E-Mail ist das Lebenselixier der meisten Unternehmen, daher ist es nicht verwunderlich, dass E-Mail-Angriffe immer wieder zu den größten Sorgen zählen, mit denen CISOs konfrontiert sind. Bis zu 94 % der Phishing-Angriffe werden per E-Mail zugestellt, wobei Angreifer dieses wichtige Geschäftstool immer noch als ihre bevorzugte Methode bevorzugen, um Zugang zu den Netzwerken der Opfer zu erhalten. Nach Angaben des FBI Internetkriminalitätsbericht 2020 XNUMX, verursachten geschäftliche E-Mail-Angriffe, zu denen sowohl Spear-Phishing als auch Whaling gehören, Verluste in Höhe von 1.8 Milliarden US-Dollar.
Das Verletzung von SolarWinds Orion, der Kaseya-Angriffund zuletzt die Log4j-Schwachstelle alle unterstreichen die verheerenden Folgen erfolgreicher Angriffe auf die Lieferkette. Anbieter-E-Mail-Kompromittierung, die sich auf die Kontoübernahme von Parteien bezieht, die regelmäßig mit einer Organisation kommunizieren, ist heute eine der schwerwiegendsten E-Mail-basierten Bedrohungen. Diese Drittparteien haben oft eine schwächere Sicherheit als das beabsichtigte Opfer und ermöglichen Angreifern, sobald sie kompromittiert sind, diese vertrauenswürdige Beziehung zu nutzen, um die Zielumgebung zu kompromittieren. Solche Bedrohungen erfordern fortschrittliche Schutztechniken wie künstliche Intelligenz (KI).
Traditionelle Verteidigung ist nicht genug
E-Mail ist seit langem ein attraktives Ziel für Angreifer; daher verfügen die meisten Organisationen zumindest über ein gewisses Maß an Schutz. Dennoch bahnen sich bösartige E-Mails immer noch ihren Weg an diesen Abwehrmechanismen vorbei und gelangen in die Posteingänge der Benutzer. Von dort aus verleiten sie das Opfer oft dazu, einen Anhang oder einen Link zu öffnen, wodurch eine Kette von Ereignissen ausgelöst wird, die letztendlich dazu führt, dass das Gerät kompromittiert wird.
Legacy-E-Mail-Schutz konzentriert sich auf die Erkennung von Indikatoren, die als bösartig bekannt sind. Die E-Mail kann beispielsweise von einer verdächtigen Domäne stammen, einen Link zu einer schädlichen Website enthalten oder einen Anhang mit einer Signatur enthalten, die der von bekannter Malware entspricht. Diese Techniken können nicht vor E-Mail-Bedrohungen schützen, die von vertrauenswürdigen Parteien gesendet werden, oder vor Nachrichten, die Links oder Anhänge enthalten, die zuvor nicht gesehen wurden.
Stellen Sie sich für einen Moment eine multinationale Organisation vor, die nicht nur Tausende von E-Mail-Benutzern hat, sondern auch eine beträchtliche Anzahl von Partnern, mit denen sie regelmäßig kommuniziert. Ein solches Szenario bietet Angreifern mehrere Angriffswinkel, da jeder dieser Partner potenziell als Eintrittspunkt in das Netzwerk des gewünschten Opfers verwendet werden könnte.
Wenn ein KI-System jedoch ein Verständnis dafür entwickeln kann, was das erwartete Verhalten in der E-Mail-Kommunikation ausmacht, kann es alle Abweichungen neutralisieren, die auf eine Bedrohung hinweisen. Frühere Korrespondenz kann genutzt werden, um zu verstehen, ob der Absender schon einmal mit der Organisation kommuniziert hat, ob die Domäne erkannt wird und ob die Organisation eine gültige Geschäftsbeziehung mit dieser Domäne hat. KI kann die Häufigkeit der Kommunikation und sogar die Art der in den E-Mails verwendeten Sprache analysieren, um verdächtige Aktivitäten zu erkennen, die auf eine Bedrohung hinweisen.
KI sieht, was anderen entgeht
Sollte das E-Mail-Konto eines Partners kompromittiert werden, spielt das Verständnis des KI-Systems von „normal“ eine entscheidende Rolle beim Schutz des Unternehmens. AI wertet alle Links aus, die von diesem Konto gesendet werden, und wenn diese Links auf eine Domain verweisen, auf die keiner der internen Hosts jemals zugegriffen hat, kann dies als ungewöhnlich angesehen werden. Ein weiterer Hinweis auf eine Bedrohung kann sein, dass der Link selbst im Text der E-Mail vor dem Benutzer verborgen ist.
Aus Hunderten von Datenpunkten werden die heutigen KI-Systeme diese subtilen Bedrohungssignale zusammensetzen, um die am besten geeignete Reaktion zu bestimmen – die am wenigsten aggressive Maßnahme, die zur Eindämmung der Bedrohung erforderlich ist, ohne den Geschäftsbetrieb zu stören und die Produktivität zu beeinträchtigen.
Angreifer versuchen häufig, veraltete Sicherheitstools zu umgehen, indem sie Links zu seriösen Websites senden, die durch herkömmliche Reputationsprüfungen allein nicht erkannt werden. Der hier beschriebene KI-gestützte Ansatz erkennt nicht nur korrekt, dass solche Links anomal sind, sondern führt auch eine weitere Analyse der Sprache in der E-Mail durch, um zu bestätigen, dass der Benutzer zum Klicken verleitet wird. Anstatt einfach alle E-Mails von diesem Absender zu blockieren, kann das KI-System legitime E-Mails durchlassen.
KI reagiert auf neue Bedrohungen
Angreifer kennen und nutzen die Grenzen traditioneller Schutzmaßnahmen aus. KI kann Abweichungen von normalen Aktivitätsmustern lokalisieren und darauf reagieren, während der reguläre Geschäftsbetrieb ohne Unterbrechung fortgesetzt werden kann. Solche Tools können die in E-Mails verwendete natürliche Sprache mit anderen Indikatoren korrelieren, um festzustellen, ob potenziell böswillige Aktivitäten vorliegen. Auf diese Weise kann ein Unternehmen Angriffe abfangen, die unbemerkt geblieben wären, wenn es sich einfach auf die Reputation einer Domäne oder die Signatur einer Datei verlassen hätte.
E-Mail bleibt ein beliebter Angriffsvektor für Cyberkriminelle, da sie weiterhin Ergebnisse liefert. Vorhandene Abwehrmaßnahmen können relativ einfach umgangen werden, und kompromittierte Konten vertrauenswürdiger Dritter in der Lieferkette eines Unternehmens machen eine wachsende Zahl von Fällen aus. Durch den Einsatz von KI erscheint jede E-Mail im Kontext der etablierten Aktivitäten der Organisation, sodass sich alles, was nicht dazugehört, nirgendwo verstecken kann.
