电子邮件安全初创公司Armorblox最新推出的高级数据防泄漏服务强调了利用人工智能的力量来保护诸如电子邮件的企业通信。
研究如何使自然语言(人使用的语言)代替像Java, C, 或者 Rust这样的构造语言(机器语言)而成为机器的工作语言是人工智能研究中最有趣的领域之一。自然语言处理(NLP)领域关注的是机器如何读取语言,并将其转换为一种具有标准结构的信息。而Armorblox股份有限公司引入其平台的自然语言理解(NLU)指的是理解语言并识别其表达的语境、意图以及情感。例如,对于“你敢骂我,等我有时间再找你算账!”这句话,NLP可能会字面意思上理解为“算账”,而NLU就可以分析出这是关于“打架”方面的。
Forgepoint Capital的总裁 Will Lin表示:“自然语言现在已经相当成熟了,并且在许多安全用例中都投入了使用,其中在检测与防护方面的成果尤为明显。NLP/NLU尤其适合帮助安全防护人员搞清楚他们在企业环境中拥有什么?”
Lin还表示:“公司及其客户制造了大量的数据。而NLP/NLU可以帮助他们弄清楚哪些是风险最大的数据,以及这些数据是如何在组织中流动的,并建立控制以防止其被滥用,这是非常宝贵的。”
企业电子邮件中的NLU
因为要推算出恶意意图往往是需要上下文的,而这些上下文又存在于每条消信息中,所以NLU 非常适合扫描企业电子邮件来检测并筛除垃圾邮件和其他的恶意内容。
Armorblox的联合创始人兼CPO, Anand Raghavan表示:“像邮件发送方的IP地址、域、以及邮件接收方等,这些元数据信息,结合着邮件正文和附件中的上下文,可以推断出邮件是否为良性。”并且多亏了谷歌和微软,在其邮件服务中提前帮助我们筛除了垃圾邮件以及网络钓鱼邮件,所以人们可以更好地利用机器读取他们的信息并筛除恶意信息。
Raghavan问:“你上次在Gmail中看到垃圾邮件是什么时候?”他指出:人们相信恶意信息已经被删除掉了。
Omdia的高级首席分析师,Fernando Montenegro表示:“除了过滤垃圾邮件,NLU还可以用于解析商业电子邮件诈骗”。在数据泄露事件中,90%都是基于电子邮件的网络钓鱼攻击。所以,安全团队致力于寻找一些方法,在用户接收到这些恶意信息之前,就将其过滤掉。
尽管安全意识培训是很有价值的,但是想要仅依赖培训来达到百分百的安全是不现实的。人类是具有权威偏见的,更倾向于信任例如老板的这类权威人士。而机器就不容易受到权威压力的影响,它更能够发现蛛丝马迹,识别出那些引导收件人向新地址发信息的邮件,并非真正来自CEO。
即使经过了大量的安全培训,也总会有那么一小部分用户会点开恶意连接,或者相信一些诈骗信息。Raghavan引用了保险公司AIG最近发布的一份报告,该报告显示:在网络安全相关的索赔中,最常见的就是商业电子邮件诈骗。
Raghavan表示,就算你再怎么进行安全培训,也总会有那么一小部分的恶意链接会成为漏网之鱼,被用户所点击。”这就是为什么我们需要利用技术,来在用户收到这些信息之前,就将其拦截。另外,还存在着另一种类型的攻击,即通过盗取已知供应商的的身份或者已知供应商的邮件地址,来向公司发送一个付款申请。对于接收方来说,这是一个已知且合法的联系人,并且支付方式的变动也不是什么新奇的事。所以,收信方往往会进行支付,他们也未能意识到资金其实是被转到了其他地方。仅依靠安全培训来检测此类欺诈信息是远远不够的,并且没有NLU能力的技术也很难识别出此类欺诈信息。
数据防泄漏中的NLU
Raghavan表示,Armorblox新推出的高级数据防泄漏服务,利用NLU来保护组织免受敏感信息被恶意泄露的危害。Armorblox通过分析电子邮件的内容与附件,来识别经过电子邮件渠道的敏感数据泄露实例。
Armorblox声称,相比于传统的数据防泄漏,NLU的引入可以使误报率降低10倍。
DLP原理非常简单,它只是检测关键信息是否会被发送给未经授权的收件人。传统上,DLP依赖于静态规则和正则表达式(regex)。例如,查找一些特殊关键词(如机密项目的代号)和九位数的字符串(疑似是社会安全号码)。
然而,仅靠以上这些是不够的,会漏掉许多东西。如果恶意发送方足够谨慎,特地避开了这些关键词,那么DLP就无法检测到该恶意消息。对于安全团队来说,不断地制定规则来捕捉每一个潜在的恶意消息是低效且耗时的。况且,有些规则还会造成一些误报。Raghavan指出:“如果DLP被配置为标记所有的包含9位数字符串的消息,那么这就意味着每条带有Zoom会议链接的消息都会被误标记为恶意信息。”
Raghavan表示:“理解消息的内容是关键,这就是为什么说NLU是为DLP量身打造的。”NLU的投入使用,意味着DLP引擎无需再通过手工更新规则。随着DLP对所输入信息的不断学习,规则策略将会不断地自动更新。
网络安全中的NLU
Raghavan表示:“Armorblox正在考虑拓展电子邮件以外的其他类型的企业信息平台,例如Slack。”并且NLU和NLP也可以应用于电子邮件和通信之外的其他领域。Lin表示:“在云端对数据对象进行分类也是一个比较常见的用例,这对许多事件响应和合规性工作流提供了动力。”Forgepoint Capital的两家投资公司 Symmetry Systems 和 DeepSee 目前正在利用NLP模型来帮助构建分类器和知识图谱。
Montenegro表示:“NLU还可以被用来解析信息披露或错误报告中的漏洞描述。并在一定程度上优化操作,从而更好地解析请求。”
Lin 和 Montenegro都强调:“要使NLU和NLP普遍应用于网络安全领域,还有很多工作需要做。”Montenegro表示:“即便如此,NLU的普遍应用也很困难,它偏离用例太远,并且会使事情崩溃。”
随着电子邮件诈骗手段的不断升级,DLP单纯地通过检测特殊关键词已无法准确识别那些经过演化的恶意消息。而NLU的主要作用就是对消息内容进行分析并补全上下文,从而提取出发信人的真实意图。因此,引入NLU对DLP来说,不仅提高了效率,同时也降低了误检率。可以说,在一定程度上NLU就是为DLP量身打造的。
参考阅读
电子邮件安全与品牌保护公司Red Sift B轮融资筹集5400万美元
原文始发于微信公众号(数世咨询):利用NLU优化DLP提高邮件安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论