HTCinside
Angriffe über E-Mails werden gezielter und personalisierter. Cyberkriminelle haben damit begonnen, Menschen nicht wegen allgemeiner Themen, sondern wegen Trendthemen anzusprechen, die das Interesse des Ziels mit Sicherheit wecken. Bei all der Panik, die um das neuartige Coronavirus kursiert, ist COVID-19 der neue Köder.
An COVID gerichtete E-Mails werden an Personen gesendet, um Personen dazu zu bringen, bösartige Links zu öffnen und darauf zu klicken, die nicht so angezeigt werden. Bei diesem jüngsten Versuch werden E-Mails so getarnt, dass sie vom Center for Disease Control and Prevention stammen und ankündigen, dass es einige Notfallinformationen über das Virus gibt.
Damit wird die Angst der Menschen vor dem Virus ausgenutzt.
Während die eigentliche Prämisse nicht neu ist, entsteht das Problem, weil neue Wörter vorhanden sind, die an den bestehenden Filtern vorbeikommen, und weil es keine vorhersagbaren Muster gibt, die die Erstellung neuer Regeln unterstützen, um solche E-Mails zu stoppen.
Darüber hinaus gibt es auch eine Nichtübereinstimmung der Links mit dem angezeigten Text, was ebenfalls zu Fehlalarmen führt und diese E-Mails passieren lässt.
Derzeit verwenden die meisten Organisationen Secure Email Gateways, um die Bedrohungen in den von E-Mail-Anbietern empfangenen E-Mails zu analysieren und zu identifizieren. Diese werden auch als Spam-Erkennungs-Engines verwendet, bei denen schädliche E-Mails identifiziert und kontrolliert werden.
Es ist jedoch zu sehen, dass sie an dieser Identifizierung scheitern, wenn die E-Mails beginnen, personalisierte Angriffe zu verwenden, oder sogar wenn sie geringfügig von den vorherigen Modi abweichen. Hier ist zu sehen, dass die meisten dieser E-Mails die Verteidigung von Mimecast, Proofpoint, Microsofts ATP usw. passiert haben.
Die Secure Email Gateways, kurz SEGs, arbeiten nur im Nachhinein, das heißt, sie können erst nach der Zustellung aus den E-Mails lernen. Mit anderen Worten, SEGs arbeiten mit einer Liste von IPs, die bekanntermaßen fehlerhaft sind.
Damit fortschrittliche Technologien zur Erkennung von Anomalien oder maschinelles Lernen zum Einsatz kommen, müssen erhebliche Mengen ähnlicher E-Mails versendet werden. Dies wird zu einem Problem, da festgestellt wird, dass diese E-Mails eine Mischung aus Domänen enthalten, nur um zu vermeiden, dass irgendein Muster erkannt wird, wodurch die Fähigkeit von SEGs, IPs in ihre „schlechte“ Liste aufzunehmen, nutzlos wird.
Lesen -Hacker können die Intel-CPU-Spannung optimieren, um Kryptowährung zu stehlen
Um den Mängeln des SEG entgegenzuwirken, kann es sich auf etwas namens Sandboxing verlassen, das im Wesentlichen eine isolierte Umgebung schafft, um verdächtige Links zu testen und die Anhänge in den E-Mails zu überprüfen.
Aber selbst dies greift zu kurz, da die potenziellen Bedrohungen Ausweichtaktiken verwenden, wie z. B. eine Aktivierungszeit, bei der die Bedrohung nach einer festgelegten Zeit „aktiviert“ wird und es ihr ermöglicht, an der vorhandenen Abwehr vorbeizuschlüpfen.
Es gibt jedoch einen neuen Ansatz, der stattdessen verwendet werden kann. Cyber-KI stützt sich auf den Geschäftskontext und versteht, wie Unternehmen geführt werden, anstatt sich nur isoliert auf E-Mails zu konzentrieren.
Dies geschieht, indem der KI ermöglicht wird, ein „Selbst“ zu entwickeln, um anormale Aktivitäten zu bekämpfen, die eine Bedrohung darstellen könnten. Dies hilft der KI auch, das Verhalten außerhalb des Netzwerks zu verstehen, und bereitet sie auf neue Angriffe vor, die auftreten könnten, während sie gleichzeitig ein Verständnis auf Unternehmensebene erhält.