创新的策略：应对商业邮件骗局的意图导向方法

关键要点

• 思科Talos的研究人员提出了一种意图导向的方法来应对商业邮件诈骗（BEC）攻击。
• 利用神经网络，能有效检测到BEC并将其分类为特定类型的诈骗。
• 这种方法可以帮助安全团队识别受攻击的组织部门及被冒充的员工。
• 尽管该方法有效，但结合传统的邮件安全最佳实践与员工培训仍是最强防线。

在周三的发布会上，研究人员们详细阐述了一种利用神经网络的创新方法，以缓解商业邮件骗局（BEC）攻击的影响。这种方法通过检测BEC后，将其分类为特定的诈骗类型，从而进行针对性的防护。

在一篇中，思科Talos的研究人员表示，意图导向的方法可以不论威胁行为者是冒充高级管理人员还是公司普通员工，都能捕获BEC信息。具体来说，该系统通过提取电子邮件中的文本，采用神经网络语言模型（NNLM）或双向编码器表征转换（BERT）进行句子的向量化处理，从而实现检测和分类。

研究人员指出，基于诈骗类型的分类能够帮助安全团队识别目标组织的哪一个部门遭到攻击，以及哪些员工被冒充。因此，意图导向的方法不仅能检测BEC，还能将其贴上特定的标签。这其中可涉及到工资、资金转账、初步钓鱼、礼品卡骗局、发票诈骗、收购骗局、W2诈骗和账龄报告等多种类型。

“采用意图导向的检测系统应对商业邮件诈骗（BEC）可以帮助安全团队检测和防止BEC及其相关诈骗的利用。” Keeper Security首席安全与架构副总裁Patrick Tiquet表示。

然而，Tiquet强调，最有效的防御仍然是层多个防范措施，包括传统的邮件安全最佳实践、员工安全意识培训以及实施安全的商业流程和规程。

“基于算法的检测方法的问题在于，假阴性和假阳性仍然是有可能发生的，”Tiquet指出。“算法根据检测的概率得分进行分类，而这完全取决于触发的阈值配置。”

Tiquet表示，基于算法的检测在消费和企业终端检测市场上被广泛应用于恶意软件检测，尽管是最优秀的算法系统，假阳性和假阴性的问题依然存在。

“组织在部署这样的系统时，不应认为他们能从此获得100%的保护，”Tiquet警告。“最终，他们仍需训练员工识别可能的BEC，并建立相应的程序来防护BEC利用和诈骗。”

尽管意图导向的方法在管理层冒充方面效果不错，但因为其通过行为分析来判断意图，可能会带来高比例的假阳性，这是由于其效果依赖于过去的行为，提升了相关风险。SlashNext首席执行官PatrickHarr指出，这些假阳性常常给企业带来困扰。

“对组织而言，假阴性更为有害，”Harr表示。“这在员工账户被接管后尤为明显。如果该账户发出一种被视为标准行为的请求，意图将不会被标记。这就是为什么凭证收集在攻击链的开始阶段成为了最常见的威胁，也是造成泄露的首要原因，包括BEC的原因。”