在衡量電子郵件安全解決方案的有效性時(shí)，有兩個(gè)標(biāo)準(zhǔn)高于其他標(biāo)準(zhǔn)。首先是準(zhǔn)確性問(wèn)題：該解決方案是否始終如一地捕獲惡意電子郵件，同時(shí)允許合法且無(wú)威脅的通信通過(guò)？或者用最簡(jiǎn)單的話來(lái)說(shuō)，它是阻止壞事而允許好事嗎？

在第一個(gè)標(biāo)準(zhǔn)中，決策者明智地考慮兩個(gè)微妙不同但同樣重要的問(wèn)題：它是否真的阻止了壞事（即它是否在正確的時(shí)間采取有意義的行動(dòng)），以及它是否阻止了真正的壞事（即它不僅捕獲了唾手可得的果實(shí)，而且捕獲了通常繞過(guò)網(wǎng)關(guān)的更高級(jí)的電子郵件威脅，例如可能花費(fèi)數(shù)萬(wàn)美元的受信任的第三方冒充攻擊）？

在考慮投資回報(bào) (ROI) 時(shí)，第二個(gè)因素通常沒(méi)有得到應(yīng)有的重視：產(chǎn)品需要 IT 團(tuán)隊(duì)投入多少時(shí)間和精力？網(wǎng)絡(luò)安全應(yīng)該成為 IT 專業(yè)人員和整個(gè)企業(yè)的推動(dòng)力，但在很多情況下，電子郵件工具會(huì)無(wú)意中阻止合法流量并篡改郵件流，從而增加人員團(tuán)隊(duì)的工作量并擾亂業(yè)務(wù)運(yùn)營(yíng)。

此博客解釋了基于AI 的電子郵件安全方法如何不僅提供更好的準(zhǔn)確性和捕獲率，而且還通過(guò)一種自我學(xué)習(xí)并幾乎立即生效的解決方案顯著縮短了獲得能力的時(shí)間。

領(lǐng)先時(shí)代

大多數(shù)組織繼續(xù)與傳統(tǒng)的“安全”電子郵件網(wǎng)關(guān)作斗爭(zhēng)，這些網(wǎng)關(guān)不僅錯(cuò)過(guò)了高級(jí)電子郵件攻擊，而且占用了 IT 安全人員的寶貴時(shí)間，他們很容易發(fā)現(xiàn)自己每周要花費(fèi) 20 多個(gè)小時(shí)來(lái)處理 PowerShell 腳本，查找和刪除收件箱中的惡意電子郵件，跟進(jìn)員工，并對(duì)工具進(jìn)行配置更改。那些乏味、影響不大的時(shí)間可以用來(lái)主動(dòng)提高安全性并掌握潛在威脅。

現(xiàn)在讓我們看看自主人工智能技術(shù)是如何處理電子郵件安全的。Antigena 電子郵件利用無(wú)監(jiān)督機(jī)器學(xué)習(xí)來(lái)“在工作中”學(xué)習(xí)，識(shí)別每個(gè)用戶和郵箱的“正常”行為。由于這種自學(xué)習(xí)方法，它無(wú)需任何調(diào)整即可適應(yīng)工作實(shí)踐的長(zhǎng)期變化，并且很容易區(qū)分惡意行為和簡(jiǎn)單的異常行為。Antigena Email 的發(fā)現(xiàn)以任何人都易于理解的方式進(jìn)行標(biāo)記和呈現(xiàn)：無(wú)論是您、您的新入門者還是您的執(zhí)行團(tuán)隊(duì)。

Antigena 電子郵件旨在讓您無(wú)需瀏覽冗長(zhǎng)的手冊(cè)或記住首字母縮略詞和定制術(shù)語(yǔ)。當(dāng)發(fā)生電子郵件安全事件時(shí)，它會(huì)安靜地處理它，而不會(huì)對(duì)更廣泛的業(yè)務(wù)產(chǎn)生影響。此外，它可以自動(dòng)顯示一個(gè)簡(jiǎn)單的、高級(jí)別的事件敘述，用日常語(yǔ)言告訴您您需要知道什么、電子郵件為什么不好，以及 Antigena Email 采取行動(dòng)的原因。

看護(hù)網(wǎng)關(guān)

讓我們回到網(wǎng)關(guān)一秒鐘。正如我們?cè)谥暗牟┛臀恼轮兴懻摰哪菢?，這些工具依賴于一系列信譽(yù)檢查來(lái)識(shí)別惡意電子郵件：它們單獨(dú)檢查每封電子郵件，運(yùn)行域、IP 地址以及針對(duì)一系列黑名單的任何文件哈希。然而，網(wǎng)絡(luò)犯罪分子很容易通過(guò)購(gòu)買數(shù)千個(gè)域名（通常每個(gè)只需幾美分）并縮短他們的攻擊周期來(lái)繞過(guò)這一點(diǎn)。正如以前從未見(jiàn)過(guò)的那樣，新域沒(méi)有聲譽(yù)，因此網(wǎng)關(guān)必須冒著錯(cuò)過(guò)新攻擊的風(fēng)險(xiǎn)，或者在每種情況下都承擔(dān)威脅并每周處理成百上千的誤報(bào)。

對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō)，這意味著必須不斷地監(jiān)控技術(shù)并“發(fā)布”被阻止的非威脅性電子郵件。

此外，網(wǎng)關(guān)經(jīng)過(guò)硬編碼以某種方式運(yùn)行，因此如果數(shù)字環(huán)境發(fā)生重大且不可預(yù)見(jiàn)的變化——例如突然過(guò)渡到遠(yuǎn)程工作——?jiǎng)t需要重新配置。在許多情況下，這可能是一項(xiàng)艱巨且耗時(shí)的任務(wù)。通過(guò)一系列復(fù)選框和切換按鈕，無(wú)需經(jīng)過(guò)適當(dāng)培訓(xùn)，IT 安全員工只需單擊一下即可在整個(gè)組織中大幅改變郵件流。說(shuō)他們?cè)谡務(wù)摫仨毭刻鞕z查的已處理電子郵件隊(duì)列時(shí)工作過(guò)度。組織認(rèn)為全面保護(hù)需要積極的策略和隨之而來(lái)的相關(guān)手動(dòng)工作。事實(shí)上，情況恰恰相反：激進(jìn)的策略使 IT 團(tuán)隊(duì)負(fù)擔(dān)過(guò)重，對(duì)組織的安全地位產(chǎn)生負(fù)面影響。

AI 電子郵件安全：設(shè)置并忘記它

將圖 1 與上面的危險(xiǎn)復(fù)選框進(jìn)行對(duì)比。在圖 1 中，做后端工作的是 AI，而不是用戶。每封電子郵件都在發(fā)件人、收件人、通信歷史、鏈接、一天中的時(shí)間和一長(zhǎng)串其他指標(biāo)的上下文中進(jìn)行分析。當(dāng)對(duì)數(shù)據(jù)提出數(shù)百萬(wàn)個(gè)問(wèn)題時(shí)，不可能嘗試對(duì)這些問(wèn)題進(jìn)行編程或完全理解審訊的水平。

當(dāng)識(shí)別出威脅時(shí)，AI 會(huì)根據(jù)威脅的性質(zhì)采取外科手術(shù)式和相稱的反應(yīng)，而不是大刀闊斧地做出反應(yīng)。該技術(shù)在幾分鐘內(nèi)安裝完畢，這就是它所做的所有配置和微調(diào)：然后系統(tǒng)會(huì)持續(xù)不斷地更新其對(duì)組織的理解，而無(wú)需人工干預(yù)。

為什么 IT 很重要

我們正面臨著日益嚴(yán)重的網(wǎng)絡(luò)技能短缺，甚至在大流行之前，安全團(tuán)隊(duì)往往很精簡(jiǎn)而且人手不足。轉(zhuǎn)向遠(yuǎn)程工作所帶來(lái)的工作實(shí)踐發(fā)生了巨大變化，這給 SOC 帶來(lái)了更大的壓力。尋找不僅準(zhǔn)確，而且可以為安全團(tuán)隊(duì)節(jié)省大量時(shí)間的技術(shù)，現(xiàn)在比以往任何時(shí)候都更加重要。

這導(dǎo)致成千上萬(wàn)的組織放棄他們現(xiàn)有的網(wǎng)關(guān)，轉(zhuǎn)而采用一種根本不同的電子郵件安全方法，在這種方法中，AI 承擔(dān)了重任，而不是過(guò)度緊張的 IT 團(tuán)隊(duì)。