HTCinside
Útoky přes e-maily jsou stále více cílené a personalizované. Kyberzločinci se začali zaměřovat na lidi nikoli přes obecná témata, ale na trendy témata, která zaručeně vzbudí zájem cíle. Přes veškerou paniku, která kolem nového koronaviru koluje, je COVID-19 novou návnadou.
E-maily zaměřené na COVID jsou lidem rozesílány ve snaze přimět lidi, aby otevírali a klikali na škodlivé odkazy, které se tak nejeví. V tomto posledním pokusu jsou e-maily maskované jako zprávy z Centra pro kontrolu a prevenci nemocí, které oznamují, že existují nějaké nouzové informace o viru.
Jde o krok ke zneužívání strachu lidí ohledně viru.
I když skutečná premisa není nová, problém nastává kvůli přítomnosti nových slov, která projdou stávajícími filtry, a protože neexistují žádné předvídatelné vzorce, které by napomohly vytvoření nových pravidel k zastavení takových e-mailů.
Dále je zde také nesoulad odkazů se zobrazovaným textem, což také vede k falešným poplachům a umožňuje, aby tyto e-maily prošly.
V současné době většina organizací používá zabezpečené e-mailové brány k analýze a identifikaci hrozeb v e-mailech přijímaných poskytovateli e-mailu. Ty jsou také využívány jako motory pro detekci spamu, kde jsou škodlivé e-maily identifikovány a kontrolovány.
Je však vidět, že v této identifikaci selhávají, když e-maily začnou používat personalizované útoky, nebo dokonce když se mírně odchylují od předchozích režimů. Zde je vidět, že většina těchto e-mailů prošla obranou od Mimecast, Proofpoint, Microsoft ATP a tak dále.
Zabezpečené e-mailové brány, neboli SEG, fungují pouze zpětně, to znamená, že se mohou učit až z e-mailů poté, co byly doručeny. Jinými slovy, SEG fungují na seznamu IP, o kterých je známo, že jsou špatné.
Aby se zavedly pokročilé technologie detekce anomálií nebo strojového učení, je potřeba rozesílat značné objemy podobných e-mailů. To se stává problémem, protože je třeba poznamenat, že tyto e-maily obsahují směs domén, jen aby se zabránilo realizaci jakéhokoli vzoru, který by zbytečným SEG umožnil zahrnout IP adresy na jejich „špatný“ seznam.
Přečtěte si -Hackeři mohou vyladit napětí procesoru Intel, aby ukradli kryptoměnu
Aby čelil nedostatkům SEG, může se spolehnout na něco, co se nazývá sandboxing, což v podstatě vytváří izolované prostředí pro testování podezřelých odkazů a ověřování příloh v e-mailech.
Ani to však nestačí, protože potenciální hrozby používají taktiku úniku, jako je doba aktivace, kdy se hrozba „aktivuje“ po uplynutí stanovené doby, což jí umožňuje proklouznout přes existující obranu.
Existuje však nový přístup, který lze místo toho použít. Kybernetická umělá inteligence se opírá o obchodní kontext a rozumí tomu, jak korporace fungují, místo aby se zaměřovala pouze na e-maily v izolaci.
Toho se dosáhne tím, že se AI umožní vyvinout „já“ pro boj s abnormální činností, která by mohla představovat hrozbu. To také pomáhá AI porozumět chování mimo síť a připravuje ji na nové útoky, které se mohou objevit, a zároveň jí dává porozumění na podnikové úrovni.