在衡量電子郵件安全解決方案的有效性時，有兩個標(biāo)準(zhǔn)高于其他標(biāo)準(zhǔn)。首先是準(zhǔn)確性問題：該解決方案是否始終如一地捕獲惡意電子郵件，同時允許合法且無威脅的通信通過？或者用最簡單的話來說，它是阻止壞事而允許好事嗎？

在第一個標(biāo)準(zhǔn)中，決策者明智地考慮兩個微妙不同但同樣重要的問題：它是否真的阻止了壞事（即它是否在正確的時間采取有意義的行動），以及它是否阻止了真正的壞事（即它不僅捕獲了唾手可得的果實，而且捕獲了通常繞過網(wǎng)關(guān)的更高級的電子郵件威脅，例如可能花費數(shù)萬美元的受信任的第三方冒充攻擊）？

在考慮投資回報 (ROI) 時，第二個因素通常沒有得到應(yīng)有的重視：產(chǎn)品需要 IT 團隊投入多少時間和精力？網(wǎng)絡(luò)安全應(yīng)該成為 IT 專業(yè)人員和整個企業(yè)的推動力，但在很多情況下，電子郵件工具會無意中阻止合法流量并篡改郵件流，從而增加人員團隊的工作量并擾亂業(yè)務(wù)運營。

此博客解釋了基于AI 的電子郵件安全方法如何不僅提供更好的準(zhǔn)確性和捕獲率，而且還通過一種自我學(xué)習(xí)并幾乎立即生效的解決方案顯著縮短了獲得能力的時間。

領(lǐng)先時代

大多數(shù)組織繼續(xù)與傳統(tǒng)的“安全”電子郵件網(wǎng)關(guān)作斗爭，這些網(wǎng)關(guān)不僅錯過了高級電子郵件攻擊，而且占用了 IT 安全人員的寶貴時間，他們很容易發(fā)現(xiàn)自己每周要花費 20 多個小時來處理 PowerShell 腳本，查找和刪除收件箱中的惡意電子郵件，跟進員工，并對工具進行配置更改。那些乏味、影響不大的時間可以用來主動提高安全性并掌握潛在威脅。

現(xiàn)在讓我們看看自主人工智能技術(shù)是如何處理電子郵件安全的。Antigena 電子郵件利用無監(jiān)督機器學(xué)習(xí)來“在工作中”學(xué)習(xí)，識別每個用戶和郵箱的“正常”行為。由于這種自學(xué)習(xí)方法，它無需任何調(diào)整即可適應(yīng)工作實踐的長期變化，并且很容易區(qū)分惡意行為和簡單的異常行為。Antigena Email 的發(fā)現(xiàn)以任何人都易于理解的方式進行標(biāo)記和呈現(xiàn)：無論是您、您的新入門者還是您的執(zhí)行團隊。

Antigena 電子郵件旨在讓您無需瀏覽冗長的手冊或記住首字母縮略詞和定制術(shù)語。當(dāng)發(fā)生電子郵件安全事件時，它會安靜地處理它，而不會對更廣泛的業(yè)務(wù)產(chǎn)生影響。此外，它可以自動顯示一個簡單的、高級別的事件敘述，用日常語言告訴您您需要知道什么、電子郵件為什么不好，以及 Antigena Email 采取行動的原因。

看護網(wǎng)關(guān)

讓我們回到網(wǎng)關(guān)一秒鐘。正如我們在之前的博客文章中所討論的那樣，這些工具依賴于一系列信譽檢查來識別惡意電子郵件：它們單獨檢查每封電子郵件，運行域、IP 地址以及針對一系列黑名單的任何文件哈希。然而，網(wǎng)絡(luò)犯罪分子很容易通過購買數(shù)千個域名（通常每個只需幾美分）并縮短他們的攻擊周期來繞過這一點。正如以前從未見過的那樣，新域沒有聲譽，因此網(wǎng)關(guān)必須冒著錯過新攻擊的風(fēng)險，或者在每種情況下都承擔(dān)威脅并每周處理成百上千的誤報。

對于安全團隊來說，這意味著必須不斷地監(jiān)控技術(shù)并“發(fā)布”被阻止的非威脅性電子郵件。

此外，網(wǎng)關(guān)經(jīng)過硬編碼以某種方式運行，因此如果數(shù)字環(huán)境發(fā)生重大且不可預(yù)見的變化——例如突然過渡到遠程工作——則需要重新配置。在許多情況下，這可能是一項艱巨且耗時的任務(wù)。通過一系列復(fù)選框和切換按鈕，無需經(jīng)過適當(dāng)培訓(xùn)，IT 安全員工只需單擊一下即可在整個組織中大幅改變郵件流。說他們在談?wù)摫仨毭刻鞕z查的已處理電子郵件隊列時工作過度。組織認為全面保護需要積極的策略和隨之而來的相關(guān)手動工作。事實上，情況恰恰相反：激進的策略使 IT 團隊負擔(dān)過重，對組織的安全地位產(chǎn)生負面影響。

AI 電子郵件安全：設(shè)置并忘記它

將圖 1 與上面的危險復(fù)選框進行對比。在圖 1 中，做后端工作的是 AI，而不是用戶。每封電子郵件都在發(fā)件人、收件人、通信歷史、鏈接、一天中的時間和一長串其他指標(biāo)的上下文中進行分析。當(dāng)對數(shù)據(jù)提出數(shù)百萬個問題時，不可能嘗試對這些問題進行編程或完全理解審訊的水平。

當(dāng)識別出威脅時，AI 會根據(jù)威脅的性質(zhì)采取外科手術(shù)式和相稱的反應(yīng)，而不是大刀闊斧地做出反應(yīng)。該技術(shù)在幾分鐘內(nèi)安裝完畢，這就是它所做的所有配置和微調(diào)：然后系統(tǒng)會持續(xù)不斷地更新其對組織的理解，而無需人工干預(yù)。

為什么 IT 很重要

我們正面臨著日益嚴重的網(wǎng)絡(luò)技能短缺，甚至在大流行之前，安全團隊往往很精簡而且人手不足。轉(zhuǎn)向遠程工作所帶來的工作實踐發(fā)生了巨大變化，這給 SOC 帶來了更大的壓力。尋找不僅準(zhǔn)確，而且可以為安全團隊節(jié)省大量時間的技術(shù)，現(xiàn)在比以往任何時候都更加重要。

這導(dǎo)致成千上萬的組織放棄他們現(xiàn)有的網(wǎng)關(guān)，轉(zhuǎn)而采用一種根本不同的電子郵件安全方法，在這種方法中，AI 承擔(dān)了重任，而不是過度緊張的 IT 團隊。