HTCinside
Les attaques contre les e-mails sont de plus en plus ciblées et personnalisées. Les cybercriminels ont commencé à cibler les gens non pas sur des sujets génériques, mais sur des sujets tendance qui sont assurés de piquer cet intérêt de la cible. Avec toute la panique qui circule autour du nouveau coronavirus, le COVID-19 est le nouvel appât.
Des e-mails ciblés sur COVID sont envoyés à des personnes dans le but de les amener à ouvrir et à cliquer sur des liens malveillants qui n'apparaissent pas ainsi. Dans cette dernière tentative, les courriers sont déguisés en provenance du Center for Disease Control and Prevention annonçant qu'il existe des informations d'urgence sur le virus.
C'est une manœuvre pour exploiter la peur des gens à l'égard du virus.
Bien que la prémisse réelle ne soit pas nouvelle, le problème se pose en raison de la présence de nouveaux mots qui dépassent les filtres existants et parce qu'il n'y a pas eu de modèles prévisibles pour aider à la création de nouvelles règles pour arrêter ces e-mails.
De plus, il existe également une inadéquation des liens vers le texte affiché, ce qui entraîne également des faux positifs et permet à ces e-mails de passer.
Actuellement, la plupart des organisations utilisent Secure Email Gateways pour analyser et identifier les menaces dans les e-mails reçus par les fournisseurs de messagerie. Ceux-ci sont également utilisés comme moteurs de détection de spam où les e-mails nuisibles sont identifiés et contrôlés.
Cependant, on voit qu'ils échouent à cette identification lorsque les emails commencent à utiliser des attaques personnalisées, ou même lorsqu'ils s'écartent légèrement des modes précédents. Ici, on voit que la plupart de ces e-mails ont traversé les défenses de Mimecast, Proofpoint, ATP de Microsoft, etc.
Les passerelles de messagerie sécurisées, ou SEG, ne fonctionnent que rétrospectivement, c'est-à-dire qu'elles ne peuvent apprendre des e-mails qu'une fois qu'ils ont été livrés. En d'autres termes, les SEG fonctionnent sur une liste d'adresses IP connues pour être mauvaises.
Pour que les technologies avancées de détection d'anomalies ou d'apprentissage automatique entrent en jeu, il est nécessaire d'envoyer des volumes importants d'e-mails similaires. Cela devient un problème car il est noté que ces e-mails incluent un mélange de domaines juste pour éviter qu'un modèle ne se réalise, ce qui rend inutile la capacité des SEG à inclure des adresses IP sur leur «mauvaise» liste.
Lis -Les pirates peuvent modifier la tension du processeur Intel pour voler la crypto-monnaie
Pour contrer les lacunes du SEG, il peut s'appuyer sur quelque chose appelé sandboxing qui crée essentiellement un environnement isolé pour tester les liens suspects et vérifier les pièces jointes dans les e-mails.
Cependant, même cela est insuffisant car les menaces potentielles utilisent des tactiques d'évasion telles que le temps d'activation, par lequel la menace 's'active' après une période définie, lui permettant de passer les défenses en place.
Cependant, il existe une nouvelle approche qui peut être utilisée à la place. La cyber IA s'appuie sur le contexte commercial et comprend comment les entreprises sont gérées au lieu de se concentrer uniquement sur les e-mails isolés.
Cela se fait en permettant à l'IA de développer un 'soi' pour lutter contre les activités anormales qui pourraient constituer une menace. Cela aide également l'IA à comprendre le comportement au-delà du réseau et la prépare aux nouvelles attaques qui pourraient émerger tout en lui donnant une compréhension au niveau de l'entreprise.