RSAConference2021將于舊金山時間5月17日召開，這將是RSA大會有史以來第一次采用網(wǎng)絡虛擬會議的形式舉辦。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網(wǎng)絡安全行業(yè)技術(shù)創(chuàng)新和投資的風向標。

前不久，RSA官方宣布了最終入選創(chuàng)新沙盒的十強初創(chuàng)公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將通過背景介紹、產(chǎn)品特點、點評分析等，帶大家了解入圍的十強廠商。今天，我們要介紹的是廠商是：Abnormal Security。

公司介紹

Abnormal Security是一家來自美國的電子郵件安全公司，其主要業(yè)務包括保護企業(yè)和機構(gòu)組織避免受到針對性的電子郵件攻擊。公司于2018年4月成立，公司總部位于美國西海岸舊金山灣區(qū)，其創(chuàng)始人包括Evan Reiser以及Sanjay Jeyakumar，Evan之前在twitter負責領(lǐng)導產(chǎn)品和機器學習團隊，Sanjay曾經(jīng)在Google作為首席工程師負責搜索技術(shù)和Android版本發(fā)布。公司具備很好的技術(shù)背景，公司于2020年11月剛剛完成B輪融資，總金額達到5000萬美元。公司為現(xiàn)在云辦公環(huán)境提供安全保障，通過利用先進的AI技術(shù)對針對性的郵件攻擊進行檢測并對電子郵件進行保護，此外能夠?qū)ζ髽I(yè)、人員以及供應鏈進行攻擊保護。

產(chǎn)品介紹

隨著云計算環(huán)境的發(fā)展，電子郵件安全最近幾年也在發(fā)生轉(zhuǎn)變。Gartner在2020年發(fā)布了最新的《電子郵件安全的市場洞察。報告中指出目前71%的企業(yè)在使用原生云或者混合云電子郵件，并且企業(yè)越來越多的依靠云環(huán)境中郵件SaaS服務的內(nèi)置郵件保護功能。并預測指出到2023年，至少40%的機構(gòu)組織將依靠云郵件服務提供商的內(nèi)置郵件保護功能作為郵件防護的手段，而在2020年這一比例是27%。此外報告中指出90%的數(shù)據(jù)泄露事件是由人為因素造成的，而人為因素導致的數(shù)據(jù)丟失是最常見的數(shù)據(jù)泄露原因。

隨著企業(yè)辦公服務在云端部署的越來越多，郵件服務也不斷遷移到辦公云中。在云環(huán)境下很多企業(yè)經(jīng)常受到黑客有針對性的郵件攻擊，如釣魚郵件、APT攻擊等，而且郵件SaaS平臺提供的郵件安全服務往往無法集成企業(yè)員工內(nèi)部系統(tǒng)，例如ERP系統(tǒng)、Vendor管理系統(tǒng)。為此，基于企業(yè)級電子郵件安全面臨的機遇與挑戰(zhàn)，Abnormal Security公司提出了郵件安全防護的新方法，并基于云環(huán)境建立了Abnormal架構(gòu)，具體如下圖所示。

Abnormal Security提出的Abnormal架構(gòu)包含5層結(jié)構(gòu)，具體包括負責收集數(shù)據(jù)整合數(shù)據(jù)的Data Layer，利用AI技術(shù)進行數(shù)據(jù)分析的AI Analysis Layer，利用行為分析、關(guān)系分析進行智能融合的Business Insights Layer，利用機器學習模型進行AI決策的AI Decision Engine，以及最終落地的產(chǎn)品Application。

Data Layer是檢測引擎的數(shù)據(jù)輸入層，Abnormal Security的云原生架構(gòu)已經(jīng)能夠與數(shù)十個平臺進行數(shù)據(jù)集成，其中不僅僅包括Microsoft Office365，G Suite等云服務平臺，而且也能夠?qū)⑵髽I(yè)本地側(cè)的ERP、Vendor Management等系統(tǒng)數(shù)據(jù)進行整合收集。Abnormal通過整合多源數(shù)據(jù)到統(tǒng)一平臺從而進行分析，并且能夠提供跨平臺的數(shù)據(jù)一致性保護。這樣帶來的好處是可以快速的一鍵式完成API集成，并且對于郵件流來說沒有風險，同時不影響現(xiàn)有的安全工具，既能夠支持用戶自定義的開放式API集成到現(xiàn)有的SIEM或者SOAR中，實現(xiàn)標準的數(shù)據(jù)輸入和響應處置；也可以支持開發(fā)者利用API自定義的拓展應用程序。此外為了能夠在Microsoft平臺上增強本地安全能力，利用Microsoft的API信息進行信息豐富。

在AI Analysis Layer，Abnormal利用大量的AI技術(shù)對API集成后的大量數(shù)據(jù)進行分析，其中用到的技術(shù)包括自然語言處理，計算機視覺，實體識別，文本分析，知識挖掘等。

Business Insights layer主要包括用戶行為分析，組織關(guān)系分析以及供應鏈分析。關(guān)于用戶行為分析，Abnormal是通過將企業(yè)中每個人的上千維數(shù)據(jù)進行歸一化整理得到一個人的所有形式的身份信息（包括電話、電子郵件、設備id等），對個人的數(shù)據(jù)進行關(guān)聯(lián)之后按照時間軸合并生成事件列表， AI分析系統(tǒng)會對每個人的多平臺融合數(shù)據(jù)進行智能分析。Abnormal與組織架構(gòu)系統(tǒng)進行集成，通過觀察通信模式和行為來學習非正式的組織層次結(jié)構(gòu)關(guān)系。組織關(guān)系分析不僅能理解企業(yè)組織內(nèi)的架構(gòu)關(guān)系，而且能夠?qū)缃M織間的關(guān)系進行學習理解。Business Insights Layer通過了解企業(yè)中的業(yè)務流程（例如審批流程、升級路徑）來獲取群落知識以及組織流程。通過對郵件等交流方式的分析理解，找出溝通過程中蘊含的關(guān)系和話題。供應鏈分析是Abnormal Security通過不斷的深入了解與企業(yè)交互的第三方來映射出完整的供應鏈，這個過程中每個和第三方通信過程中發(fā)現(xiàn)的屬性例如郵件、電話號、地址等信息都會被解析為一個特定的業(yè)務實體，業(yè)務實體最終會被映射到聯(lián)系人和渠道信息，商業(yè)文件也會被識別和分析，并通過信息提取技術(shù)提取出業(yè)務屬性，包括產(chǎn)品數(shù)據(jù)等信息。最終通過跟蹤企業(yè)實體從而得到整個供應鏈關(guān)系。

Abnormal Security通過利用AI Decision Engine對異常行為和正常行為進行區(qū)分判別，通過利用機器學習集成模型建立正常業(yè)務基線并對異常行為進行檢測，從而判斷異常風險程度。為了能夠讓決策引擎的判別結(jié)果更加容易被人類理解，利用可解釋的人工智能技術(shù)使得安全分析專家和決策引擎用戶之間的理解達成一致。

產(chǎn)品特點

Microsoft Office365目前是應用最廣泛的郵箱SaaS服務，其郵件安全防護主要包括Exchange Online Protection（EOP）和Advanced Threat Protection（ATP），EOP主要作為郵箱防護的基礎(chǔ)功能為用戶過濾垃圾郵件，檢測惡意軟件等；ATP主要作為Office365的升級服務可以提供自動響應和攻擊模擬的防護能力，避免公司組織收到復雜的郵件攻擊，例如網(wǎng)絡釣魚以及0day惡意軟件等。但是由于在企業(yè)中Office365無法結(jié)合部門和跨職能之間的用戶關(guān)系以及組織關(guān)系，因此無法對有針對性的郵件攻擊例如內(nèi)網(wǎng)釣魚、網(wǎng)絡欺詐、企業(yè)賬戶安全等更強的ATP攻擊進行有效防護；另一種傳統(tǒng)的郵件防護方式是SEG郵件安全網(wǎng)關(guān)，SEG郵件安全網(wǎng)關(guān)和Office365相比存在一定的安全防護特性的重復，例如垃圾郵件檢測，惡意軟件檢測；此外SEG郵件安全網(wǎng)關(guān)也無法覆蓋企業(yè)員工內(nèi)部系統(tǒng)，例如ERP系統(tǒng)、Vendor管理系統(tǒng)，和Office365的集成對SEG來說目前還不支持。Abnormal Security孵化的產(chǎn)品不僅能夠和Office365等郵件SaaS服務無縫集成，而且能夠利用AI技術(shù)解決企業(yè)郵件攻擊的檢測和防護，不僅包括APT攻擊、內(nèi)部釣魚、網(wǎng)絡欺詐等。而且通過將ERP、Vendor管理系統(tǒng)的信息集成到產(chǎn)品中，可以支持對企業(yè)用戶全方位的賬戶保護。對比Office365和SEG，Abnormal Security產(chǎn)品特點如下圖所示：

1.     使用人工智能決策引擎對商業(yè)電子郵件攻擊進行檢測并防護。以云原生模式和技術(shù)為基礎(chǔ)，通過一鍵式API解決方案對針對性的郵件攻擊進行阻止，避免手動檢測安全事件的延時問題以及漏報問題。不僅能夠防止內(nèi)部釣魚攻擊，而且還能識別并禁用有威脅的供應商賬戶。

2.     利用數(shù)據(jù)科學技術(shù)將云原生的API結(jié)構(gòu)和數(shù)據(jù)相結(jié)合，通過對通信進行學習和檢測，標記財務語言，利用計算機視覺技術(shù)可以將財務信息中的報告數(shù)據(jù)等進行識別，從而達到檢測發(fā)票欺詐、供應鏈攻擊的行為，避免對企業(yè)造成因郵件攻擊引起的經(jīng)濟損失。

3.     防止企業(yè)員工收到釣魚郵件和鏈接，防止敲詐、惡意軟件和勒索軟件的攻擊，避免垃圾郵件以及禮品詐騙等各種形式的詐騙行為。

總結(jié)

隨著云環(huán)境的發(fā)展，越來越多的企業(yè)將業(yè)務遷移到云環(huán)境中，其中電子郵件業(yè)務也逐漸從傳統(tǒng)郵箱方式向云環(huán)境進行轉(zhuǎn)移。電子郵件安全也因此面臨著新的挑戰(zhàn)，越來越多的攻擊者會針對企業(yè)或者機構(gòu)組織進行針對性的電子郵件攻擊，一旦在電子郵件中出現(xiàn)數(shù)據(jù)泄露或者被釣魚等威脅的發(fā)生，都會給企業(yè)帶來嚴重的利益損失。

目前Abnormal Security已經(jīng)提出了一種針對云環(huán)境下的電子郵件防護技術(shù)來防御并組織惡意的電子郵件攻擊，其產(chǎn)品的創(chuàng)新之處在于結(jié)合當前云原生環(huán)境的發(fā)展和需求，孵化出了基于AI人工智能技術(shù)的電子郵件安全防護機制。并且在基于用戶行為分析和知識圖譜構(gòu)建的惡意電子郵件檢測的基礎(chǔ)上，實現(xiàn)事件自動化響應、郵箱賬戶泄露檢測以及濫用郵箱檢測等一系列電子郵件防護機制。但是筆者的顧慮是部署其防護平臺的公司需要向Abnormal Security暴露過多的信息，不僅包括企業(yè)的機密信息也包括公司員工個人的隱私數(shù)據(jù)，這一過程是否導致產(chǎn)品在推廣的過程中受阻或者是出現(xiàn)隱私泄露的問題。

 Abnormal Security提出的郵件防護機制不僅能夠無縫對接企業(yè)安全平臺，也具備通過AI人工智能技術(shù)強大的學習能力，從而預測出偏離正常行為基線的異常行為。能夠?qū)ζ髽I(yè)郵件安全進行一站式服務，不僅適應當前技術(shù)的發(fā)展，也具備比較高的技術(shù)壁壘，筆者認為Abnormal Security未來前景很好，而且在本次RSA創(chuàng)新沙盒的競爭中具備很強的競爭力。