最危险的电子邮件攻击,一开始看起来并不像恶意邮件
最难检测的电子邮件威胁,乍看之下并不像是恶意邮件。
这些邮件来自值得信赖的发件人,存在于真实的业务对话之中,请求内容看起来也十分正当。完全没有任何立即发出警讯的要素——而这正是攻击得以成功的原因。
但只要仔细调查这类邮件,答案大多就在其中。我们可以揭露攻击者的意图,也能理解攻击的本质。问题在于,要真正做到这一点,需要时间、经验,以及获取各种上下文(Context)的权限。并非每个安全团队都具备这样充分的能力。
安全团队多年来不断在电子邮件安全堆栈中叠加各种工具,但最致命的攻击仍然能够抵达用户的收件箱。
原因在于现有系统的设计方式。
传统安全工具的设计目标,是检测已知指标(Indicators)、异常迹象(Anomalies),以及能够大规模匹配的信号(Signals)。然而,现代攻击并非以模式,而是以**上下文(Context)**为基础打造。
这个差异造成了至今仍被攻击者利用的安全缺口(Gap),在以下攻击类型中尤其明显。
- 供应商 / 账号盗用(Vendor Compromise)
- 定向钓鱼(Targeted Phishing)
- AI 驱动的社会工程攻击(AI-generated Social Engineering)
AI 让这类攻击变得更容易产出、更个性化、也更能大规模扩散。结果就是,现有检测系统所依赖的信号正在日益稀薄。
为了填补这个缺口,我们打造了 WhiteHat——WhiteMail 内部的中央自主智能引擎(Central Autonomous Intelligence Engine),专为在上下文之中调查与理解电子邮件威胁而设计。
如今的邮件调查实际上如何进行
当一封可疑邮件送达 SOC 分析师手中,调查流程大致上到处都相似。
首先,分析师会分析邮件本身:
- 邮件头
- 正文内容
- 附件
- 内含链接
接着进入上下文分析阶段:
- 与发件人过往的往来记录
- 发件人的一贯行为模式
- 意图上的细微变化
最后,分析师会调用基础设施与威胁情报(Threat Intelligence),确认邮件背后的系统是否遭到入侵或滥用。
经过这一切之后,分析师才会做出判断、采取行动并记录案例。
这套方法有效,但依赖人工、耗时,且难以在大量邮件中一致地套用。结果是,大多数邮件从未获得这种程度的深入审查。
WhiteHat 如何实时理解一场攻击
WhiteHat 对每一封邮件持续执行这种程度的调查。
以供应商账号盗用攻击为例。一个受信任的供应商发出看似正常的请求,但上下文中有些东西已经改变。传统做法需要分析师通读整个对话串,才能判断这项请求是否符合双方的关系。
在 WhiteMail 中,四个专责代理会自动完成这项工作:
- SA-01 · 身份(Identity) — 学习某个域名平常的发件对象,并检测显示名称、Reply-To、Return-Path 之间的不一致。
- SA-02 · 基础设施(Infrastructure) — 检查 SPF / DKIM / DMARC、新注册域名、相似域名,以及被滥用的顶级域名(TLD)。
- SA-03 · 链接与视觉(Links & Visual) — 找出显示网址与实际网址不符、短链接、重定向、IP 网址,以及二维码诱饵。
- SA-04 · 意图(Intent) — 解读邮件是否带有恶意意图:紧急汇款、账户信息变更、凭证窃取、施压手法。
WhiteHat 协调这些代理,整合它们的判断结果,产出一个一致的判定(允许、标记或拦截),并附上风险分数与说明理由的双语叙述。
分流用户举报的钓鱼邮件
企业会训练用户举报可疑邮件。副作用是大量涌入的举报,其中大部分并非真正的威胁。
WhiteHat 会在上下文中分析每一封被举报的邮件,判断它究竟是真实威胁还是正常业务邮件,并给予举报者量身定制的反馈,将每一次举报都转化为一次安全培训的机会。SOC 的负担并未增加,用户的判断力却提升了。
前所未见的全新攻击
不符合现有规则的攻击,通常要等到有人调查并写出新规则后才会被发现。
由于 WhiteHat 实时针对行为与上下文进行推理,即便没有先例,也能标记出攻击——降低了事后才制定规则的依赖。
AI 原生的代理式方法
WhiteMail 被设计为一套**AI 原生、代理式(Agentic)**的系统。多个专责代理协同进行内容分析、通信分析、基础设施验证与意图分类。WhiteHat 是协调这一切的中央智能层。
WhiteHat 不会试图自己完成所有事情。它协调各个专家、整合他们的发现,并对邮件做出一致的判断。
对安全团队而言,什么会改变
- 更主动地阻止更多攻击 — 在甚至不需要人工调查之前就先发现它们。
- 依据完整上下文做出判断 — 评估整体情境,而非片面信号。
- 抓住未知攻击 — 不必等待有人写出规则。
- 提升分析师的效率 — 减少验证噪音的时间,把更多精力放在真正的威胁上。
解决黑盒子问题
传统安全产品的一大问题是黑盒子(Black Box)。许多产品只会告诉你*“这是恶意的”,却不说明原因*。分析师接着必须重新调查,才能验证这个结果。
业界曾尝试以可解释 AI(xAI)来改善这一点:呈现评分依据、关键特征。但那仍然无法呈现完整的调查过程。
WhiteMail 采取更完整的做法。对于每一个判定,你都能看到:
- 邮件是如何被分析的(每个代理的分数与它所发现的信号)
- 考虑了哪些上下文
- 得出结论所经历的路径(双语叙述)
这不是*“相信这套系统”,而是“亲眼看见系统如何做出判断”*。结果是:更高的信任度、更少的误报、更快的调查速度,以及更一致的应对方式。
当每一封邮件都被调查时
检测邮件攻击的能力其实一直都存在。只要有足够的时间与上下文,安全专家几乎能找出大部分的攻击。真正的限制在于,这种深度的调查从来无法套用到每一封邮件上。
WhiteMail 消除了这个限制。调查的单位不再是部分邮件,而是每一封邮件。电子邮件安全因此变得持续且主动。
一旦你以这种方式运作过,现有的电子邮件安全工具就会显得从根本上不完整。
想亲眼看看 WhiteHat 如何调查一项威胁?打开分析控制台,粘贴一封可疑邮件,或连接你的邮箱,在上下文中扫描你自己的收件箱。