosti. Cyber kriminalci su takvo stanje brzo kapitalizirali, iskorištavajući želju ljudi za informacijama kako bi poslali aktualne e-poruke povezane s COVID-19 koje sadrže malware ili linkove za 'hvatanje' vjerodajnica.
Te su e-adrese često obmanjivale Centre za kontrolu i prevenciju bolesti (CDC), a kasnije, kako je ekonomski utjecaj pandemije počeo poprimati maha, i upravljanje malim poduzećima. Kako se globalna situacija mijenjala, tako se mijenjala i taktika napadača. U tom procesu kupljeno je više od 130 000 novih domena povezanih s COVID-19.
Razmotrimo sada kako bi gornji pristup zaštiti e-pošte mogao proći kada se suoči s tim novim napadima e-pošte. Pitanje postaje: Kako možete osposobiti model da pazi na e-poštu koja sadrži "COVID-19", a taj pojam nije izmišljen?
Iako je COVID-19 najistaknutiji primjer za to, isto obrazloženje slijedi za svaki pojedini neočekivani ciklus vijesti koje napadači koriste u svojim phishing e-mailovima kako bi izbjegli alate koji koriste ovaj pristup - i privukli pažnju primatelja. Štoviše, ako je napad putem e-pošte uistinu usmjeren na vašu organizaciju, mogao bi sadržavati vijesti koje se odnose na vrlo specifične stvari na kojima se nadzirani sustavi strojnog učenja nikada ne bi mogli osposobiti.
To ne znači da u sigurnosti e-pošte nema vremena i mjesta za gledanje prošlih napada da biste se postavili za budućnost, ali ne ovako.
Uočavanje namjere
Darktrace promatra povijesne podatke za jednu određenu, buduću upotrebu. Analizira gramatiku i ton e-pošte - koji se ne mijenjaju tijekom vremena - kako bi se identificirala namjera.
AI postavlja pitanja poput: "Izgleda li ovo kao pokušaj navođenja? Pokušava li pošiljatelj zatražiti neke osjetljive podatke? Je li to iznuda?" Obučavajući sustav na izuzetno velikom skupu podataka prikupljenih tijekom određenog vremenskog razdoblja, možete početi razumijevati kako, na primjer, izgleda poticanje. To vam onda omogućuje lako uočavanje budućih scenarija poticanja na temelju zajedničkog skupa karakteristika.
Obuka sustava na ovaj način djeluje, jer se, za razliku od vijesti i tema krađe identiteta, temeljni obrasci tona i jezika s vremenom ne mijenjaju. Pokušaj nagovaranja uvijek je pokušaj nagovaranja.
Iz tog razloga, ovaj pristup igra samo jedan mali dio vrlo velikog motora. Daje dodatnu naznaku o prirodi prijetnje, ali se sama po sebi ne koristi za određivanje anomalnih e-adresa.
Uz nenadzirano strojno učenje, tisuće podatkovnih točaka izvlače se i ekstrapoliraju iz svake e-pošte. Neki od njih preuzeti su izravno iz same e-pošte, dok se drugi mogu utvrditi samo pomoću gore navedene analize namjere. Dodatni uvid također se dobiva promatranjem e-adresa u širem kontekstu svih dostupnih podataka putem e-pošte, mreže i clouda organizacije.
Tek nakon što imaju znatno veći i sveobuhvatniji skup pokazatelja, s većim, cjelovitijim opisom te e-pošte, podaci se mogu unijeti u tematski i stroj za strojno učenje koji će početi ispitivati podatke na milijune načina kako bi se shvatilo pripada li, s obzirom na širi kontekst tipičnom "životnom obrascu" organizacije. Nadgledanje svih e-adresa zajedno omogućuje uređaju da uspostavi stvari poput:
- Prima li ta osoba obično zip datoteke?
- Šalje li ovaj dobavljač obično veze do Dropboxa?
- Je li se ovaj pošiljatelj ikada prijavio iz Kine?
- Dobivaju li ti primatelji obično iste e-adrese zajedno?
Tehnologija identificira obrasce u cijeloj organizaciji, a urođeno razumijevanje onoga što jest i nije "normalno" omogućuje AI uočavanje istinskih nepoznanica umjesto samo "novih varijacija poznatih loših stvari".
Ova vrsta analize donosi dodatnu prednost u tome što je agnostička na jezik i temu: budući da se usredotočuje na otkrivanje anomalija, a ne na pronalaženje specifičnih obrazaca koji ukazuju na prijetnju, učinkovita je bez obzira na to komunicira li organizacija obično na engleskom, španjolskom, japanskom ili bilo kojem drugom jeziku.
Upotrebom oba ova pristupa možete razumjeti i namjeru koja stoji iza e-pošte i je li namjera u legitimne ili zlonamjerne svrhe. I sve se to radi bez da ste ikada pretpostavili ili očekivali da ste prije vidjeli ovakvu prijetnju.
Ne postoji jedinstveni matematički model za rješavanje problema utvrđivanja zlonamjerne e-pošte iz benigne komunikacije. Slojeviti pristup prihvaća da konkurentski matematički modeli imaju svoje vlastite snage i slabosti. Autonomno određuje relativnu težinu koju bi ovi modeli trebali imati i međusobno ih odmjerava kako bi se dobio ukupni "rezultat anomalije" neveden u postocima, ukazujući točno na to koliko je određena e-pošta neobična u usporedbi sa širim protokom prometa e-pošte u organizaciji.
Vrijeme je da zaštita e-pošte odustane od pretpostavke da možete gledati prošlost kako biste predvidjeli sutrašnje napade. Učinkovit sustav kibernetske sigurnosti AI može identificirati abnormalnosti ne oslanjajući se na povijesne napade, omogućujući mu da uistinu jedinstvene nove e-mailove uhvati pri prvom susretu - prije nego što slete u pristiglu poštu. (N.G.K.)