RSAConference2021将于旧金山时间5月17日召开,这将是RSA大会有史以来第一次采用网络虚拟会议的形式举办。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。
前不久,RSA官方宣布了最终入选创新沙盒的十强初创公司:WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。
绿盟科技将通过背景介绍、产品特点、点评分析等,带大家了解入围的十强厂商。今天,我们要介绍的是厂商是:Abnormal Security。
一、公司介绍
Abnormal Security是一家来自美国的电子邮件安全公司,其主要业务包括保护企业和机构组织避免受到针对性的电子邮件攻击。公司于2018年4月成立,公司总部位于美国西海岸旧金山湾区,其创始人包括Evan Reiser以及Sanjay Jeyakumar,Evan之前在twitter负责领导产品和机器学习团队,Sanjay曾经在Google作为首席工程师负责搜索技术和Android版本发布。公司具备很好的技术背景,公司于2020年11月刚刚完成B轮融资,总金额达到5000万美元。公司为现在云办公环境提供安全保障,通过利用先进的AI技术对针对性的邮件攻击进行检测并对电子邮件进行保护,此外能够对企业、人员以及供应链进行攻击保护。
二、产品介绍
随着云计算环境的发展,电子邮件安全最近几年也在发生转变。Gartner在2020年发布了最新的《电子邮件安全的市场洞察》。报告中指出目前71%的企业在使用原生云或者混合云电子邮件,并且企业越来越多的依靠云环境中邮件SaaS服务的内置邮件保护功能。并预测指出到2023年,至少40%的机构组织将依靠云邮件服务提供商的内置邮件保护功能作为邮件防护的手段,而在2020年这一比例是27%。此外报告中指出90%的数据泄露事件是由人为因素造成的,而人为因素导致的数据丢失是最常见的数据泄露原因。
随着企业办公服务在云端部署的越来越多,邮件服务也不断迁移到办公云中。在云环境下很多企业经常受到黑客有针对性的邮件攻击,如钓鱼邮件、APT攻击等,而且邮件SaaS平台提供的邮件安全服务往往无法集成企业员工内部系统,例如ERP系统、Vendor管理系统。为此,基于企业级电子邮件安全面临的机遇与挑战,Abnormal Security公司提出了邮件安全防护的新方法,并基于云环境建立了Abnormal架构,具体如下图所示。
Abnormal Security提出的Abnormal架构包含5层结构,具体包括负责收集数据整合数据的Data Layer,利用AI技术进行数据分析的AI Analysis Layer,利用行为分析、关系分析进行智能融合的Business Insights Layer,利用机器学习模型进行AI决策的AI Decision Engine,以及最终落地的产品Application。
Data Layer是检测引擎的数据输入层,Abnormal Security的云原生架构已经能够与数十个平台进行数据集成,其中不仅仅包括Microsoft Office365,G Suite等云服务平台,而且也能够将企业本地侧的ERP、Vendor Management等系统数据进行整合收集。Abnormal通过整合多源数据到统一平台从而进行分析,并且能够提供跨平台的数据一致性保护。这样带来的好处是可以快速的一键式完成API集成,并且对于邮件流来说没有风险,同时不影响现有的安全工具,既能够支持用户自定义的开放式API集成到现有的SIEM或者SOAR中,实现标准的数据输入和响应处置;也可以支持开发者利用API自定义的拓展应用程序。此外为了能够在Microsoft平台上增强本地安全能力,利用Microsoft的API信息进行信息丰富。
在AI Analysis Layer,Abnormal利用大量的AI技术对API集成后的大量数据进行分析,其中用到的技术包括自然语言处理,计算机视觉,实体识别,文本分析,知识挖掘等。
Business Insights layer主要包括用户行为分析,组织关系分析以及供应链分析。关于用户行为分析,Abnormal是通过将企业中每个人的上千维数据进行归一化整理得到一个人的所有形式的身份信息(包括电话、电子邮件、设备id等),对个人的数据进行关联之后按照时间轴合并生成事件列表, AI分析系统会对每个人的多平台融合数据进行智能分析。Abnormal与组织架构系统进行集成,通过观察通信模式和行为来学习非正式的组织层次结构关系。组织关系分析不仅能理解企业组织内的架构关系,而且能够对跨组织间的关系进行学习理解。Business Insights Layer通过了解企业中的业务流程(例如审批流程、升级路径)来获取群落知识以及组织流程。通过对邮件等交流方式的分析理解,找出沟通过程中蕴含的关系和话题。供应链分析是Abnormal Security通过不断的深入了解与企业交互的第三方来映射出完整的供应链,这个过程中每个和第三方通信过程中发现的属性例如邮件、电话号、地址等信息都会被解析为一个特定的业务实体,业务实体最终会被映射到联系人和渠道信息,商业文件也会被识别和分析,并通过信息提取技术提取出业务属性,包括产品数据等信息。最终通过跟踪企业实体从而得到整个供应链关系。
Abnormal Security通过利用AI Decision Engine对异常行为和正常行为进行区分判别,通过利用机器学习集成模型建立正常业务基线并对异常行为进行检测,从而判断异常风险程度。为了能够让决策引擎的判别结果更加容易被人类理解,利用可解释的人工智能技术使得安全分析专家和决策引擎用户之间的理解达成一致。
三、产品特点
Microsoft Office365目前是应用最广泛的邮箱SaaS服务,其邮件安全防护主要包括Exchange Online Protection(EOP)和Advanced Threat Protection(ATP),EOP主要作为邮箱防护的基础功能为用户过滤垃圾邮件,检测恶意软件等;ATP主要作为Office365的升级服务可以提供自动响应和攻击模拟的防护能力,避免公司组织收到复杂的邮件攻击,例如网络钓鱼以及0day恶意软件等。但是由于在企业中Office365无法结合部门和跨职能之间的用户关系以及组织关系,因此无法对有针对性的邮件攻击例如内网钓鱼、网络欺诈、企业账户安全等更强的ATP攻击进行有效防护;另一种传统的邮件防护方式是SEG邮件安全网关,SEG邮件安全网关和Office365相比存在一定的安全防护特性的重复,例如垃圾邮件检测,恶意软件检测;此外SEG邮件安全网关也无法覆盖企业员工内部系统,例如ERP系统、Vendor管理系统,和Office365的集成对SEG来说目前还不支持。Abnormal Security孵化的产品不仅能够和Office365等邮件SaaS服务无缝集成,而且能够利用AI技术解决企业邮件攻击的检测和防护,不仅包括APT攻击、内部钓鱼、网络欺诈等。而且通过将ERP、Vendor管理系统的信息集成到产品中,可以支持对企业用户全方位的账户保护。对比Office365和SEG,Abnormal Security产品特点如下图所示:
- 使用人工智能决策引擎对商业电子邮件攻击进行检测并防护。以云原生模式和技术为基础,通过一键式API解决方案对针对性的邮件攻击进行阻止,避免手动检测安全事件的延时问题以及漏报问题。不仅能够防止内部钓鱼攻击,而且还能识别并禁用有威胁的供应商账户。
- 利用数据科学技术将云原生的API结构和数据相结合,通过对通信进行学习和检测,标记财务语言,利用计算机视觉技术可以将财务信息中的报告数据等进行识别,从而达到检测发票欺诈、供应链攻击的行为,避免对企业造成因邮件攻击引起的经济损失。
- 防止企业员工收到钓鱼邮件和链接,防止敲诈、恶意软件和勒索软件的攻击,避免垃圾邮件以及礼品诈骗等各种形式的诈骗行为。
四、总结
随着云环境的发展,越来越多的企业将业务迁移到云环境中,其中电子邮件业务也逐渐从传统邮箱方式向云环境进行转移。电子邮件安全也因此面临着新的挑战,越来越多的攻击者会针对企业或者机构组织进行针对性的电子邮件攻击,一旦在电子邮件中出现数据泄露或者被钓鱼等威胁的发生,都会给企业带来严重的利益损失。
目前Abnormal Security已经提出了一种针对云环境下的电子邮件防护技术来防御并组织恶意的电子邮件攻击,其产品的创新之处在于结合当前云原生环境的发展和需求,孵化出了基于AI人工智能技术的电子邮件安全防护机制。并且在基于用户行为分析和知识图谱构建的恶意电子邮件检测的基础上,实现事件自动化响应、邮箱账户泄露检测以及滥用邮箱检测等一系列电子邮件防护机制。但是笔者的顾虑是部署其防护平台的公司需要向Abnormal Security暴露过多的信息,不仅包括企业的机密信息也包括公司员工个人的隐私数据,这一过程是否导致产品在推广的过程中受阻或者是出现隐私泄露的问题。
Abnormal Security提出的邮件防护机制不仅能够无缝对接企业安全平台,也具备通过AI人工智能技术强大的学习能力,从而预测出偏离正常行为基线的异常行为。能够对企业邮件安全进行一站式服务,不仅适应当前技术的发展,也具备比较高的技术壁垒,笔者认为Abnormal Security未来前景很好,而且在本次RSA创新沙盒的竞争中具备很强的竞争力。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。