電子郵件不僅用于內部交流，它還被用于市場營銷以及與投資者和商業伙伴往來的重要工具。作為交流的一種方式，它的熟悉性和多功能性無與倫比。在正式和非正式情況下均可使用，它可以包含冗長的文本內容和相對較大的不同類型的文件附件。但是，正是這種受歡迎程度和靈活性，使電子郵件成為黑客攻擊的常見目標。通過電子郵件可以進行大量的網絡釣魚活動和惡意軟件分發。

企業意識到這一現實，因此他們強制實施安全措施。實際上，許多企業級云平臺會自動掃描電子郵件中的惡意軟件。但是，不幸的是，要檢測和防止威脅絕非易事，尤其是在安全系統首次遇到新威脅時。

　　初次相遇中的高失誤率

初次接觸使電子郵件安全工具的失誤率特別高。當前的領先安全工具通常是有效的，除非它們面對未知的攻擊或首次遇到的攻擊。這些都是我們可以從最新發布的有關電子郵件安全系統有效性的研究中得出的結論。

研究發現，電子郵件安全解決方案在首次遇到時無法正確識別或阻止威脅。

更糟糕的是，安全系統需要24到48小時才能充分了解未知威脅并有效地阻止它們。就網絡安全而言，這是一個非常長的時間，因為成功完成電子郵件攻擊只需幾秒鐘或幾分鐘。

想象一下，當威脅持續一天以上沒有受到威脅時，大量勒索軟件，間諜軟件，廣告軟件和欺騙性方案就會進入單個計算機或網絡。

處理未知威脅時的高檢測失敗率以及第一次遇到后的較長檢測時間使得必須重新考慮企業的電子郵件威脅檢測模型。鑒于越來越多的新的或未知的網絡威脅，安全公司需要改進用于保護電子郵件的策略。

　　電子郵件安全的主要模型

大多數安全系統都通過威脅簽名，沙箱和機器學習等技術來保護電子郵件。他們收集簽名或標識符，用于確定文件或活動是否有害或異常。

另一方面，安全工具利用沙箱將應用程序與關鍵系統隔離。這樣可以防止惡意軟件在設法滲透時立即訪問系統資源。現代電子郵件安全系統還集成了機器學習功能，可以更有效地檢測和預防威脅。

他們可以根據自己匯編的歷史數據自動學習如何對某物是否構成威脅做出有根據的猜測。

這些方法通常效果很好，但是測試表明它們存在致命缺陷：未知威脅。未知或身份不明的惡意軟件的興起使電子郵件安全性變得不那么可靠。甚至行業領先的電子郵件保護系統都具有這種致命弱點。

前面提到的研究證明了過濾威脅的有效性降低的現實。這項于2019年10月開始的實證研究測試了Microsoft的Office 365 ATP和瀏覽器的企業版。

　　有效性降低和研究

該研究要求不斷收集新的惡意文件，并對其進行修改以產生可作為新威脅的變體。然后，將新收集的惡意文件及其變體發送到受Office 365 ATP保護的電子郵件中。監視電子郵件帳戶，并記錄和分析有關漏檢和TTD的信息。

發送到受保護電子郵件的所有惡意文件都經過了驗證，以確保檢測失敗確實是失敗，而不僅僅是標識錯誤的情況。如果未檢測到有害文件，則將它們再次發送，直到將其檢測到并停止為止。

測試發現，Office365 ATP在七個星期內的未命中率在15%到31%之間，平均未命中率是23%。G Suite的平均未命中率為35.5%，因此情況沒有任何好轉。表現最差的是第一周，錯過率為45%。

關于TTD，Office365平均需要48小時，而G Suite需要26.4小時。這意味著當重新發送這些未檢測到的惡意文件時，它們分別平均需要花費兩天和一天的時間才能正確檢測它們最初丟失的有害文件。

　　檢測中不可避免的差距

令人震驚的是，互聯網上最負盛名的名字未能檢測到多達45%的威脅，而且他們花了一天多的時間來重新訓練其防御能力并成功攔截早先被錯誤分類為安全的威脅。當接受相同的測試時，不太受歡迎的安全解決方案的性能可能會大大降低。

當然，安全系統不應期望在首次遇到時立即檢測到威脅。在正確發現并阻止威脅之前，最多可以有三個檢測間隙。

第一個是從第一次接觸到使用信譽服務將潛在威脅與簽名數據庫匹配的時間。這是威脅檢測的基本過程。根據從各種來源收集的數據來識別有害的附件。

第二個差距是從威脅搜尋階段無法正確識別惡意文件的時間到進行另一階段以限定潛在威脅的惡意程序的時間。例如，可能的異常附件可能被允許通過，因為它被認為僅僅是營銷活動。更深入的檢查可能會發現營銷方面掩蓋了嚴重的異常情況。

當在第二個間隙之后仍未檢測到威脅，直到添加了新的機制來檢測到威脅為止時，出現第三個間隙。所有這些差距代表了安全系統最薄弱的環節，因此容易受到攻擊。

　　對新模型的需求

難以檢測未知攻擊的主要原因是安全系統的數據驅動特性。它們中的大多數依賴于有關已知威脅的信息。他們必須等待威脅特征碼的更新，才能執行正確的檢測。

這并不意味著數據驅動的檢測是錯誤的。關鍵是它需要與其他策略一起增強。隨著網絡犯罪分子利用人工智能和機器學習來自動化新惡意軟件和其他威脅的產生，在沒有范式轉變的情況下，未知攻擊的問題將變得更加嚴重。

攻擊者可能會制造出多種現有威脅的變種，大多數系統將其簡單地視為未知威脅。

安全策略不應過于關注威脅數據庫。相反，最好合并一個與威脅無關的檢測引擎。不必完全依賴威脅簽名，而是可以為應用程序建立呈現某些文件或鏈接的“干凈執行流程”模型。

這些模型主要由列入白名單的CPU級別的代碼執行流組成，這些流作為基準來確定文件的正常處理或良性處理。然后掃描文件并將其與干凈執行流程的模型進行比較。如果它們的處理方式與現有的干凈執行模型不一致，則將文件分類為威脅，從而將其阻止或隔離。

網絡罪犯毫不留情，會毫不猶豫地取得成功。他們知道如何使新技術發揮自己的優勢，尤其是使用AI，以產生大量未知威脅的變體，這是電子郵件安全性的主要弱點。

要阻止它們，僅依靠依賴數據的系統是不夠的。企業可以從使用模型驅動的方法中受益匪淺。安全系統無需依賴威脅簽名更新，而可以檢查應用程序在面對潛在的惡意文件時如何做出反應/運行。只有那些與已建立的正常運行模型匹配的設備才被認為是安全的。想了解更多網絡安全的信息，請繼續關注中培偉業。