专栏首页绿盟科技研究通讯RSA 2020创新沙盒盘点| INKY—基于机器学习的恶意邮件识别系统

RSA 2020创新沙盒盘点| INKY—基于机器学习的恶意邮件识别系统

2020年2月24日-28日,网络安全行业盛会RSA Conference将在旧金山拉开帷幕。已经为大家介绍过入选今年创新沙盒的十强初创公司:Elevate Security 、Sqreen、Tala Security和AppOmni四家厂商了,今天将为大家介绍的是:INKY

一、公司介绍

INKY公司的总部位于马里兰大学公园,凭借独特的计算机视觉、人工智能和机器学习技术,INKY在电子邮件防护领域处于行业领先的地位。目前,该公司已经完成了三轮融资,共筹集了1183.5万美元。其最近的一次A轮融资在2019年11月,融资金额为600万美元。公司创始人Dave Baggett还与他人共同创立了ITA Software公司(ITA Software公司是业内领先的机票搜索公司,于2011年被谷歌以7.3亿美元收购,目前为谷歌Flights®提供支撑)。

INKY Phish Fence是该公司的旗舰产品,该产品是一个基于云计算的电子邮件安全平台。该平台能够像人一样理解电子邮件,分析其中的欺诈、钓鱼等恶意行为,以防止企业被恶意邮件攻击。

二、背景介绍

钓鱼邮件是最常见的网络威胁之一。大部分网络攻击都是以钓鱼邮件为切入点。Gartner的数据显示78%的网络安全事件中涉及到钓鱼邮件。传统钓鱼邮件的原理如图所示。

攻击者首先伪装成一个可信的实体给受害者发送邮件,并欺骗受害者点击电子邮件中的恶意链接或者下载恶意附件,从而导致受害者的主机被安装恶意软件,进而导致受害主机被勒索软件攻击或者数据泄露。

然而,当今网络钓鱼邮件正变得越来越具有迷惑性,所以即使经验丰富的安全人员也无法有效的对其进行分辨。其中,商业邮件失陷(Business Email Compromise ,BEC)每年造成12亿美金的损失。BEC攻击通常通过正常的商务流程,但会伪装成企业的员工、商业伙伴或供应商,通过社工手段窃取企业的资金或敏感数据。与传统的钓鱼邮件包含恶意链接或附件不同,BEC攻击者的邮件内容等是正常的,所以网络安全层面的检查无效。因为邮件安全引起的业务损失较高,应对BEC相关的安全产品成为Gartner 2019年十大项目之一。在相关的产品中,机器学习技术越来越多的被用来识别恶意邮件,并取得了较好的效果。

三、产品介绍

INKY Phish Fence是该公司的主打产品。该产品是基于云的电子邮件防护软件。基于特定领域的机器学习和计算机视觉技术,该产品可以识别并阻止多种恶意邮件,包括钓鱼邮件,诈骗邮件等。同时,该产品可以和多种电子邮件服务组件相结合,包括Exchange、Office 365、G Suite,为其提供全方位的防护。

1、Exchange:Exchange 是微软公司的电子邮件服务组件。INKY可以与Exchange无缝集成。INKY通过自动扫描所有内部和外部的电子邮件,寻找其中的钓鱼邮件、恶意邮件、垃圾邮件等。恶意电子邮件会被隔离。

2、Office 365:Office 365 是一种订阅式的跨平台办公软件,基于云平台提供多种服务。Office 365是很多钓鱼邮件攻击的主要目标。由于钓鱼手段的巧妙和狡猾,Office 365本身和传统的第三方安全系统并不能有效的检测到。INKY可以与Office 365无缝集成,具有针对Office 365平台的自定义实现。它集成起来又快又容易。INKY还可以分阶段部署,易于实施。

3、G Suite:G Suite是Google 在订阅基础上提供的一套协作软件工具。INKY可以与G Suite无缝集成,实现对恶意邮件,钓鱼邮件的准确检测。

INKY Phish Fence过滤每一封电子邮件。在最终呈现给用户的邮件中,该系统会在每一封邮件的顶部加上一个横幅(banner),来对邮件的安全性进行说明。

横幅是INKY Phish Fence的一大特色,如图所示。

不同风险程度的邮件用不同的颜色标识。其中,灰色横幅用于标识安全的邮件,黄色横幅用于标识谨慎打开的邮件,红色横幅用于标识危险邮件。在黄色和红色标识中点击“Details”链接可以进一步查看对邮件的描述。这些信息可以让用户了解他们的收件箱中存在的威胁。另外,这些信息可以让用户学习到更多的钓鱼邮件相关的知识,这往往比钓鱼邮件模拟测试更加有效。横幅中的“Report This Email”链接允许终端用户报告来自任何终端设备的有问题的电子邮件,而不需要特殊的客户端软件。INKY甚至整合了自然语言处理(NLP)算法来识别敏感内容,如电汇或发票付款请求、密码相关的电子邮件等,并在横幅中标注客户可配置的策略来对用户进行指导。

四、核心技术

传统的电子邮件安全解决方案通常只依赖于已知的攻击者数据库。INKY除了使用最新的数据库外,还使用机器学习和计算机视觉技术来检测钓鱼邮件,甚至捕捉零日的BEC钓鱼诈骗。超过24个计算机视觉和文本分析模型能够像人一样“看到”邮件信息,并捕捉人类可能会忽略的文本、类型和图像的异常。通过智能分析,可以检测出有问题的电子邮件。

钓鱼邮件检测:钓鱼邮件中往往包含有恶意链接。INKY对收到的电子邮件中包含的每个链接进行模拟点击,并检查相关的网页是否有钓鱼或其他恶意内容的特征。含有恶意网站链接的电子邮件会被标记告警或隔离。

恶意代码检测:HTML为电子邮件提供了更高级别的可配置性,但也使得在电子邮件中嵌入恶意可执行代码成为可能。默认情况下,INKY能够标识并阻止执行跨站点脚本攻击(XSS)、JavaScript和CSS攻击的代码。

可疑发件人检测:INKY的机器学习引擎可以通过行为特征和社交网络图谱来识别可疑的行为或身份。通过观察邮件在组织中的流动情况,INKY可以为所有的人创建行为档案。当INKY看到一封电子邮件的发件人的特征与学习到的特征不匹配时,它会发出告警,如图所示。

结果上报:INKY产品的一个独特的功能是可以在每封电子邮件中点击“Report this Email”链接。这意味着用户可以在不需要安装特定软件的情况下报告来自任何设备(web、手机、任何电子邮件客户端)的有问题的邮件。而大多数电子邮件保护软件只能在已安装特定软件的系统上工作。这样,INKY可以随时收到用户对检测结果的反馈,进一步完善其检测模型。

四、总结

随着钓鱼邮件越来越具有迷惑性,传统的基于规则的检测方法已经无法有效的进行检测。INKY公司的产品INKY Phish Fence采用机器学习技术对邮件进行智能分析,可以更加有效地识别钓鱼邮件。而部署在云端的检测系统使得企业部署更加灵活。同时,该产品可以与Exchange,Office 365和G Suite等办公软件无缝集成,能够为企业提供更加全面的防护。

· 参考链接 ·

[1] Gartner 2019十大安全项目:https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2019/

[2]https://www.crunchbase.com/search/funding_rounds/field/organizations/num_funding_rounds/arcode

[3] https://www.inky.com/

[4] Gartner Security & Risk Management Summit 2019

本文分享自微信公众号 - 绿盟科技研究通讯(nsfocus_research)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 主流云原生微服务API网关成熟度与安全功能对比分析

    在整个微服务架构中,API网关充当着非常重要的一环,它不仅要负责外部所有的流量接入,同时还要在网关入口处根据不同类型请求提供流量控制、日志收集、性能分析、速率限...

    绿盟科技研究通讯
  • Istio系列二:Envoy组件分析

    Envoy是Istio数据平面核心组件,在Istio架构中起着非常重要的作用,本文首先介绍Envoy的基本概念及工作流程,再从Istio的设计角度出发,对Env...

    绿盟科技研究通讯
  • Kubernetes网络初探

    随着容器技术的发展,越来越多的企业使用了容器,甚至将其应用于生产环境。作为容器编排工具的Kubernetes同样得到了广泛关注。

    绿盟科技研究通讯
  • Mac 窗口管理软件 Spectacle

    我个人使用的窗口管理软件是 Magnet(本人在 Mac 下付费的首款软件,记得是 6 元~),今天为大家介绍一款类似的开源软件。

    叨叨软件测试
  • Linux下科学计数法(e)转化为数字的方法 [shell中几种数字计算说明]

    科学计数法使用e标识数值,将科学计算学转化为数字的思路:按e右边的数字移动小数点位数。e右边的数字如果是负数,则向左移动小数点。示例如下:

    洗尽了浮华
  • Python内置函数sorted()和列表方法sort()的排序原理

    问题描述:在Python中,可以使用内置函数sorted()和列表方法sort()对数据进行排序,但要求所有数据支持关系运算符,也就是这些数据本身是可以比较大小...

    Python小屋屋主
  • 计算机视觉中的物体检测方法

    本文适合刚入门物体检测的人群学习,不涉及公式推理。 目录 *摘要 *相关物体检测数据集介绍 *现有的主流物体检测算法 *物体检测的难点与挑战 *相关术语介绍 *...

    张俊怡
  • 移动H5性能测试平台解决方案

    1 平台的目的 说到H5性能测试,大家想到最多的是在PC端利用Firebug、Fiddle和HttpWatch等工具进行测试和性能指标的分析,但是如果我们测试的...

    腾讯移动品质中心TMQ
  • 绕过网站安全狗拦截,上传Webshell技巧总结 | 附免杀PHP一句话

    *本文原创作者:1_2,本文属FreeBuf原创奖励计划,未经许可禁止转载 这篇文章我介绍一下我所知道的绕过网站安全狗上传WebShell的方法。 思路是:修改...

    FB客服
  • 【Elasticsearch全文搜索引擎实战】之Head插件实践 简介1. ES 5.0+ 版本Head插件安装2. 配置3. 启动4. 访问5. 安全问题(严重)6. 小结

    Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsear...

    mantou

扫码关注云+社区

领取腾讯云代金券