【创科广场】港产邮件保安 机器学习防钓鱼
本港代理IT保安产品的安领国际控股(Edvance)建立电邮网络安全公司剑达(香港)(Green Radar),透过「托管式侦测及回应」(Managed Detection &; Response,MDR)模式的电邮安全监控中心(SOC),保护电邮安全。
近期不少利用疫情等主题攻击,骗取用户密码和身分凭证,不少更受勒索软件攻击,如何有效过滤电子邮件,以防钓鱼软件攻击,变成第一度防线。
MDR属于托管式保安服务,专为企业提供威胁追踪及应变服务,由专业研究人员和工程人员帮助客户监控网络、分析事件、回应各种对端点客户的攻击。
国际上MDR厂商最著名Trend Micro和PAN,后者 ;Cortex XDR ;2.0在MITRE ATT&;CK框架获得不错表现,采用第三方数据分析和研究,同时强化防御、检测、调查以及应对威胁。微软以新推出Sentinel是结合了SIEM和SOAR,也具备本身的XDR服务和电邮过滤。
不过Green Radar提供的是一站式服务,本港有多家IT技术和电讯商,以托管形式提供类似保安服务;但Edvance亦代理不少IT保安产品,再以Green Radar以MDR提供本地电邮网络安全,可能只是第一步,日后提供其他托管保安。
自动化监测更快更准
Green Radar指其MDR模式的电邮SOC,采用了机器学习(Machine Learning)自动化监测程序,可从钓鱼威胁警报抽出可疑事件,缩短辨识和拦截时间及提升准确度;近期不少SOC,均循AI/ML开发不同的模型,以自动化SOC的营运。
Green Radar作为托管保安服务,仍须建立SIEM系统,配合SOAR(Security Orchestration, Automation and Response)即网络保安协调、自动化和回应工具,再打造出MDR服务。部分MDR已利用Elastic Search等开源工具,本港不少SOC亦利用Splunk ES,再自行开发SOAR,提供类似MDR服务;而Edvance则为Splunk代理。
Green Radar表示技术加入连结检测,针对传统「电子邮件安全闸道」(Secure Email Gateway)缺乏针对检测连结能力的弱点;而Green Radar的grAnalytics功能采用机器学习方式,可侦测七成钓鱼电邮,其余三成由SOC团队分析及处理,务求阻挡钓鱼电邮。
Green Radar行政总裁廖锐霆表示:「随着电邮攻击的手法愈来愈复杂多变,企业需要更高效能保护方案。 Green Radar 以实时监控和大数据分析,主动回应来自电邮的威胁,提高检测钓鱼电邮准确性。」
Green Radar为Edvance全资附属公司,Green Radar透过沙盒分析、人工智能和大数据分析判断电邮真伪,采用自研机器学习方式进行实时数据分析,也专注本地市场威胁情报,以本地知名品牌发出的钓鱼电邮,也可准确抽出。
