Jak sztuczna inteligencja chroni firmową pocztę

Materiał promocyjny Tradycyjne narzędzia zabezpieczające pocztę elektroniczną okazują się mało efektywne w zwalczaniu ataków podejmowanych precyzyjnie przeciwko konkretnym ofiarom. Cyberprzestępcy potrafią już omijać klasyczne rozwiązania ochronne, co może doprowadzić zaatakowane firmy do utraty wiarygodności i związanych z tym strat finansowych.

Zagrożenia poczty

Poczta elektroniczna jest jednym z najczęściej używanych rodzajów oprogramowania w firmach. Zarazem jednym z tych, które także najczęściej mają kontakt ze światem zewnętrznym. Z emaila korzystają niemal wszyscy pracownicy biurowi, a jednocześnie większość z nich nie ma wystarczającej wiedzy, żeby rozpoznać maile stanowiące zagrożenie bezpieczeństwa. Często nie mają też wystarczającej czujności ani motywacji, żeby maile sprawdzać pod tym kątem. W sytuacji, gdy skuteczne narzędzia bezpieczeństwa praktycznie wyeliminowały możliwość bezpośredniego zaatakowania serwerów poczty, to właśnie pracownicy stają się najbardziej wrażliwym celem, a ataki przeciwko nim, zwykle wykorzystujące metody oparte na socjotechnice i manipulacji, są coraz doskonalsze.

Coraz skuteczniejsze są także ataki kierowane przeciwko polskim firmom. To już nie są – jak jeszcze kilka lat temu – masowo rozsyłane maile w językach obcych lub w najlepszym wypadku prymitywnie przetłumaczone, z błędami gramatycznymi. Coraz częściej do ataków phishingowych wykorzystywane są maile pisane poprawną polszczyzną, wysyłane rzekomo w imieniu polskich instytucji, takich jak urzędy skarbowe czy banki. Wiarygodność ataku podnosi też dostosowywanie treści maila do atakowanego podmiotu, czyli tzw. spear phishing. Ponadto cyberprzestępcy już nie tylko próbują podszywać się pod pracowników firmy „wstrzykując” fałszywe maile z zewnątrz, ale też wykorzystują do tego celu rzeczywiste konta, na które udało im się włamać wcześniej.

Według badań firmy Barracuda Networks, tego typu ataki lateralne przeprowadzono przeciw co siódmej firmie na świecie – a średnio co dziesiąty okazał się skuteczny i doprowadził do przejęcia kontroli nad kontem poczty elektronicznej pracownika. Niemal w jednej trzeciej przypadków przestępcy zastosowali dodatkowe techniki w celu zwiększenia skuteczności i utrudnienia rozpoznania ataku. Co gorsza, aż w czterech przypadkach na dziesięć o ataku nie zostały powiadomione firmowe zespoły IT lub bezpieczeństwa.

Jak walczyć z włamaniami do poczty?

Nie ma wątpliwości, że tradycyjne systemy ochrony poczty ani standardowe mechanizmy oferowane przez dostawców poczty w chmurze nie są skuteczne przeciwko dobrze przygotowanym atakom dedykowanym. Dużą przeszkodą jest, z jednej strony, brak osób, które łączyłyby wysokiej klasy przygotowanie techniczne w zakresie obsługi danego rozwiązania pocztowego z wystarczającą wiedzą na temat chronionej organizacji i jej procesów biznesowych. Definiowanie reguł filtrowania poczty, które skutecznie odróżniałyby maile prawdziwe od maili użytych do ataku – nawet, jeżeli na pierwszy rzut oka wyglądają one niemal identycznie – jest bardzo trudne i pracochłonne, a ich ręczna modyfikacja w odpowiedzi na atak jest w zasadzie niemożliwa.

W odpowiedzi na te wyzwania specjaliści Barracuda Networks stworzyli rozwiązanie Sentinel, które wykorzystuje mechanizmy głębokiego uczenia i sztucznej inteligencji. Dzięki wbudowanemu interfejsowi API umożliwiającemu pełną integrację z Office 365 oraz analizie wcześniejszych wiadomości e-mail, Sentinel uczy się rozpoznawać nie tylko zawartość maili, ale też unikatowe wzorce komunikacyjne danej organizacji. Następnie wykorzystuje je do identyfikowania anomalii i kwarantanny ataków w czasie rzeczywistym. Na przykład, jeżeli Jan Kowalski zwykle nie wysyła maili do Krystyny Nowak, email wysłany z jego konta wyłamuje się z normalnego schematu działań i może świadczyć o przejęciu konta. Podejrzane jest również, gdy do osoby nie zajmującej się finansami przychodzi faktura lub ponaglenie w sprawie płatności od firmy, która nie jest naszym kontrahentem. Takie zachowanie również zwraca uwagę Sentinela. W połączeniu ze szczegółową analizą nagłówka i treści maila pozwala to skutecznie chronić przed atakami wykorzystującymi przejęte konta innych osób (Account Takeover), ukierunkowanym phishingiem (spear phishing), zagrożeniami „zero-day” i wieloma innymi typami ataków. Sentinel nieustannie się uczy obserwując reakcje pracowników (np. wyjęcie maila z kwarantanny) i na bieżąco dostosowuje się do zmieniających się warunków działania organizacji.

W sukurs administratorom przychodzi też inne rozwiązanie: Barracuda Forensics and Incident Response. Automatyzuje ono wykrywanie anomalii w poczcie elektronicznej oraz reagowanie na incydenty, ułatwiając administratorom walkę z atakami. Na przykład po wykryciu podejrzanego maila system pozwala na szybkie wyszukanie innych adresatów, którzy otrzymali tę samą przesyłkę i np. centralne skasowanie takiego maila z ich skrzynek lub przeniesienie go do kwarantanny. Oprogramowanie identyfikuje też użytkowników, którzy już otworzyli taki mail i kliknęli zawarte w nim odnośniki. Ponieważ wiadomo, kto w firmie był narażony na atak, można szybko wymusić zmianę jego hasła albo przeskanowanie komputera w poszukiwaniu wirusów.

Barracuda Networks zajęła się także najsłabszym elementem każdego systemu bezpieczeństwa: pracownikami. Specjalny moduł szkoleniowy, Phishline, uczy ich rozpoznawać charakterystyczne cechy typowych kampanii phishingowych. Dzięki temu w razie ataku będą oni mieli większą szansę obrony. Uświadamianie pracownikom potencjalnych konsekwencji nieroztropnego korzystania z e-maila oraz wyposażenie ich w umiejętności pozwalające poprawnie ocenić sytuację pozwala znacznie podnieść poziom bezpieczeństwa użytkowników i ułatwia ochronę przedsiębiorstwa.