利用NLU優化DLP提高郵件安全

電子郵件安全初創公司Armorblox最新推出的高級數據防泄漏服務強調了利用人工智能的力量來保護諸如電子郵件的企業通信。

研究如何使自然語言（人使用的語言）代替像Java, C, 或者 Rust這樣的構造語言（機器語言）而成為機器的工作語言是人工智能研究中最有趣的領域之一。自然語言處理（NLP）領域關注的是機器如何讀取語言，并將其轉換為一種具有標準結構的信息。而Armorblox股份有限公司引入其平臺的自然語言理解（NLU）指的是理解語言并識別其表達的語境、意圖以及情感。例如，對于“你敢罵我，等我有時間再找你算賬！”這句話，NLP可能會字面意思上理解為“算賬”，而NLU就可以分析出這是關于“打架”方面的。

Forgepoint Capital的總裁 Will Lin表示：“自然語言現在已經相當成熟了，并且在許多安全用例中都投入了使用，其中在檢測與防護方面的成果尤為明顯。NLP/NLU尤其適合幫助安全防護人員搞清楚他們在企業環境中擁有什么？”

Lin還表示：“公司及其客戶制造了大量的數據。而NLP/NLU可以幫助他們弄清楚哪些是風險最大的數據，以及這些數據是如何在組織中流動的，并建立控制以防止其被濫用，這是非常寶貴的。”

企業電子郵件中的NLU

因為要推算出惡意意圖往往是需要上下文的，而這些上下文又存在于每條消信息中，所以NLU 非常適合掃描企業電子郵件來檢測并篩除垃圾郵件和其他的惡意內容。

Armorblox的聯合創始人兼CPO， Anand Raghavan表示：“像郵件發送方的IP地址、域、以及郵件接收方等，這些元數據信息，結合著郵件正文和附件中的上下文，可以推斷出郵件是否為良性。”并且多虧了谷歌和微軟，在其郵件服務中提前幫助我們篩除了垃圾郵件以及網絡釣魚郵件，所以人們可以更好地利用機器讀取他們的信息并篩除惡意信息。

Raghavan問：“你上次在Gmail中看到垃圾郵件是什么時候？”他指出：人們相信惡意信息已經被刪除掉了。

Omdia的高級首席分析師，Fernando Montenegro表示：“除了過濾垃圾郵件，NLU還可以用于解析商業電子郵件詐騙”。在數據泄露事件中，90%都是基于電子郵件的網絡釣魚攻擊。所以，安全團隊致力于尋找一些方法，在用戶接收到這些惡意信息之前，就將其過濾掉。

盡管安全意識培訓是很有價值的，但是想要僅依賴培訓來達到百分百的安全是不現實的。人類是具有權威偏見的，更傾向于信任例如老板的這類權威人士。而機器就不容易受到權威壓力的影響，它更能夠發現蛛絲馬跡，識別出那些引導收件人向新地址發信息的郵件，并非真正來自CEO。

即使經過了大量的安全培訓，也總會有那么一小部分用戶會點開惡意連接，或者相信一些詐騙信息。Raghavan引用了保險公司AIG最近發布的一份報告，該報告顯示：在網絡安全相關的索賠中，最常見的就是商業電子郵件詐騙。

Raghavan表示，就算你再怎么進行安全培訓，也總會有那么一小部分的惡意鏈接會成為漏網之魚，被用戶所點擊。”這就是為什么我們需要利用技術，來在用戶收到這些信息之前，就將其攔截。另外，還存在著另一種類型的攻擊，即通過盜取已知供應商的的身份或者已知供應商的郵件地址，來向公司發送一個付款申請。對于接收方來說，這是一個已知且合法的聯系人，并且支付方式的變動也不是什么新奇的事。所以，收信方往往會進行支付，他們也未能意識到資金其實是被轉到了其他地方。僅依靠安全培訓來檢測此類欺詐信息是遠遠不夠的，并且沒有NLU能力的技術也很難識別出此類欺詐信息。

數據防泄漏中的NLU 

Raghavan表示，Armorblox新推出的高級數據防泄漏服務，利用NLU來保護組織免受敏感信息被惡意泄露的危害。Armorblox通過分析電子郵件的內容與附件，來識別經過電子郵件渠道的敏感數據泄露實例。

Armorblox聲稱，相比于傳統的數據防泄漏，NLU的引入可以使誤報率降低10倍。

DLP原理非常簡單，它只是檢測關鍵信息是否會被發送給未經授權的收件人。傳統上，DLP依賴于靜態規則和正則表達式（regex）。例如，查找一些特殊關鍵詞（如機密項目的代號）和九位數的字符串（疑似是社會安全號碼）。

然而，僅靠以上這些是不夠的，會漏掉許多東西。如果惡意發送方足夠謹慎，特地避開了這些關鍵詞，那么DLP就無法檢測到該惡意消息。對于安全團隊來說，不斷地制定規則來捕捉每一個潛在的惡意消息是低效且耗時的。況且，有些規則還會造成一些誤報。Raghavan指出：“如果DLP被配置為標記所有的包含9位數字符串的消息，那么這就意味著每條帶有Zoom會議鏈接的消息都會被誤標記為惡意信息。”

Raghavan表示：“理解消息的內容是關鍵，這就是為什么說NLU是為DLP量身打造的。”NLU的投入使用，意味著DLP引擎無需再通過手工更新規則。隨著DLP對所輸入信息的不斷學習，規則策略將會不斷地自動更新。

網絡安全中的NLU 

Raghavan表示：“Armorblox正在考慮拓展電子郵件以外的其他類型的企業信息平臺，例如Slack。”并且NLU和NLP也可以應用于電子郵件和通信之外的其他領域。Lin表示：“在云端對數據對象進行分類也是一個比較常見的用例，這對許多事件響應和合規性工作流提供了動力。”Forgepoint Capital的兩家投資公司 Symmetry Systems 和 DeepSee 目前正在利用NLP模型來幫助構建分類器和知識圖譜。

Montenegro表示：“NLU還可以被用來解析信息披露或錯誤報告中的漏洞描述。并在一定程度上優化操作，從而更好地解析請求。”

Lin 和 Montenegro都強調：“要使NLU和NLP普遍應用于網絡安全領域，還有很多工作需要做。”Montenegro表示：“即便如此，NLU的普遍應用也很困難，它偏離用例太遠，并且會使事情崩潰。”

數世點評

隨著電子郵件詐騙手段的不斷升級，DLP單純地通過檢測特殊關鍵詞已無法準確識別那些經過演化的惡意消息。而NLU的主要作用就是對消息內容進行分析并補全上下文，從而提取出發信人的真實意圖。因此，引入NLU對DLP來說，不僅提高了效率，同時也降低了誤檢率。可以說，在一定程度上NLU就是為DLP量身打造的。