BitDam研究揭示了领先电子邮件安全系统的高漏检率

想象一下，收到一封来自美国副总裁迈克·彭斯（Mike Pence）的官方电子邮件账户的电子邮件，请求帮助，因为他被困在菲律宾。

事实上，你不必这么做。这确实发生了。

彭斯在担任印第安纳州州长时，他的电子邮件遭到黑客攻击，他的账户被用来诈骗几个人。这是怎么发生的？这与DNC服务器被黑客攻击的方式类似吗？

电子邮件黑客是目前最普遍的网络威胁之一。据估计，大约每10个使用互联网的人中就有8人通过电子邮件收到过某种形式的网络钓鱼攻击。此外，根据Avanan的2019年全球网络钓鱼报告，99封电子邮件中有1封是网络钓鱼攻击。

BitDam意识到电子邮件在现代通信中的重要性。白痴发表了一项关于电子邮件安全领域主要参与者的电子邮件威胁检测弱点的新研究，研究结果引起了关注。研究团队发现，微软的Office365 ATP和谷歌的G套件在应对未知威胁时，据称非常脆弱。此外，他们的检测时间（TTD）可能需要两天，因为他们第一次遇到未知的攻击。

领先的安全系统如何防止攻击

电子邮件安全系统通过扫描链接和附件来确定它们是否安全，从而应对网络威胁。

然后，它们可以自动阻止链接，并阻止下载或执行文件附件。在大多数情况下，为了识别威胁，安全系统会将扫描的文件或链接与威胁特征数据库进行比较。他们使用声誉服务或威胁搜索协议，根据来自不同来源的威胁数据监控可能的攻击。

不过，在初始扫描时被认为安全的链接或附件并不总是安全的。在很多情况下，安全系统无法过滤威胁，因为它们尚未更新威胁数据库。因此，在检测方面存在差距。在一个典型的安全系统中，最多可能有三个检测漏洞。这些漏洞代表电子邮件攻击的漏洞或机会。

有一些安全系统利用人工智能，使威胁学习和检测自动化，效率更高。他们利用之前攻击的数据以及网络管理或计算机所有者的相应行动，对后续事件做出更好的判断。

高首见未遂率和TTD：当前电子邮件安全的不足

尽管电子邮件安全方面取得了诸多进步，但缺陷依然存在。如前所述，领先的电子邮件安全系统Office365 ATP和G Suite在面临未知威胁时会失去检测效力。根据BitDam的测试结果，Office365的平均第一次遭遇失误率为23%，而G Suite的平均第一次遭遇失误率为35.5%。在第一次相遇后，它们的TTD也明显较长。Office365和G Suite的TTD分别记录在48小时和26.4小时。

要澄清的是，未知威胁是安全系统首次遇到的威胁——那些尚未出现在其特征数据库中的威胁。不过，这种默默无闻是相对的。一个系统无法识别的威胁对其他系统可能并不陌生。

这就是为什么Office365和G套件的失误率存在显著差异的原因。无论如何，这些未知的威胁似乎是当前电子邮件安全的致命弱点。它们看起来并不重要，因为它们就像一个暂时的弱点，随着时间的推移会得到纠正，但它们为攻击渗透打开了一个关键窗口。

还值得注意的是，未知威胁不一定是全新的恶意软件或攻击形式。根据BitDam的研究，它们可能只是在人工智能帮助下迅速产生的现有威胁的变种。这意味着它们极易生产，给难以检测未知威胁的安全系统带来了一个指数级增长的问题。

在BitDam的测试中，新的威胁及其修改版本被用来测试领先安全系统的检测效率。大多数修改后的威胁被视为未识别/未知，尽管其“来源”威胁已记录在威胁特征数据库中。

对于一个被认为是可靠的电子邮件安全系统来说，它不能继续存在这种第一次遭遇检测失误率高的缺陷。

打击电子邮件黑客的挑战

要使电子邮件攻击成功，需要将持续攻击与以下至少一种元素结合起来。

• 弱密码
• 网络安全不懂社交工程攻击的电子邮件用户
• 缺乏可靠的电子邮件安全系统

破解电子邮件的主要方法之一是猜测密码。通过简单而有教育意义的猜测（收集受害者的详细信息），黑客持续输入密码，直到他们偶然发现一个有效的密码。许多人可能认为这种策略太粗糙，没有意义，但在很多情况下，电子邮件帐户很容易被泄露，因为帐户所有者使用简单且可预测的密码。

社会工程是指诱骗受害者做一些事情，使他们在不知不觉中泄露所谓的秘密信息或泄露他们本来不会泄露的东西。网络钓鱼可以说是最常见的社会工程形式—；毫无戒心的受害者输入用户名和密码，或在看似合法但实际上是在窃取信息的网站上提供信息。

这种作案手法始于攻击者向受害者发送一封需要紧急行动的电子邮件。它可以是在发现“违规行为”后通知受害者更改其网上银行密码，也可以是一条带有链接的祝贺消息，该链接将受害者带到他们必须填写的网上表格，以便他们可以领取奖品。

带有恶意软件的附件也可能会破坏电子邮件的安全性。点击异常电子邮件附件可能会导致无意安装间谍软件或键盘记录程序，从而从受感染的计算机获取密码和其他关键数据。一些恶意软件还可能被设计为通过弹出窗口或模式窗口模拟表单，欺骗受害者输入其登录详细信息。

目前领先的安全系统无法保护密码较弱或可预测的帐户。他们也不能保证对社会工程的保护。他们只会专注于阻止受恶意软件感染的文件附件和链接。不幸的是，即使在这方面，他们也有严重的弱点。如前所述，他们的首次遭遇失误率很高，需要时间学习如何阻止未知威胁。

建议的安全增强

BitDam建议改进领先的电子邮件安全系统的工作方式：引入威胁无关的保护层。BitDam的测试表明，基于模型的检测方法显著提高了首次相遇的检测率。它甚至把TTD降到了零。Office365和G Suite未能检测到的恶意软件使用BitDam的模型驱动方法进行了有效识别。

那么，这种基于模型的方法是如何工作的呢？

从本质上讲，它取消了将扫描文件与现有威胁数据进行比较的重点。相反，它关注应用程序在与某些文件交互时的行为。它生成应用程序执行的“干净”流的模型（因此称为“模型驱动”描述）。

应用程序在处理含有不需要的代码或恶意软件的文件时表现不同。如果应用程序在处理文件时表现不佳，唯一合乎逻辑的结论是该文件异常、恶意或有害。因此，它必须被封锁。

这种模型驱动的策略并不试图取代数据驱动的方法。它是作为一种补充。它也可能有误报，因此最好将其与威胁数据比较结合使用，以确定被阻止的感知威胁确实有害。

BitDam的研究方法

BitDam于2019年10月开始了这项研究，从各种来源收集了数千个“新的”恶意文件样本。它的重点是Office365 ATP和G套件，但随着继续研究的进行，将增加ProofPoint TAP。

该过程可总结如下：

1. Collection — 研究人员获取了大量恶意文件样本。其中大部分是Office和PDF文件。
2. Qualification — 在收集样本后，研究人员确定它们确实是恶意/有害的。测试只使用实际有害的文件。
3. Modification —然后修改已验证的恶意文件，以便安全系统将其视为新的威胁。BitDam的研究人员采用了两种方法进行这种修改。一种方法是通过向文件中添加良性数据来更改文件的哈希值。另一种方法需要修改宏的静态签名。
4. Sending —最近收集的恶意文件及其变体（修改后的副本）随后会发送到被认为具有良好保护的邮箱。对于G套件企业邮箱，将激活高级选项，包括预交付模式下的沙箱。
5. Monitoring and Measuring —然后跟踪邮箱，并测量威胁检测效率。在前四个小时（文件发送后），通过威胁检测的文件每30分钟重新发送到邮箱。在接下来的20小时里，重新发送的频率降低到每六小时一次。在接下来的七天里，重新发送的频率进一步降低到每六小时一次。
6. Data Collection and Analysis —然后对测试产生的所有细节进行汇编和检查。

修改收集的恶意文件是该过程的一个重要部分，因为BitDam无法访问尚未进入微软和谷歌威胁注册中心的最新恶意软件。请注意，这些文件是通过电子邮件（Outlook和Gmail）发送的。微软和谷歌的安全系统会在编写测试电子邮件时立即阻止恶意文件的附件。

研究人员成功地设计了一些方法来修改谷歌和微软所面临的威胁，使之成为全新的未知威胁。因此，安全系统阻止连接的能力大大降低。

可以选择使用SendGrid等电子邮件服务，这些服务不执行恶意软件扫描。然而，研究人员发现，他们使用的账户在不到24小时内就冻结了。

总之

同样，BitDam并没有声称收集了微软和谷歌威胁特征数据库中尚未包含的恶意软件。BitDam必须解决一些挑战，才能完成测试，并得出一个大胆的结论，即范式转换是正确的。

研究人员成功地将恶意软件附件添加到他们为测试发送的电子邮件中，这一事实证明，对安全系统进行最小的修改就足以将衍生威胁视为未知。然后，它们的检测效果会受到干扰，因此第一次遭遇的失误率很高。

未知攻击带来了严重的风险，主要是因为大多数电子邮件安全解决方案都是数据驱动的。需要使用基于模型的策略来增强安全系统，因此检测不只是依赖于威胁特征更新。

此外，继续教育人们了解网络安全也很重要。电子邮件安全系统不提供全面保护。值得注意的是，它们无法阻止通过使用可预测的密码和易受骗性（很容易成为网络钓鱼或社会工程的牺牲品）实现的攻击渗透。