RSA 2020創新沙盒盤點| INKY——基於機器學習的惡意郵件識別系統

2020年2月24日-28日，網路安全行業盛會RSA Conference將在舊金山拉開帷幕。綠盟君已經為大家介紹過入選今年創新沙盒的十強初創公司：Elevate Security 、Sqreen、Tala Security和AppOmni四家廠商了，今天將為大家介紹的是：INKY。

一、公司介紹

INKY公司的總部位於馬里蘭大學公園，憑藉獨特的計算機視覺、人工智慧和機器學習技術，INKY在電子郵件防護領域處於行業領先的地位。目前，該公司已經完成了三輪融資，共籌集了1183.5萬美元。其最近的一次A輪融資在2019年11月，融資金額為600萬美元。公司創始人Dave Baggett還與他人共同創立了ITA Software公司(ITA Software公司是業內領先的機票搜尋公司，於2011年被谷歌以7.3億美元收購，目前為谷歌Flights®提供支撐)。

INKY Phish Fence是該公司的旗艦產品，該產品是一個基於雲端計算的電子郵件安全平臺。該平臺能夠像人一樣理解電子郵件，分析其中的欺詐、釣魚等惡意行為，以防止企業被惡意郵件攻擊。

二、背景介紹

釣魚郵件是最常見的網路威脅之一。大部分網路攻擊都是以釣魚郵件為切入點。Gartner的資料顯示78%的網路安全事件中涉及到釣魚郵件。傳統釣魚郵件的原理如圖所示。

攻擊者首先偽裝成一個可信的實體給受害者傳送郵件，並欺騙受害者點選電子郵件中的惡意連結或者下載惡意附件，從而導致受害者的主機被安裝惡意軟體，進而導致受害主機被勒索軟體攻擊或者資料洩露。

然而，當今網路釣魚郵件正變得越來越具有迷惑性，所以即使經驗豐富的安全人員也無法有效的對其進行分辨。其中，商業郵件失陷（Business Email Compromise ，BEC）每年造成12億美金的損失。BEC攻擊通常通過正常的商務流程，但會偽裝成企業的員工、商業夥伴或供應商，通過社工手段竊取企業的資金或敏感資料。與傳統的釣魚郵件包含惡意連結或附件不同，BEC攻擊者的郵件內容等是正常的，所以網路安全層面的檢查無效。因為郵件安全引起的業務損失較高，應對BEC相關的安全產品成為Gartner 2019年十大專案之一。在相關的產品中，機器學習技術越來越多的被用來識別惡意郵件，並取得了較好的效果。

三、產品介紹

INKY Phish Fence是該公司的主打產品。該產品是基於雲的電子郵件防護軟體。基於特定領域的機器學習和計算機視覺技術，該產品可以識別並阻止多種惡意郵件，包括釣魚郵件，詐騙郵件等。同時，該產品可以和多種電子郵件服務元件相結合，包括Exchange、Office 365、G Suite，為其提供全方位的防護。

1、Exchange：Exchange 是微軟公司的電子郵件服務元件。INKY可以與Exchange無縫整合。INKY通過自動掃描所有內部和外部的電子郵件，尋找其中的釣魚郵件、惡意郵件、垃圾郵件等。惡意電子郵件會被隔離。

2、Office 365：Office 365 是一種訂閱式的跨平臺辦公軟體，基於雲平臺提供多種服務。Office 365是很多釣魚郵件攻擊的主要目標。由於釣魚手段的巧妙和狡猾，Office 365本身和傳統的第三方安全系統並不能有效的檢測到。INKY可以與Office 365無縫整合，具有針對Office 365平臺的自定義實現。它整合起來又快又容易。INKY還可以分階段部署，易於實施。

3、G Suite：G Suite是Google 在訂閱基礎上提供的一套協作軟體工具。INKY可以與G Suite無縫整合，實現對惡意郵件，釣魚郵件的準確檢測。

INKY Phish Fence過濾每一封電子郵件。在最終呈現給使用者的郵件中，該系統會在每一封郵件的頂部加上一個橫幅（banner），來對郵件的安全性進行說明。

橫幅是INKY Phish Fence的一大特色，如圖所示。

不同風險程度的郵件用不同的顏色標識。其中，灰色橫幅用於標識安全的郵件，黃色橫幅用於標識謹慎開啟的郵件，紅色橫幅用於標識危險郵件。在黃色和紅色標識中點選“Details”連結可以進一步檢視對郵件的描述。這些資訊可以讓使用者瞭解他們的收件箱中存在的威脅。另外，這些資訊可以讓使用者學習到更多的釣魚郵件相關的知識，這往往比釣魚郵件模擬測試更加有效。橫幅中的“Report This Email”連結允許終端使用者報告來自任何終端裝置的有問題的電子郵件，而不需要特殊的客戶端軟體。INKY甚至整合了自然語言處理(NLP)演算法來識別敏感內容，如電匯或發票付款請求、密碼相關的電子郵件等，並在橫幅中標註客戶可配置的策略來對使用者進行指導。

四、核心技術

傳統的電子郵件安全解決方案通常只依賴於已知的攻擊者資料庫。INKY除了使用最新的資料庫外，還使用機器學習和計算機視覺技術來檢測釣魚郵件，甚至捕捉零日的BEC釣魚詐騙。超過24個計算機視覺和文字分析模型能夠像人一樣“看到”郵件資訊，並捕捉人類可能會忽略的文字、型別和影像的異常。通過智慧分析，可以檢測出有問題的電子郵件。

釣魚郵件檢測：釣魚郵件中往往包含有惡意連結。INKY對收到的電子郵件中包含的每個連結進行模擬點選，並檢查相關的網頁是否有釣魚或其他惡意內容的特徵。含有惡意網站連結的電子郵件會被標記告警或隔離。

惡意程式碼檢測：HTML為電子郵件提供了更高階別的可配置性，但也使得在電子郵件中嵌入惡意可執行程式碼成為可能。預設情況下，INKY能夠標識並阻止執行跨站點指令碼攻擊（XSS）、JavaScript和CSS攻擊的程式碼。

可疑發件人檢測：INKY的機器學習引擎可以通過行為特徵和社交網路圖譜來識別可疑的行為或身份。通過觀察郵件在組織中的流動情況，INKY可以為所有的人建立行為檔案。當INKY看到一封電子郵件的發件人的特徵與學習到的特徵不匹配時，它會發出告警，如圖所示。

結果上報：INKY產品的一個獨特的功能是可以在每封電子郵件中點選“Report this Email”連結。這意味著使用者可以在不需要安裝特定軟體的情況下報告來自任何裝置（web、手機、任何電子郵件客戶端）的有問題的郵件。而大多數電子郵件保護軟體只能在已安裝特定軟體的系統上工作。這樣，INKY可以隨時收到使用者對檢測結果的反饋，進一步完善其檢測模型。

四、總結

隨著釣魚郵件越來越具有迷惑性，傳統的基於規則的檢測方法已經無法有效的進行檢測。INKY公司的產品INKY Phish Fence採用機器學習技術對郵件進行智慧分析，可以更加有效地識別釣魚郵件。而部署在雲端的檢測系統使得企業部署更加靈活。同時，該產品可以與Exchange，Office 365和G Suite等辦公軟體無縫整合，能夠為企業提供更加全面的防護。

  參考連結    ·    

[1] Gartner 2019十大安全專案：https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2019/

[2]https://www.crunchbase.com/search/funding_rounds/field/organizations/num_funding_rounds/arcode

[3] https://www.inky.com/

[4] Gartner Security & Risk Management Summit  2019