RSA創新沙盒盤點 |Abnormal Security——下一代電子郵件安全

RSAConference2021將於舊金山時間5月17日召開，這將是RSA大會有史以來第一次採用網路虛擬會議的形式舉辦。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將透過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的是廠商是：Abnormal Security。

公司介紹

Abnormal Security[1]是一家來自美國的電子郵件安全公司，其主要業務包括保護企業和機構組織避免受到針對性的電子郵件攻擊。公司於2018年4月成立，公司總部位於美國西海岸舊金山灣區，其創始人包括Evan Reiser以及Sanjay Jeyakumar，Evan之前在twitter負責領導產品和機器學習團隊，Sanjay曾經在Google作為首席工程師負責搜尋技術和Android版本釋出。公司具備很好的技術背景，公司為現在雲辦公環境提供安全保障，透過利用先進的AI技術對針對性的郵件攻擊進行檢測並對電子郵件進行保護，此外能夠對企業、人員以及供應鏈進行攻擊保護

產品介紹

隨著雲端計算環境的發展，電子郵件安全最近幾年也在發生轉變。Gartner在2020年釋出了最新的《電子郵件安全的市場洞察[2]》。報告中指出目前71%的企業在使用原生雲或者混合雲電子郵件，並且企業越來越多的依靠雲環境中郵件SaaS服務的內建郵件保護功能。並預測指出到2023年，至少40%的機構組織將依靠雲郵件服務提供商的內建郵件保護功能作為郵件防護的手段，而在2020年這一比例是27%。此外報告中指出90%的資料洩露事件是由人為因素造成的，而人為因素導致的資料丟失是最常見的資料洩露原因。

隨著企業辦公服務在雲端部署的越來越多，郵件服務也不斷遷移到辦公雲中。在雲環境下很多企業經常受到駭客有針對性的郵件攻擊，如釣魚郵件、APT攻擊等，而且郵件SaaS平臺提供的郵件安全服務往往無法整合企業員工內部系統，例如ERP系統、Vendor管理系統。為此，基於企業級電子郵件安全面臨的機遇與挑戰，Abnormal Security公司提出了郵件安全防護的新方法，並基於雲環境建立了Abnormal架構，具體如下圖所示。

Abnormal Security提出的Abnormal架構包含5層結構，具體包括負責收集資料整合資料的Data Layer，利用AI技術進行資料分析的AI Analysis Layer，利用行為分析、關係分析進行智慧融合的Business Insights Layer，利用機器學習模型進行AI決策的AI Decision Engine，以及最終落地的產品Application。

Data Layer是，Abnormal Security的雲原生架構已經能夠與數十個平臺進行資料整合，其中不僅僅包括Microsoft Office365，G Suite等雲服務平臺，而且也能夠將企業本地側的ERP、Vendor Management等系統資料進行整合收集。Abnormal透過整合多源資料到統一平臺從而進行分析，並且能夠提供跨平臺的資料一致性保護。這樣帶來的好處是可以快速的一鍵式完成API整合，並且對於郵件流來說沒有風險，同時不影響現有的安全工具，既能夠支援使用者自定義的開放式API整合到現有的SIEM或者SOAR中，也可以支援開發者利用API自定義的擴充應用程式。此外為了能夠在Microsoft平臺上增強本地安全能力，利用Microsoft的API資訊進行資訊豐富。

在AI Analysis Layer，Abnormal利用大量的AI技術對API整合後的大量資料進行分析，其中用到的技術包括自然語言處理，計算機視覺，實體識別，文字分析，知識挖掘等。

Business Insights layer主要包括使用者行為分析，組織關係分析以及供應鏈分析。關於使用者行為分析，Abnormal是透過將企業中每個人的上千維資料進行歸一化整理得到一個人的所有形式的身份資訊（包括電話、電子郵件、裝置id等），對個人的資料進行關聯之後按照時間軸合併生成事件列表， AI分析系統會對每個人的多平臺融合資料進行智慧分析。Abnormal與組織架構系統進行整合，透過觀察通訊模式和行為來學習非正式的組織層次結構關係。組織關係分析不僅能理解企業組織內的架構關係，而且能夠對跨組織間的關係進行學習理解。Business Insights Layer透過了解企業中的業務流程（例如審批流程、升級路徑）來獲取群落知識以及組織流程。透過對郵件等交流方式的分析理解，找出溝透過程中蘊含的關係和話題。供應鏈分析是Abnormal Security透過不斷的深入瞭解與企業互動的第三方來對映出完整的供應鏈，這個過程中每個和第三方通訊過程中發現的屬性例如郵件、電話號、地址等資訊都會被解析為一個特定的業務實體，業務實體最終會被對映到聯絡人和渠道資訊，商業檔案也會被識別和分析，並透過資訊提取技術提取出業務屬性，包括產品資料等資訊。最終透過跟蹤企業實體從而得到整個供應鏈關係。

Abnormal Security透過利用AI Decision Engine對異常行為和正常行為進行區分判別，透過利用機器學習整合模型建立正常業務基線並對異常行為進行檢測，從而判斷異常風險程度。為了能夠讓決策引擎的判別結果更加容易被人類理解，利用可解釋的人工智慧技術使得安全分析專家和決策引擎使用者之間的理解達成一致。

產品特點

Microsoft Office365目前是應用最廣泛的郵箱SaaS服務，其郵件安全防護主要包括Exchange Online Protection（EOP）和Advanced Threat Protection（ATP），EOP主要作為郵箱防護的基礎功能為使用者過濾垃圾郵件，檢測惡意軟體等；ATP主要作為Office365的升級服務可以提供自動響應和攻擊模擬的防護能力，避免公司組織收到複雜的郵件攻擊，例如網路釣魚以及0day惡意軟體等。但是由於在企業中Office365無法結合部門和跨職能之間的使用者關係以及組織關係，因此無法對有針對性的郵件攻擊例如內網釣魚、網路欺詐、企業賬戶安全等更強的ATP攻擊進行有效防護；另一種傳統的郵件防護方式是SEG郵件安全閘道器，SEG郵件安全閘道器和Office365相比存在一定的安全防護特性的重複，例如垃圾郵件檢測，惡意軟體檢測；此外SEG郵件安全閘道器也無法覆蓋企業員工內部系統，例如ERP系統、Vendor管理系統，和Office365的整合對SEG來說目前還不支援。Abnormal Security孵化的產品不僅能夠和Office365等郵件SaaS服務無縫整合，而且能夠利用AI技術解決企業郵件攻擊的檢測和防護，不僅包括APT攻擊、內部釣魚、網路欺詐等。而且透過將ERP、Vendor管理系統的資訊整合到產品中，可以支援對企業使用者全方位的賬戶保護。對比Office365和SEG，Abnormal Security產品特點如下圖所示：

1.     使用人工智慧決策引擎對商業電子郵件攻擊進行檢測並防護。以雲原生為基礎，透過一鍵式API解決方案對針對性的郵件攻擊進行阻止，避免手動檢測安全事件的延時問題以及漏報問題。不僅能夠防止內部釣魚攻擊，而且還能識別並禁用有威脅的供應商賬戶。

2.     利用資料科學技術將雲原生的API結構和資料相結合，透過對通訊進行學習和檢測，標記財務語言，利用計算機視覺技術可以將財務資訊中的報告資料等進行識別，從而達到檢測發票欺詐、供應鏈攻擊的行為，避免對企業造成因郵件攻擊引起的經濟損失。

3.     防止企業員工收到釣魚郵件和連結，防止敲詐、惡意軟體和勒索軟體的攻擊，避免垃圾郵件以及禮品詐騙等各種形式的詐騙行為。

總結

隨著雲環境的發展，越來越多的企業將業務遷移到雲環境中，其中電子郵件業務也逐漸從傳統郵箱方式向雲環境進行轉移。電子郵件安全也因此面臨著新的挑戰，越來越多的攻擊者會針對企業或者機構組織進行針對性的電子郵件攻擊，一旦在電子郵件中出現資料洩露或者被釣魚等威脅的發生，都會給企業帶來嚴重的利益損失。

目前Abnormal Security已經提出了一種針對雲環境下的電子郵件防護技術來防禦並組織惡意的電子郵件攻擊，其產品的創新之處在於結合當前雲原生環境的發展和需求，孵化出了基於AI人工智慧技術的電子郵件安全防護機制。並且在基於使用者行為分析和知識圖譜構建的惡意電子郵件檢測的基礎上，實現事件自動化響應、郵箱賬戶洩露檢測以及濫用郵箱檢測等一系列電子郵件防護機制。但是筆者的顧慮是部署其防護平臺的公司需要向Abnormal Security暴露過多的資訊，不僅包括企業的機密資訊也包括公司員工個人的隱私資料，這一過程是否導致產品在推廣的過程中受阻或者是出現隱私洩露的問題。

Abnormal Security提出的郵件防護機制不僅能夠無縫對接企業安全平臺，也具備透過AI人工智慧技術強大的學習能力，從而預測出偏離正常行為基線的異常行為。能夠對企業郵件安全進行一站式服務，不僅適應當前技術的發展，也具備比較高的技術壁壘，筆者認為Abnormal Security未來前景很好，而且在本次RSA創新沙盒的競爭中具備很強的競爭力。