E-mail is de levensader van de meeste organisaties, dus het is geen verrassing dat e-mailaanvallen consequent tot de belangrijkste zorgen van CISO's behoren. Tot 94% van de phishing-aanvallen worden geleverd via e-mail, waarbij aanvallers nog steeds de voorkeur geven aan deze essentiële zakelijke tool als hun favoriete methode om toegang te krijgen tot de netwerken van slachtoffers. Volgens de FBI Internet Crime Report 2020, waren zakelijke e-mailaanvallen, waaronder zowel spear-phishing als walvisjacht, goed voor $ 1.8 miljard aan verliezen.
De SolarWinds Orion doorbraak Kaseya-aanvalen het meest recent de Log4j-kwetsbaarheid ze onderstrepen allemaal de verwoestende gevolgen van succesvolle aanvallen op de toeleveringsketen. E-mailcompromis van leveranciers, wat verwijst naar de accountovernames van partijen die regelmatig met een organisatie communiceren, is tegenwoordig een van de ernstigste op e-mail gebaseerde bedreigingen. Deze derde partijen hebben vaak een zwakkere beveiliging dan het beoogde slachtoffer en stellen aanvallers, eenmaal gecompromitteerd, in staat om die vertrouwde relatie te gebruiken om de doelomgeving in gevaar te brengen. Dergelijke bedreigingen vereisen geavanceerde beveiligingstechnieken, zoals kunstmatige intelligentie (AI).
Traditionele verdedigingen zijn niet genoeg
E-mail is lange tijd een aantrekkelijk doelwit geweest voor aanvallers; dus de meeste organisaties hebben op zijn minst een bepaald niveau van bescherming. Desalniettemin vinden kwaadaardige e-mails nog steeds hun weg langs deze verdedigingen en komen ze terecht in de inbox van gebruikers. Van daaruit verleiden ze het slachtoffer vaak om een bijlage of een link te openen, waardoor een reeks gebeurtenissen in gang wordt gezet die er uiteindelijk toe leiden dat het apparaat wordt gecompromitteerd.
Verouderde e-mailbeveiligingen zijn gericht op het detecteren van indicatoren waarvan bekend is dat ze kwaadaardig zijn. De e-mail kan bijvoorbeeld afkomstig zijn van een verdacht domein, een link naar een schadelijke website bevatten of een bijlage bevatten met een handtekening die overeenkomt met die van bekende malware. Deze technieken kunnen niet beschermen tegen e-mailbedreigingen die worden verzonden door vertrouwde partijen of berichten met links of bijlagen die nog niet eerder zijn gezien.
Stelt u zich eens een multinationale organisatie voor met niet alleen duizenden e-mailgebruikers, maar ook een aanzienlijk aantal partners waarmee ze regelmatig communiceren. Een dergelijk scenario biedt aanvallers meerdere aanvalshoeken, aangezien elk van deze partners mogelijk kan worden gebruikt als toegangspunt tot het netwerk van het gewenste slachtoffer.
Als een AI-systeem echter inzicht kan krijgen in wat verwacht gedrag in e-mailcommunicatie is, kan het eventuele afwijkingen die op een dreiging duiden, neutraliseren. Eerdere correspondentie kan worden gebruikt om inzicht te krijgen of de afzender eerder met de organisatie heeft gecommuniceerd, of het domein wordt herkend en of de organisatie een geldige zakelijke relatie met dat domein heeft. AI kan de frequentie van communicatie analyseren en zelfs het type taal dat in de e-mails wordt gebruikt om verdachte activiteiten op te sporen die wijzen op een bedreiging.
AI ziet wat anderen missen
Als het e-mailaccount van een partner wordt gecompromitteerd, zal het begrip van het AI-systeem van "normaal" een cruciale rol spelen bij het beschermen van de onderneming. AI beoordeelt alle links die vanaf dit account worden verzonden, en als die links verwijzen naar een domein waartoe geen van de interne hosts ooit toegang heeft gehad, kan dit als ongebruikelijk worden beschouwd. Een andere indicator van dreiging kan zijn dat de link zelf voor de gebruiker verborgen is in de hoofdtekst van de e-mail.
Op basis van honderden datapunten zullen de huidige AI-systemen deze subtiele signalen van dreiging samenvoegen om de meest geschikte reactie te bepalen - de minst agressieve actie die nodig is om de dreiging in te dammen, zonder de bedrijfsactiviteiten te verstoren en de productiviteit te belemmeren.
Aanvallers proberen vaak verouderde beveiligingstools te omzeilen door links naar gerenommeerde websites te sturen die alleen door oude reputatiecontroles niet kunnen worden gedetecteerd. De hier beschreven AI-aangedreven aanpak identificeert niet alleen correct dat dergelijke links abnormaal zijn, maar voert ook een verdere analyse uit van de taal in de e-mail om te bevestigen dat de gebruiker ertoe wordt gebracht te klikken. In plaats van hardhandig alle e-mails van deze afzender te blokkeren, kan het AI-systeem legitieme e-mails doorlaten.
AI reageert op evoluerende bedreigingen
Aanvallers kennen en exploiteren de beperkingen van traditionele beveiligingen. AI kan afwijkingen van normale activiteitenpatronen lokaliseren en erop reageren, terwijl de reguliere bedrijfsvoering ononderbroken kan worden voortgezet. Dergelijke tools kunnen de natuurlijke taal die in e-mails wordt gebruikt, in verband brengen met andere indicatoren om te bepalen of er mogelijk schadelijke activiteit aanwezig is. Dit stelt een organisatie in staat aanvallen op te vangen die onopgemerkt zouden zijn gebleven als ze eenvoudigweg hadden vertrouwd op de reputatie van een domein of de handtekening van een bestand.
E-mail blijft een favoriete aanvalsvector voor cybercriminelen omdat het resultaten blijft opleveren. Bestaande verdedigingen kunnen relatief eenvoudig worden omzeild, en gecompromitteerde accounts van vertrouwde derde partijen in de toeleveringsketen van een organisatie zijn goed voor een groeiend aantal gevallen. Door AI te gebruiken, verschijnt elke e-mail binnen de context van de gevestigde activiteiten van de organisatie, dus alles wat niet thuishoort, kan zich nergens verbergen.
