Улучшение DLP за счет понимания естественного языка для повышения безопасности электронной почты

Новая услуга Advanced Data Loss Prevention от стартапа Armorblox в области безопасности электронной почты показывает, как можно использовать возможности искусственного интеллекта (ИИ) для защиты корпоративных коммуникаций, таких как электронная почта.

Одна из самых интригующих областей исследований ИИ сосредоточена на том, как машины могут работать с естественным языком — языком, используемым людьми — вместо искусственных языков (программирования), таких как Java, C или Rust. Обработка естественного языка (NLP) фокусируется на том, чтобы машины могли принимать язык в качестве входных данных и преобразовывать его в стандартную структуру для получения информации. Понимание естественного языка (NLU), которое Armorblox включила в свою платформу, относится к интерпретации языка и определению контекста, намерений и выражаемых чувств. Например, НЛП воспримет предложение «Пожалуйста, откройте окна, в машине становится жарко» как просьбу буквально разбить окна, в то время как НЛУ сделает вывод, что запрос на самом деле касается открытия окна.

«Модели естественного языка достаточно зрелые и уже используются в различных случаях безопасности, особенно для обнаружения и предотвращения», — говорит Уилл Лин, управляющий директор Forgepoint Capital. NLP/NLU особенно хорошо подходит для того, чтобы помочь защитникам выяснить, что у них есть в корпоративной среде.

«Организации и их клиенты создают так много данных. NLP/NLU бесценны, помогая компании понять, где находятся самые опасные данные компании, как они распространяются по организации, а также в создании средств контроля для предотвращения неправомерного использования», — говорит Лин.

NLU в корпоративной электронной почте
NLU хорошо подходит для сканирования корпоративной электронной почты с целью обнаружения и фильтрации спама и другого вредоносного контента, поскольку каждое сообщение содержит весь контекст, необходимый для выявления злонамеренных намерений. Метаданные сообщения, такие как IP-адрес и домен, с которого оно было отправлено и кому оно было отправлено, в сочетании с содержимым в теле и вложениях дают сигналы для оценки того, является ли сообщение хорошим, — говорит Ананд Рагхаван, соавтор. основатель и CPO Armorblox. И благодаря тому факту, что Google и Microsoft уже сканируют сообщения электронной почты, чтобы отфильтровать спам и потенциальные фишинговые сообщения в своих почтовых службах, люди гораздо более довольны идеей, что машины читают их сообщения, чтобы отфильтровать плохие.

«Когда вы в последний раз просматривали свой ящик со спамом в Gmail?» — спрашивает Рагхаван, отмечая, что люди верят, что вредоносные сообщения были удалены.

По словам Фернандо Монтенегро, старшего главного аналитика Omdia, помимо спама, NLU может быть полезен в масштабе для анализа сообщений электронной почты, используемых в мошенничестве с компрометацией деловой электронной почты. На фишинговые атаки по электронной почте приходится 90% утечек данных, поэтому службы безопасности ищут способы отфильтровать эти сообщения до того, как они попадут к пользователю.

Несмотря на то, что обучение по вопросам безопасности является ценным, нереально полагаться только на обучение, чтобы достичь 100-процентной безопасности. У людей есть склонность к авторитету, когда они более склонны верить в то, что что-то является правдой, если это исходит от кого-то, обладающего властью или властью, например, от начальника. Машины менее восприимчивы и смогут увидеть другие признаки того, что сообщение, предписывающее получателю инициировать банковский перевод в новое место назначения, на самом деле может исходить не от генерального директора.

Даже при проведении нескольких тренингов всегда будет небольшая группа пользователей, которые нажмут на ссылку в электронном письме или решат, что мошенническое сообщение на самом деле является законным. Рагхаван цитирует недавний отчет страховой компании AIG, который показывает, что мошенничество с компрометацией деловой электронной почты (BEC) является наиболее распространенным заявлением, связанным с кибербезопасностью.

«Вы не можете научить последние 14% не нажимать», — говорит Рагхаван, поэтому необходимы технологии, чтобы гарантировать, что эти сообщения даже не попадут в папку «Входящие», чтобы пользователь мог их увидеть.

Другой вариант включает атаки, когда адрес электронной почты известного поставщика или поставщика скомпрометирован, чтобы отправить компании счет. Что касается получателя, то это известный и законный контакт, и нередко платежные инструкции меняются. Получатель оплатит счет, не зная, что средства уходят куда-то еще. Одно только обучение мало что может сделать для обнаружения такого рода мошеннических сообщений. По словам Рагхавана, технологиям будет сложно идентифицировать эти сообщения без NLU.

НЛУ в DLP
По словам Рагхавана, новая служба Armorblox Advanced Data Loss Prevention использует NLU для защиты организаций от случайных и злонамеренных утечек конфиденциальных данных. Armorblox анализирует содержимое электронной почты и вложения, чтобы выявить примеры конфиденциальной информации, покидающей предприятие по каналам электронной почты.

Armorblox утверждает, что по сравнению с устаревшим предотвращением потери данных (DLP) использование NLU снижает количество ложных срабатываний в 10 раз.

DLP довольно прост, так как ищет ключевую информацию, которая может быть отправлена ​​неавторизованным получателям. Традиционно DLP опирается на статические правила и регулярные выражения (регулярные выражения), такие как поиск определенных ключевых слов (например, кодового названия сверхсекретного проекта) или поиск строк из девяти цифр (которые выглядят как номера социального страхования).

Однако их недостаточно, так как некоторые вещи могут быть упущены. Если отправитель старается не использовать кодовое имя, устаревшая защита от потери данных не обнаружит это сообщение. Для службы безопасности неэффективно — и отнимает много времени — постоянно придумывать правила для обнаружения всех возможных комбинаций. Или правила могут быть такими, что сообщения, которые не содержат конфиденциального содержимого, также помечаются. Если DLP настроен на пометку каждого сообщения, содержащего строки из девяти цифр, это означает каждое сообщение со ссылкой на собрание Zoom, отмечает Рагхаван.

По словам Рагхавана, ключевым моментом является понимание содержания сообщений, поэтому NLU идеально подходит для DLP. Использование NLU также означает, что механизм DLP не нужно вручную обновлять новыми правилами. Политики постоянно обновляются по мере того, как движок учится на поступающих сообщениях.

НЛУ в кибербезопасности

Рагхаван говорит, что Armorblox рассматривает возможность выхода за пределы электронной почты, чтобы взглянуть на другие типы корпоративных платформ обмена сообщениями, такие как Slack. Однако NLU — и NLP — также имеют возможности за пределами электронной почты и коммуникаций. По словам Лин, классификация объектов данных в облачном масштабе — это естественный вариант использования, который поддерживает многие рабочие процессы реагирования на инциденты и соответствия требованиям. Две портфельные компании Forgepoint Capital — Symmetry Systems и DeepSee — применяют модели НЛП для создания классификаторов и графов знаний.

По словам Монтенегро, NLU также можно использовать для анализа описаний уязвимостей в отчетах об обнаружении или ошибках и потенциально помочь оптимизировать операции, чтобы лучше интерпретировать запросы.

И Лин, и Монтенегро подчеркивают, что необходимо проделать большую работу, прежде чем NLU (и NLP) станут обычным явлением в кибербезопасности.

«Тем не менее, NLU сложно. Если отойти слишком далеко от вариантов использования, я думаю, что все сломается», — говорит Монтенегро.