Proteggere gli utenti da attacchi mirati via e-mail che eludono il rilevamento tradizionale utilizzando la protezione avanzata delle e-mail basata sull’intelligenza artificiale
La posta elettronica continua a essere la linfa vitale delle comunicazioni aziendali, ma è diventata anche un vettore primario di attacchi informatici che minacciano le imprese. Poiché la protezione contro lo spam, i virus e le minacce informatiche note è diventata di uso comune, i criminali informatici hanno spostato le loro tattiche verso attacchi mirati che sfruttano la fiducia delle persone e rappresentano minacce meno ovvie. Oggi gli attacchi via e-mail sono focalizzati su aziende e utenti specifici ed eludono il rilevamento tradizionale adottando tecniche avanzate e prendendo di mira la natura umana.
Gli avversari ricercano i loro obiettivi, mascherano i payload creando domini zero-day con reindirizzamenti e spesso impersonano parti fidate per rubare denaro e dati. Gli aggressori rinunciano anche ai payload, concentrandosi invece su messaggi socialmente modificati, creati appositamente per indurre le vittime a compiere determinate azioni, ad esempio offrendo in modo fraudolento carte regalo iTunes. Le e-mail dannose vengono ora inviate da domini affidabili come Gmail e Yahoo per superare i controlli di autenticazione. I motori di protezione delle e-mail basati esclusivamente su firme o metadati non sono più sufficienti a proteggere le aziende da questi attacchi avanzati.
AI Guardian di EagleMercury adotta un approccio data science alla protezione delle e-mail per bloccare attacchi mirati come l’impersonificazione, la frode sulle buste paga, la frode sulle fatture e il phishing con credenziali zeroday. Grazie alla comprensione del linguaggio naturale (NLU), il motore di rilevamento di AI Guardian analizza migliaia di segnali attraverso l’identità, il comportamento, la lingua e i dati sulle minacce globali per intercettare gli attacchi che non vengono presi in considerazione dalle soluzioni tradizionali.
Questa ampiezza e profondità di rilevamento consente ad AI Guardian di classificare le minacce in categorie predefinite con elevata precisione. Queste minacce vengono corrette automaticamente utilizzando azioni configurabili (eliminazione, quarantena) per ogni categoria di minaccia. AI Guardian sfrutta modelli di apprendimento automatico (ML) personalizzati per un’organizzazione che aggiornano continuamente le linee di base storiche e riducono i falsi positivi nel tempo.
Questo documento riassume le sfide attuali in materia di sicurezza delle e-mail e illustra come AI Guardian protegge dagli attacchi mirati.
Il nuovo volto degli attacchi via e-mail
Gli attacchi via e-mail sono vecchi come la posta elettronica stessa e gli aggressori hanno sempre sviluppato nuove tattiche con la maturazione delle capacità di sicurezza nel corso degli anni. Sebbene gli attacchi “click-and-run” come lo spam e le campagne di phishing di massa esistano ancora, gli aggressori non dedicano molto tempo alla loro realizzazione e possono essere bloccati efficacemente dai controlli di sicurezza tradizionali. Ma i criminali informatici si sono spostati verso attacchi via e-mail che eludono il rilevamento basato su metadati, non hanno payload binari “buoni o cattivi” e sono finemente realizzati per premere tutti i tasti psicologici giusti delle loro vittime. Questi attacchi, classificati in generale sotto il nome di Business Email Compromise (BEC), si sono moltiplicati nel corso degli anni fino a creare un oceano di miliardi di dollari. Il rapporto IC3 del 2022 del Federal Bureau of Investigation ha rilevato che negli ultimi cinque anni sono stati persi oltre 43 miliardi di dollari in attacchi BEC.
Gli attacchi mirati – sia nell’ambito della categoria BEC sia al di fuori di essa – presentano solitamente queste caratteristiche:
- Guidati dalla ricerca dell’obiettivo: Gli attacchi mirati evitano l’approccio dispersivo dei tentativi di phishing di massa e sono il risultato di un ampio lavoro di base e di ricerca condotto dall’aggressore. L’aggressore conosce il nome della vittima, la sua posizione lavorativa, il suo responsabile e talvolta anche i giorni in cui non sarà in ufficio.
- Nessun payload dannoso: Gli attacchi mirati raramente includono URL o allegati che contengono payload dannosi noti, soprattutto nella prima e-mail. I payload possono talvolta essere introdotti alla fine delle catene di e-mail, dopo che l’aggressore ha guadagnato la fiducia della vittima. È più probabile che il “carico utile” si trovi all’interno del contenuto stesso dell’e-mail, ovvero che le richieste siano incorniciate come se provenissero da una persona legittima conosciuta dalla vittima.
- Regole e metadati non bastano: Poiché gli attacchi mirati hanno una tecnica più da cecchino che da mazza, i metadati e le regole binarie non sono sufficienti per segnalare queste e-mail. Queste tecniche di protezione portano a una marea di falsi positivi (se sono troppo rigide) o lasciano che attacchi finemente realizzati sfuggano alla loro presa (se non sono abbastanza rigide).
- Ingegnerizzati a livello sociale: Gli attacchi mirati sfruttano la natura umana tanto quanto, se non più, dei controlli di sicurezza. Facendo leva su trucchi psicologici antichi come l’urgenza, l’autorità, la persuasione e la paura, il linguaggio di queste e-mail fa sì che le vittime “vogliano” agire senza pensarci troppo.
Funzionalità di AI Guardian per la protezione avanzata delle e-mail
AI Guardian è un nuovo livello di sicurezza e-mail aggiuntivo per EagleMercury AI Email Protection che protegge le comunicazioni e-mail dei clienti EagleMercury utilizzando la comprensione del linguaggio naturale, l’intelligenza artificiale e tecniche avanzate di data science. AI Guardian analizza migliaia di segnali tra identità, comportamento, lingua e dati sulle minacce globali. Le minacce e-mail vengono classificate in base a categorie di rilevamento predefinite e quindi corrette automaticamente (eliminazione, quarantena) in base ad azioni configurabili. AI Guardian rileva anche le e-mail con informazioni sensibili PII/PCI per aiutare le organizzazioni a rimanere conformi alle normative sulla privacy del settore.*
Le tabelle seguenti illustrano le funzionalità di AI Guardian.
Esperienza dell’Utente finale
AI Guardian, protezione avanzata delle e-mail, informa e istruisce gli utenti in tempo reale quando si incontrano e-mail sospette.
Etichette sulle e-mail sospette
Le e-mail sospette possono essere etichettate in modo che gli utenti possano identificare chiaramente quali sono le e-mail pericolose nella loro casella di posta.
Cartella di quarantena per le e-mail sospette
A seconda del rischio percepito, le e-mail possono essere messe in quarantena in una cartella separata, in modo che gli utenti finali non rispondano accidentalmente a tali e-mail. Come nel caso delle cartelle spam, gli utenti possono accedere alla cartella di quarantena se stanno cercando qualcosa di specifico, ma altrimenti queste cartelle forniscono un livello di protezione che impedisce agli utenti di rispondere alle e-mail sospette.
Tag sulle e-mail sospette
La formazione sulla sicurezza ha un valore limitato. Gli utenti si desensibilizzano alle campagne di sensibilizzazione sul phishing simulato o, peggio ancora, iniziano ad avvisarsi a vicenda di attacchi simulati, vanificando lo scopo della campagna di sensibilizzazione. I tag che insegnano all’utente perché un’e-mail sospetta che ha ricevuto legittimamente nella sua casella di posta elettronica è negativa sono un approccio molto migliore. I body tag aiutano gli utenti a comprendere i segnali di cui devono essere consapevoli quando esaminano le e-mail per verificarne la veridicità.
Motore di rilevamento basato sulla lingua identificata
Gli attacchi mirati via e-mail di solito non hanno una chiara bandiera rossa: per determinare questi attacchi è necessaria una confluenza di segnali, tecniche di rilevamento e fonti di dati.
Segnali di rilevamento
Il motore di rilevamento di AI Guardian, protezione avanzata delle e-mail, utilizza un ampio spettro di segnali che comprendono:
- Identità: I controlli di sicurezza delle e-mail devono analizzare in modo esaustivo l’identità degli utenti per evitare tentativi di impersonificazione e spoofing. AI Guardian, protezione avanzata delle e-mail, analizza i nomi degli utenti, i ruoli, i browser e i client comunemente utilizzati, gli alias di posta elettronica e così via.
- Comportamento: L’identità è una parte fondamentale dell’analisi delle e-mail, ma questi segnali possono diventare rumorosi se usati isolatamente. È importante anche analizzare ciò che gli utenti fanno, creare una linea di base del comportamento e studiare eventuali anomalie rispetto a questa linea di base per rilevare con precisione gli attacchi mirati e i movimenti laterali. AI Guardian, protezione avanzata delle e-mail, analizza i modelli di comunicazione di un utente con i destinatari interni ed esterni, i domini comuni con cui l’azienda interagisce, le località e gli indirizzi IP comuni da cui gli utenti si collegano e così via.
- Linguaggio: Se i criminali informatici sono in grado di mascherare la propria identità e/o il proprio comportamento, la comprensione del linguaggio delle e-mail e dell’intento che le sottende può identificare i segnali che bloccano un attacco pernicioso. AI Guardian, protezione avanzata delle e-mail, analizza il linguaggio delle e-mail, compresi gli allegati, per identificare richieste insolite, toni di urgenza o paura, se l’e-mail tratta argomenti finanziari e così via.
- Dati globali sulle minacce: AI Guardian, protezione avanzata delle e-mail, si integra nativamente con diversi feed di minacce per ottenere informazioni in tempo reale sulle minacce. AI Guardian , protezione avanzata delle e-mail, sfrutta anche i dati anonimizzati di un modello di frode globale, che gli consente di acquisire gli insegnamenti sugli attacchi di un cliente e di applicarli a tutti i clienti.
Tecniche di rilevamento
AI Guardian, protezione avanzata delle e-mail, utilizza un ampio spettro di tecniche di rilevamento classiche e all’avanguardia per bloccare gli attacchi mirati via e-mail. Come livello difensivo aggiuntivo e sofisticato insieme a EagleMercury Email Protection, le tecniche di rilevamento di AI Guardian consentono di ottenere una protezione più olistica contro i vari attacchi via e-mail.
- Tecniche statistiche:
Il clustering e il rilevamento delle anomalie aiutano a identificare i comportamenti al di fuori delle norme stabilite (ad esempio, accessi insoliti o anonimi all’indirizzo IP al di fuori delle sedi di lavoro e di casa). - Apprendimento automatico tradizionale:
I classificatori multimodali classificano le e-mail in gruppi specifici (ad esempio, distinguendo tra un’e-mail di marketing, un’e-mail relativa alle buste paga e un’e-mail con una fattura). - Apprendimento profondo:
Le reti neurali ricorrenti e la memoria a breve termine (LSTM) apprendono dai dati di formazione per prevedere le e-mail fraudolente e sospette. - Comprensione del linguaggio naturale:
Il riconoscimento delle entità, l’analisi dei sentimenti e dei toni, la risoluzione delle coreferenze e l’etichettatura dei ruoli semantici consentono di rilevare gli attacchi in base al contesto. - Analisi delle immagini:
Esegue la scansione di fatture sospette e di schermate di accesso fasulle utilizzando tecniche di analisi delle immagini e di computer vision.
Sistemi di autoapprendimento
Finché la posta elettronica rimarrà un veicolo critico per la comunicazione, gli aggressori cercheranno di evolvere le loro tecniche per aggirare le misure di sicurezza conosciute. Strappare e sostituire l’intero stack di sicurezza delle e-mail ogni pochi anni non è un approccio efficiente alla sicurezza. AI Guardian sfrutta modelli di apprendimento automatico personalizzati per ogni organizzazione per un approccio al rilevamento delle minacce di rilevanza aziendale che migliora continuamente.
- Apprendimento tra le organizzazioni:
AI Guardian, protezione avanzata delle e-mail, utilizza i segnali anonimizzati di tutte le organizzazioni come dati di addestramento per i suoi modelli globali di apprendimento automatico e di previsione delle frodi, per offrire una protezione dalle minacce via e-mail ampia e lungimirante. Alcuni attacchi BEC partono da un settore (ad esempio, servizi finanziari o amministrazioni locali) e vengono poi replicati in altri settori. Un modello che apprende attraverso le organizzazioni e i settori riduce al minimo questo vantaggio degli aggressori. - Apprendimento all’interno delle organizzazioni:
Se l’apprendimento tra le organizzazioni offre ampiezza, la creazione di modelli di autoapprendimento personalizzati per ciascuna organizzazione offre profondità. AI Guardian, protezione avanzata delle e-mail, utilizza modelli personalizzati che tengono conto del volume e della natura delle interazioni via e-mail, della frequenza delle comunicazioni tra i reparti, del contesto legittimo dei fornitori terzi e di altri dati per fornire un rilevamento delle minacce via e-mail ad alta fedeltà. - Apprendimento incentrato sull’utente:
Il livello di apprendimento più mirato e forse più profondo deriva dallo studio dell’identità, del comportamento e dei segnali linguistici dei singoli utenti. AI Guardian, protezione avanzata delle e-mail, costruisce modelli per ogni utente. Questi modelli tengono conto degli argomenti di cui gli utenti discutono, delle loro posizioni di accesso comuni, delle persone con cui comunicano di frequente, dei loro stili di scrittura e di altri segnali specifici dell’utente.