RSAConference2021將于舊金山時(shí)間5月17日召開，這將是RSA大會(huì)有史以來第一次采用網(wǎng)絡(luò)虛擬會(huì)議的形式舉辦。大會(huì)的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網(wǎng)絡(luò)安全行業(yè)技術(shù)創(chuàng)新和投資的風(fēng)向標(biāo)。

前不久，RSA官方宣布了最終入選創(chuàng)新沙盒的十強(qiáng)初創(chuàng)公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將通過背景介紹、產(chǎn)品特點(diǎn)、點(diǎn)評(píng)分析等，帶大家了解入圍的十強(qiáng)廠商。今天，我們要介紹的是廠商是：Abnormal Security。

公司介紹

Abnormal Security是一家來自美國的電子郵件安全公司，其主要業(yè)務(wù)包括保護(hù)企業(yè)和機(jī)構(gòu)組織避免受到針對(duì)性的電子郵件攻擊。公司于2018年4月成立，公司總部位于美國西海岸舊金山灣區(qū)，其創(chuàng)始人包括Evan Reiser以及Sanjay Jeyakumar，Evan之前在twitter負(fù)責(zé)領(lǐng)導(dǎo)產(chǎn)品和機(jī)器學(xué)習(xí)團(tuán)隊(duì)，Sanjay曾經(jīng)在Google作為首席工程師負(fù)責(zé)搜索技術(shù)和Android版本發(fā)布。公司具備很好的技術(shù)背景，公司于2020年11月剛剛完成B輪融資，總金額達(dá)到5000萬美元。公司為現(xiàn)在云辦公環(huán)境提供安全保障，通過利用先進(jìn)的AI技術(shù)對(duì)針對(duì)性的郵件攻擊進(jìn)行檢測并對(duì)電子郵件進(jìn)行保護(hù)，此外能夠?qū)ζ髽I(yè)、人員以及供應(yīng)鏈進(jìn)行攻擊保護(hù)。

產(chǎn)品介紹

隨著云計(jì)算環(huán)境的發(fā)展，電子郵件安全最近幾年也在發(fā)生轉(zhuǎn)變。Gartner在2020年發(fā)布了最新的《電子郵件安全的市場洞察。報(bào)告中指出目前71%的企業(yè)在使用原生云或者混合云電子郵件，并且企業(yè)越來越多的依靠云環(huán)境中郵件SaaS服務(wù)的內(nèi)置郵件保護(hù)功能。并預(yù)測指出到2023年，至少40%的機(jī)構(gòu)組織將依靠云郵件服務(wù)提供商的內(nèi)置郵件保護(hù)功能作為郵件防護(hù)的手段，而在2020年這一比例是27%。此外報(bào)告中指出90%的數(shù)據(jù)泄露事件是由人為因素造成的，而人為因素導(dǎo)致的數(shù)據(jù)丟失是最常見的數(shù)據(jù)泄露原因。

隨著企業(yè)辦公服務(wù)在云端部署的越來越多，郵件服務(wù)也不斷遷移到辦公云中。在云環(huán)境下很多企業(yè)經(jīng)常受到黑客有針對(duì)性的郵件攻擊，如釣魚郵件、APT攻擊等，而且郵件SaaS平臺(tái)提供的郵件安全服務(wù)往往無法集成企業(yè)員工內(nèi)部系統(tǒng)，例如ERP系統(tǒng)、Vendor管理系統(tǒng)。為此，基于企業(yè)級(jí)電子郵件安全面臨的機(jī)遇與挑戰(zhàn)，Abnormal Security公司提出了郵件安全防護(hù)的新方法，并基于云環(huán)境建立了Abnormal架構(gòu)，具體如下圖所示。

Abnormal Security提出的Abnormal架構(gòu)包含5層結(jié)構(gòu)，具體包括負(fù)責(zé)收集數(shù)據(jù)整合數(shù)據(jù)的Data Layer，利用AI技術(shù)進(jìn)行數(shù)據(jù)分析的AI Analysis Layer，利用行為分析、關(guān)系分析進(jìn)行智能融合的Business Insights Layer，利用機(jī)器學(xué)習(xí)模型進(jìn)行AI決策的AI Decision Engine，以及最終落地的產(chǎn)品Application。

Data Layer是檢測引擎的數(shù)據(jù)輸入層，Abnormal Security的云原生架構(gòu)已經(jīng)能夠與數(shù)十個(gè)平臺(tái)進(jìn)行數(shù)據(jù)集成，其中不僅僅包括Microsoft Office365，G Suite等云服務(wù)平臺(tái)，而且也能夠?qū)⑵髽I(yè)本地側(cè)的ERP、Vendor Management等系統(tǒng)數(shù)據(jù)進(jìn)行整合收集。Abnormal通過整合多源數(shù)據(jù)到統(tǒng)一平臺(tái)從而進(jìn)行分析，并且能夠提供跨平臺(tái)的數(shù)據(jù)一致性保護(hù)。這樣帶來的好處是可以快速的一鍵式完成API集成，并且對(duì)于郵件流來說沒有風(fēng)險(xiǎn)，同時(shí)不影響現(xiàn)有的安全工具，既能夠支持用戶自定義的開放式API集成到現(xiàn)有的SIEM或者SOAR中，實(shí)現(xiàn)標(biāo)準(zhǔn)的數(shù)據(jù)輸入和響應(yīng)處置；也可以支持開發(fā)者利用API自定義的拓展應(yīng)用程序。此外為了能夠在Microsoft平臺(tái)上增強(qiáng)本地安全能力，利用Microsoft的API信息進(jìn)行信息豐富。

在AI Analysis Layer，Abnormal利用大量的AI技術(shù)對(duì)API集成后的大量數(shù)據(jù)進(jìn)行分析，其中用到的技術(shù)包括自然語言處理，計(jì)算機(jī)視覺，實(shí)體識(shí)別，文本分析，知識(shí)挖掘等。

Business Insights layer主要包括用戶行為分析，組織關(guān)系分析以及供應(yīng)鏈分析。關(guān)于用戶行為分析，Abnormal是通過將企業(yè)中每個(gè)人的上千維數(shù)據(jù)進(jìn)行歸一化整理得到一個(gè)人的所有形式的身份信息（包括電話、電子郵件、設(shè)備id等），對(duì)個(gè)人的數(shù)據(jù)進(jìn)行關(guān)聯(lián)之后按照時(shí)間軸合并生成事件列表， AI分析系統(tǒng)會(huì)對(duì)每個(gè)人的多平臺(tái)融合數(shù)據(jù)進(jìn)行智能分析。Abnormal與組織架構(gòu)系統(tǒng)進(jìn)行集成，通過觀察通信模式和行為來學(xué)習(xí)非正式的組織層次結(jié)構(gòu)關(guān)系。組織關(guān)系分析不僅能理解企業(yè)組織內(nèi)的架構(gòu)關(guān)系，而且能夠?qū)缃M織間的關(guān)系進(jìn)行學(xué)習(xí)理解。Business Insights Layer通過了解企業(yè)中的業(yè)務(wù)流程（例如審批流程、升級(jí)路徑）來獲取群落知識(shí)以及組織流程。通過對(duì)郵件等交流方式的分析理解，找出溝通過程中蘊(yùn)含的關(guān)系和話題。供應(yīng)鏈分析是Abnormal Security通過不斷的深入了解與企業(yè)交互的第三方來映射出完整的供應(yīng)鏈，這個(gè)過程中每個(gè)和第三方通信過程中發(fā)現(xiàn)的屬性例如郵件、電話號(hào)、地址等信息都會(huì)被解析為一個(gè)特定的業(yè)務(wù)實(shí)體，業(yè)務(wù)實(shí)體最終會(huì)被映射到聯(lián)系人和渠道信息，商業(yè)文件也會(huì)被識(shí)別和分析，并通過信息提取技術(shù)提取出業(yè)務(wù)屬性，包括產(chǎn)品數(shù)據(jù)等信息。最終通過跟蹤企業(yè)實(shí)體從而得到整個(gè)供應(yīng)鏈關(guān)系。

Abnormal Security通過利用AI Decision Engine對(duì)異常行為和正常行為進(jìn)行區(qū)分判別，通過利用機(jī)器學(xué)習(xí)集成模型建立正常業(yè)務(wù)基線并對(duì)異常行為進(jìn)行檢測，從而判斷異常風(fēng)險(xiǎn)程度。為了能夠讓決策引擎的判別結(jié)果更加容易被人類理解，利用可解釋的人工智能技術(shù)使得安全分析專家和決策引擎用戶之間的理解達(dá)成一致。

產(chǎn)品特點(diǎn)

Microsoft Office365目前是應(yīng)用最廣泛的郵箱SaaS服務(wù)，其郵件安全防護(hù)主要包括Exchange Online Protection（EOP）和Advanced Threat Protection（ATP），EOP主要作為郵箱防護(hù)的基礎(chǔ)功能為用戶過濾垃圾郵件，檢測惡意軟件等；ATP主要作為Office365的升級(jí)服務(wù)可以提供自動(dòng)響應(yīng)和攻擊模擬的防護(hù)能力，避免公司組織收到復(fù)雜的郵件攻擊，例如網(wǎng)絡(luò)釣魚以及0day惡意軟件等。但是由于在企業(yè)中Office365無法結(jié)合部門和跨職能之間的用戶關(guān)系以及組織關(guān)系，因此無法對(duì)有針對(duì)性的郵件攻擊例如內(nèi)網(wǎng)釣魚、網(wǎng)絡(luò)欺詐、企業(yè)賬戶安全等更強(qiáng)的ATP攻擊進(jìn)行有效防護(hù)；另一種傳統(tǒng)的郵件防護(hù)方式是SEG郵件安全網(wǎng)關(guān)，SEG郵件安全網(wǎng)關(guān)和Office365相比存在一定的安全防護(hù)特性的重復(fù)，例如垃圾郵件檢測，惡意軟件檢測；此外SEG郵件安全網(wǎng)關(guān)也無法覆蓋企業(yè)員工內(nèi)部系統(tǒng)，例如ERP系統(tǒng)、Vendor管理系統(tǒng)，和Office365的集成對(duì)SEG來說目前還不支持。Abnormal Security孵化的產(chǎn)品不僅能夠和Office365等郵件SaaS服務(wù)無縫集成，而且能夠利用AI技術(shù)解決企業(yè)郵件攻擊的檢測和防護(hù)，不僅包括APT攻擊、內(nèi)部釣魚、網(wǎng)絡(luò)欺詐等。而且通過將ERP、Vendor管理系統(tǒng)的信息集成到產(chǎn)品中，可以支持對(duì)企業(yè)用戶全方位的賬戶保護(hù)。對(duì)比Office365和SEG，Abnormal Security產(chǎn)品特點(diǎn)如下圖所示：

1.     使用人工智能決策引擎對(duì)商業(yè)電子郵件攻擊進(jìn)行檢測并防護(hù)。以云原生模式和技術(shù)為基礎(chǔ)，通過一鍵式API解決方案對(duì)針對(duì)性的郵件攻擊進(jìn)行阻止，避免手動(dòng)檢測安全事件的延時(shí)問題以及漏報(bào)問題。不僅能夠防止內(nèi)部釣魚攻擊，而且還能識(shí)別并禁用有威脅的供應(yīng)商賬戶。

2.     利用數(shù)據(jù)科學(xué)技術(shù)將云原生的API結(jié)構(gòu)和數(shù)據(jù)相結(jié)合，通過對(duì)通信進(jìn)行學(xué)習(xí)和檢測，標(biāo)記財(cái)務(wù)語言，利用計(jì)算機(jī)視覺技術(shù)可以將財(cái)務(wù)信息中的報(bào)告數(shù)據(jù)等進(jìn)行識(shí)別，從而達(dá)到檢測發(fā)票欺詐、供應(yīng)鏈攻擊的行為，避免對(duì)企業(yè)造成因郵件攻擊引起的經(jīng)濟(jì)損失。

3.     防止企業(yè)員工收到釣魚郵件和鏈接，防止敲詐、惡意軟件和勒索軟件的攻擊，避免垃圾郵件以及禮品詐騙等各種形式的詐騙行為。

總結(jié)

隨著云環(huán)境的發(fā)展，越來越多的企業(yè)將業(yè)務(wù)遷移到云環(huán)境中，其中電子郵件業(yè)務(wù)也逐漸從傳統(tǒng)郵箱方式向云環(huán)境進(jìn)行轉(zhuǎn)移。電子郵件安全也因此面臨著新的挑戰(zhàn)，越來越多的攻擊者會(huì)針對(duì)企業(yè)或者機(jī)構(gòu)組織進(jìn)行針對(duì)性的電子郵件攻擊，一旦在電子郵件中出現(xiàn)數(shù)據(jù)泄露或者被釣魚等威脅的發(fā)生，都會(huì)給企業(yè)帶來嚴(yán)重的利益損失。

目前Abnormal Security已經(jīng)提出了一種針對(duì)云環(huán)境下的電子郵件防護(hù)技術(shù)來防御并組織惡意的電子郵件攻擊，其產(chǎn)品的創(chuàng)新之處在于結(jié)合當(dāng)前云原生環(huán)境的發(fā)展和需求，孵化出了基于AI人工智能技術(shù)的電子郵件安全防護(hù)機(jī)制。并且在基于用戶行為分析和知識(shí)圖譜構(gòu)建的惡意電子郵件檢測的基礎(chǔ)上，實(shí)現(xiàn)事件自動(dòng)化響應(yīng)、郵箱賬戶泄露檢測以及濫用郵箱檢測等一系列電子郵件防護(hù)機(jī)制。但是筆者的顧慮是部署其防護(hù)平臺(tái)的公司需要向Abnormal Security暴露過多的信息，不僅包括企業(yè)的機(jī)密信息也包括公司員工個(gè)人的隱私數(shù)據(jù)，這一過程是否導(dǎo)致產(chǎn)品在推廣的過程中受阻或者是出現(xiàn)隱私泄露的問題。

 Abnormal Security提出的郵件防護(hù)機(jī)制不僅能夠無縫對(duì)接企業(yè)安全平臺(tái)，也具備通過AI人工智能技術(shù)強(qiáng)大的學(xué)習(xí)能力，從而預(yù)測出偏離正常行為基線的異常行為。能夠?qū)ζ髽I(yè)郵件安全進(jìn)行一站式服務(wù)，不僅適應(yīng)當(dāng)前技術(shù)的發(fā)展，也具備比較高的技術(shù)壁壘，筆者認(rèn)為Abnormal Security未來前景很好，而且在本次RSA創(chuàng)新沙盒的競爭中具備很強(qiáng)的競爭力。