2020年2月24日-28日，網(wǎng)絡安全行業(yè)盛會RSA Conference將在舊金山拉開帷幕。綠盟君已經(jīng)為大家介紹過入選今年創(chuàng)新沙盒的十強初創(chuàng)公司：Elevate Security 、Sqreen、Tala Security和AppOmni四家廠商了，今天將為大家介紹的是：INKY。

一、公司介紹

INKY公司的總部位于馬里蘭大學公園，憑借獨特的計算機視覺、人工智能和機器學習技術，INKY在電子郵件防護領域處于行業(yè)領先的地位。目前，該公司已經(jīng)完成了三輪融資，共籌集了1183.5萬美元。其最近的一次A輪融資在2019年11月，融資金額為600萬美元。公司創(chuàng)始人Dave Baggett還與他人共同創(chuàng)立了ITA Software公司(ITA Software公司是業(yè)內領先的機票搜索公司，于2011年被谷歌以7.3億美元收購，目前為谷歌Flights®提供支撐)。

INKY Phish Fence是該公司的旗艦產(chǎn)品，該產(chǎn)品是一個基于云計算的電子郵件安全平臺。該平臺能夠像人一樣理解電子郵件，分析其中的欺詐、釣魚等惡意行為，以防止企業(yè)被惡意郵件攻擊。

二、背景介紹

釣魚郵件是最常見的網(wǎng)絡威脅之一。大部分網(wǎng)絡攻擊都是以釣魚郵件為切入點。Gartner的數(shù)據(jù)顯示78%的網(wǎng)絡安全事件中涉及到釣魚郵件。傳統(tǒng)釣魚郵件的原理如圖所示。

攻擊者首先偽裝成一個可信的實體給受害者發(fā)送郵件，并欺騙受害者點擊電子郵件中的惡意鏈接或者下載惡意附件，從而導致受害者的主機被安裝惡意軟件，進而導致受害主機被勒索軟件攻擊或者數(shù)據(jù)泄露。

然而，當今網(wǎng)絡釣魚郵件正變得越來越具有迷惑性，所以即使經(jīng)驗豐富的安全人員也無法有效的對其進行分辨。其中，商業(yè)郵件失陷(Business Email Compromise ，BEC)每年造成12億美金的損失。BEC攻擊通常通過正常的商務流程，但會偽裝成企業(yè)的員工、商業(yè)伙伴或供應商，通過社工手段竊取企業(yè)的資金或敏感數(shù)據(jù)。與傳統(tǒng)的釣魚郵件包含惡意鏈接或附件不同，BEC攻擊者的郵件內容等是正常的，所以網(wǎng)絡安全層面的檢查無效。因為郵件安全引起的業(yè)務損失較高，應對BEC相關的安全產(chǎn)品成為Gartner 2019年十大項目之一。在相關的產(chǎn)品中，機器學習技術越來越多的被用來識別惡意郵件，并取得了較好的效果。

三、產(chǎn)品介紹

INKY Phish Fence是該公司的主打產(chǎn)品。該產(chǎn)品是基于云的電子郵件防護軟件。基于特定領域的機器學習和計算機視覺技術，該產(chǎn)品可以識別并阻止多種惡意郵件，包括釣魚郵件，詐騙郵件等。同時，該產(chǎn)品可以和多種電子郵件服務組件相結合，包括Exchange、Office 365、G Suite，為其提供全方位的防護。

• Exchange：Exchange 是微軟公司的電子郵件服務組件。INKY可以與Exchange無縫集成。INKY通過自動掃描所有內部和外部的電子郵件，尋找其中的釣魚郵件、惡意郵件、垃圾郵件等。惡意電子郵件會被隔離。
• Office 365：Office 365 是一種訂閱式的跨平臺辦公軟件，基于云平臺提供多種服務。Office 365是很多釣魚郵件攻擊的主要目標。由于釣魚手段的巧妙和狡猾，Office 365本身和傳統(tǒng)的第三方安全系統(tǒng)并不能有效的檢測到。INKY可以與Office 365無縫集成，具有針對Office 365平臺的自定義實現(xiàn)。它集成起來又快又容易。INKY還可以分階段部署，易于實施。
• G Suite：G Suite是Google 在訂閱基礎上提供的一套協(xié)作軟件工具。INKY可以與G Suite無縫集成，實現(xiàn)對惡意郵件，釣魚郵件的準確檢測。

INKY Phish Fence過濾每一封電子郵件。在最終呈現(xiàn)給用戶的郵件中，該系統(tǒng)會在每一封郵件的頂部加上一個橫幅(banner)，來對郵件的安全性進行說明。

橫幅是INKY Phish Fence的一大特色，如圖所示。

不同風險程度的郵件用不同的顏色標識。其中，灰色橫幅用于標識安全的郵件，黃色橫幅用于標識謹慎打開的郵件，紅色橫幅用于標識危險郵件。在黃色和紅色標識中點擊“Details”鏈接可以進一步查看對郵件的描述。這些信息可以讓用戶了解他們的收件箱中存在的威脅。另外，這些信息可以讓用戶學習到更多的釣魚郵件相關的知識，這往往比釣魚郵件模擬測試更加有效。橫幅中的“Report This Email”鏈接允許終端用戶報告來自任何終端設備的有問題的電子郵件，而不需要特殊的客戶端軟件。INKY甚至整合了自然語言處理(NLP)算法來識別敏感內容，如電匯或發(fā)票付款請求、密碼相關的電子郵件等，并在橫幅中標注客戶可配置的策略來對用戶進行指導。

四、核心技術

傳統(tǒng)的電子郵件安全解決方案通常只依賴于已知的攻擊者數(shù)據(jù)庫。INKY除了使用最新的數(shù)據(jù)庫外，還使用機器學習和計算機視覺技術來檢測釣魚郵件，甚至捕捉零日的BEC釣魚詐騙。超過24個計算機視覺和文本分析模型能夠像人一樣“看到”郵件信息，并捕捉人類可能會忽略的文本、類型和圖像的異常。通過智能分析，可以檢測出有問題的電子郵件。

• 釣魚郵件檢測：釣魚郵件中往往包含有惡意鏈接。INKY對收到的電子郵件中包含的每個鏈接進行模擬點擊，并檢查相關的網(wǎng)頁是否有釣魚或其他惡意內容的特征。含有惡意網(wǎng)站鏈接的電子郵件會被標記告警或隔離。
• 惡意代碼檢測：HTML為電子郵件提供了更高級別的可配置性，但也使得在電子郵件中嵌入惡意可執(zhí)行代碼成為可能。默認情況下，INKY能夠標識并阻止執(zhí)行跨站點腳本攻擊(XSS)、JavaScript和CSS攻擊的代碼。
• 可疑發(fā)件人檢測：INKY的機器學習引擎可以通過行為特征和社交網(wǎng)絡圖譜來識別可疑的行為或身份。通過觀察郵件在組織中的流動情況，INKY可以為所有的人創(chuàng)建行為檔案。當INKY看到一封電子郵件的發(fā)件人的特征與學習到的特征不匹配時，它會發(fā)出告警，如圖所示。



• 結果上報：INKY產(chǎn)品的一個獨特的功能是可以在每封電子郵件中點擊“Report this Email”鏈接。這意味著用戶可以在不需要安裝特定軟件的情況下報告來自任何設備(web、手機、任何電子郵件客戶端)的有問題的郵件。而大多數(shù)電子郵件保護軟件只能在已安裝特定軟件的系統(tǒng)上工作。這樣，INKY可以隨時收到用戶對檢測結果的反饋，進一步完善其檢測模型。

四、總結

隨著釣魚郵件越來越具有迷惑性，傳統(tǒng)的基于規(guī)則的檢測方法已經(jīng)無法有效的進行檢測。INKY公司的產(chǎn)品INKY Phish Fence采用機器學習技術對郵件進行智能分析，可以更加有效地識別釣魚郵件。而部署在云端的檢測系統(tǒng)使得企業(yè)部署更加靈活。同時，該產(chǎn)品可以與Exchange，Office 365和G Suite等辦公軟件無縫集成，能夠為企業(yè)提供更加全面的防護。

· 參考鏈接 ·

• Gartner 2019十大安全項目：https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2019/
• https://www.crunchbase.com/search/funding_rounds/field/organizations/num_funding_rounds/arcode
• https://www.inky.com/
• Gartner Security & Risk Management Summit 2019