恶意黑客利用他们用来侵入网络以窃取数据并造成严重破坏的技术变得越来越有创意,但他们打开这扇门的主要途径仍然非常一致。根据FBI 去年的一份报告,电子邮件是迄今为止设置和执行网络钓鱼、勒索软件和其他攻击媒介的最受欢迎的切入点,仅在美国,2021 年的商业电子邮件交互就造成了约 24 亿美元的损失。
今天,一家名为Sublime Security的初创公司正悄然兴起,采用一种新颖的集体方法来解决该问题:它已经构建了一个平台和特定领域语言 (DSL),供研究人员和安全运营人员(那些捍卫网络的人)编写,彼此运行和共享规则,以检测和阻止最常(和最不)通过电子邮件传递的各种威胁。
这家总部位于华盛顿特区的初创公司已经在私人测试版中运营了一年多,在此期间,它获得了许多大型跨国客户,从政府组织到 Spotify 等公司,还有 2,500 名其他人的等候名单。现在,随着它全面上市,它还宣布提供 980 万美元的资金。
Decibel 在这轮融资中处于领先地位,Slow Ventures 和网络安全领域的一些人参与其中,包括 Sounil Yu(网络防御矩阵和 DIE Triad 的创建者); Snort 和 Sourcefire 的创建者 Martin Roesch;资深 CISO Jerry Perullo 和 Michael Sutton; Demisto 创始人 Rishi Bhargava 和 Slavik Markovich; Lookout 创始人 Kevin Patrick Mahaffey; Phantom Cyber 和 Pangea 的创始人 Oliver Friedrichs。
Sublime 涵盖了恶意软件、勒索软件、凭据网络钓鱼、VIP 模拟和回调网络钓鱼等载体。它的代码可以应用于 Microsoft 365 和 Google Workspace 企业邮件系统,也可以通过 IMAP 在个人账户上运行。除了其最基本的用途——入站电子邮件安全——Sublime 还可用于收集和分析对组织的威胁趋势、阻止整个域、运行合规性和培训的安全练习,等等。
Joshua Kamdjou 与 Ian Thiel 共同创立了 Sublime,他在接受采访时说,他最初是基于他在国防部所做的工作而产生这家初创公司的想法,当他在国防部工作时,他开始担任“白帽”黑客还在读高中。
在那里,他深入了解了恶意黑客在网络钓鱼电子邮件中使用的技术。
“攻击者不断想出绕过防御的新方法,”他说,问题在于大多数防御都是基于单一安全供应商设置的安全参数,用他的话来说是一种“黑匣子”方法。当黑客应用新技术时,供应商有责任为其系统发布补丁和更新以解决这些问题。
但随后会出现新技术,等等,造成保护方面的滞后和缺口。 “供应商是瓶颈,”他说。在他自己的测试中,Kamdjou 会在一个月后应用一种网络钓鱼技术,然后在一个月后返回,“但问题仍然存在。”
Kamdjou 看到了通过利用开发人员的集体知识和工作实践来构建解决方案的机会。来自黑客和编码领域,使用 GitHub 等服务来跟踪项目并为项目做出贡献是他的 DNA。他将该众包模型应用于 Sublime 如何跟踪和发展自己的威胁向量和方法数据库。
需要明确的是,Sublime 不是“开源”的,Thiel 和 Kamdjou 表示他们仍在考虑在哪些方面(如果有的话)他们可能会开源。但它确实借鉴了其中的一些精神。 Thiel 说,Sublime 团队在 Sublime 数据库中编写了大约三分之二的规则,其中三分之一来自社区。
各个组织随后就如何定制自己的电子邮件安全性、应用哪些规则以及将哪些规则搁置一旁做出自己的决定,从而将更多的权力交到客户手中。到目前为止,这是它的卖点。
“Sublime 让检测团队有机会夺回对电子邮件收件箱的控制权,”Decibel 的合伙人 Dan Nguyen-Huu 在接受采访时说。 “社区支持的 DSL 意味着它的所有客户都在说同一种语言,共享规则并能够更好地进行补救,”他说。 “这意味着他们可以团结起来对抗共同的敌人。”他补充说,它采用的方法在市场上是独一无二的。
“防御者比任何人都更了解他们的网络,但我们并没有将他们作为一个社区来武装起来,”Kamdjou 说。这也是与电子邮件无关的其他安全产品的数量。用于二进制文件的 YARA、用于日志的 Sigma/EQL、用于网络的 Snort/Suricata、用于端点的 osquery/EDR、用于静态分析的 Semgrep 是 Kamdjou 引用的一些示例。
有趣的是,到目前为止,贡献者的数量只占 Sublime 目前拥有的用户总数的一小部分。
“这有点像 Twitter,”Kamdjou 说。 “大多数人不发推文,只是阅读,看起来我们的模型将是相似的,只有少数人编写规则,其余人发现这些规则有用。”
Twitter 是一个恰当的类比还有另一个原因:Thiel 说 Sublime 的增长很大程度上是靠口耳相传,而且很多这样的词都是在那个特定的社交平台上交换的。 “Infosec 以 Twitter 为生,”他说。
借助生成式 AI 等新工具代表增加更复杂和更有说服力的电子邮件数量的潜在方法,您可以了解为什么以及在何处加快最终用户自己识别和响应这些威胁的方式是有意义的。随着时间的推移,这可能会导致更多的贡献者和更多的 Sublime 使用;值得关注的是 AI 模型如何以及是否也开始应用于生成更多防御措施。
Sublime 获得 980 万美元用于反网络钓鱼电子邮件安全平台,该平台建立在Ingrid Lunden最初发布于TechCrunch 的集体众包规则之上