Af Torben B. Sørensen, 22/08/17
Fem amerikanske sikkerhedsforskere har skrevet artiklen "Detecting Credential Spearphishing Attacks in Enterprise Settings". Her beskriver de en metode til at opdage spearphishing – målrettede e-mails, der forsøger at få ansatte til at oplyse deres brugernavn og password ved at lokke dem hen på en falsk login-side.
Til projektet fik forskerne adgang til over 370 millioner e-mails fra en virksomhed med tusindvis af medarbejdere. Deres metode fandt frem til seks spearphishing-angreb, som medarbejdere var faldet for. Et syvende angreb opdagede metoden ikke.
Men den fandt også ni angreb, der ikke lykkedes, og to, der var lykkedes, og som virksomheden ikke før havde opdaget.
En udfordring ved at opdage spearphishing er, at der som regel kommer meget få mails af den type. Derfor er falske alarmer et problem: Selvom en metode kun medfører en promille falske positiver, ville det for virksomheden i eksemplet betyde 370.000 falske alarmer, som dens sikkerhedsfolk skulle tage stilling til.
Forskernes metode medfører færre falske alarmer. I gennemsnit kan en enkelt sikkerhedsanalytiker behandle en måneds alarmer på et kvarters tid.
Metoden anvender en kombination af analyse af e-mails med machine learning og data fra et netværksbaseret IDS (Intrusion Detection System).