Phishing-E-Mails und Ransomware finden weiterhin ihren Weg in die Posteingänge. Da könnte einem der Gedanke kommen: E-Mail-Sicherheit funktioniert einfach nicht. Es ist offensichtlich, dass Unternehmen beim Versuch, sich vor den ausgetüftelten Angriffen von heute zu schützen, Technologie einsetzen, die ursprünglich dazu konzipiert war, Spam und Malware zu blockieren.
Ende der 90er Jahren hatte sich Spam zu einem ernstzunehmenden Problem entwickelt, und die Verbreitung von Malware per E-Mail nahm ebenfalls stark zu. Als Reaktion wurde E-Mail-Sicherheitssoftware entwickelt. Die beliebte Open-Source-Spamfiltersoftware SpamAssassin wurde 2001 erstmals zur Verfügung gestellt. Sie umfasste verschiedene Detektionstechniken wie z. B. bayessche Filtertechnologie, IP-Reputation und Sperrlisten. Das gute alte Secure Email Gateway (SEG), eine Produktkategorie, die am des 21. Jahrhunderts entstanden war, setzt diese Techniken noch heute ein.
Schutz vor E-Mail-Spam und Viren mithilfe eines SEG
Die meisten Unternehmen setzten SEGs als dedizierte Appliances am Netzwerkrand oder in den jüngsten Jahren als SaaS ein. Viele stellten letztendlich mehrere E-Mail-Gateway-Schutzschichten und Anti-Malware bereit, die zusammen auf dem Mailserver installiert wurden. Letzterer führte dann planmäßige Scans durch, um neue Malware, die das SEG übersehen hatte, weil es keine Signaturaktualisierung zu deren Detektion hatte, zu erfassen.
Bestimmte Anbieter von E-Mail-Sicherheits-Gateways, die mit den Entwicklungen Schritt halten konnten, haben ihre Detektionstechnologien weiterentwickelt: integrierte Sandboxen schützen vor Zero-Day-Bedrohungen; Time-of-Click-Analyse dient der Verteidigung gegen eingebettete URLs, die nach der Zustellung scharf werden, und Authentifizierungsprotokolle wie SPF, DKIM und DMARC helfen bei der Erfassung von Attacken, bei denen bestimmte Personen verkörpert werden.
Die Beschränkung des SEG durch einen einzigen Layer
Für das SEG gilt aber eine wichtige Beschränkung: Es schützt nur zu einem einzigen Zeitpunkt, dem Zeitpunkt der Lieferung oder im Falle von Time-of-Click-Schutz wenn der Benutzer auf den Link klickt.
In einer Welt von Evasive Phishing und Malware-Bedrohungen reicht der durch SEG gebotene Einzeldurchlaufschutz nicht aus. Sie müssen eine Defense-in-Depth-E-Mail-Sicherheitsarchitektur bereitstellen. Das SEG hat in diesem Ansatz durchaus eine Daseinsberechtigung. Es bietet eine solide Frontlinie zum Blockieren von Spam, bekannten Bedrohungen und einigen unbekannten Bedrohungen, wenn Sie es mit fortgeschrittenen Detektionskapazitäten wie Sandboxing integrieren. Wo das SEG nicht ausreicht ist das Erfassen schwer erkennbaren Phishing-Versuche („Evasive Phishing“), von Spear-Phishing, BEC und Cousin-Domain-Spoofing. Weil es am Perimeter angesiedelt ist, kann es nichts tun, um kompromittierte E-Mail-Konten zu erkennen.
Erforderlich ist ein aktualisiertes E-Mail-Sicherheits-Paradigma, das die Bedrohungen von heute erfassen kann, und die massive Migration zu Cloud-Plattformen wie Office 365 hat uns genau diese neue Chance verschafft. Dadurch werden APIs bereitgestellt, mit denen wir Sicherheit direkt im Posteingang bereitstellen können, wodurch wir ein neues Sicherheits-Tool erhalten und eine neue Produktkategorie namens Inbox Detection & Response (in etwa: Posteingangs-Detektion und Reaktion) schaffen.
Inbox Detection & Response (IDR) kann vor neuen Bedrohungen schützen, indem jede E-Mail, die durch das Gateway gelangt, in jeder Mailbox jedes Benutzers gescannt, geprüft und erneut überprüft wird. Dies kann auch über den gewöhnlichen Sicherheitsansatz der Untersuchung von Objekten auf Bedrohungen hinausgehen und bietet eine völlig neue Dimension der E-Mail-Sicherheit, indem Verhaltensweisen und Benutzerinteraktionen in der Mailbox überwacht und dann durch präzise Anwendung von „Big Data“-Techniken Anomalien identifiziert werden. Dadurch ist die E-Mail im Kontext und es ergibt sich ein viel umfassenderes Bild für die Evaluierung.
Am besten ist aber, dass bei Entdeckung einer neuen Bedrohung IDR automatisch jede Kopie in jeder Mailbox löschen kann, weil das Tool ja mit jedem Benutzerposteingang verknüpft ist. Diese automatische Remediation entlastet E-Mail-Administratoren oder Sicherheitsanalytiker, reduziert die Reaktionskosten beträchtlich und verringert deutlich das gefürchtete „Anfälligkeitsfenster“, das durch bösartige E-Mails entsteht, die längere Zeit in Reichweite der Benutzer auf Opfer harren.
IDR kann auch ein Rahmenwerk bereitstellen, mit dem Benutzer interagieren und auf effiziente Weise zu Detektionstechnologien beitragen können. Dabei kann Benutzerfeedback schnell und automatisch integriert werden, um Phishing-Angriffe zu identifizieren und sich davor zu schützen. Mithilfe des Rahmenwerks erfasste Daten können in Korrelation gebracht werden, um zu bestimmen, ob eine E-Mail bösartig ist und eine Maßnahme ergriffen werden sollte. Vorfall- und Fallmanagement-Workflows können falsch-positive Ergebnisse eliminieren und helfen E-Mail-Administratoren und Sicherheitsanalytikern bei der Identifizierung von Bedrohungen zu deren weiterer Untersuchung.
Schließlich kann IDR eine schnelle Feedback-Schleife schaffen, um Algorithmen für das maschinelle Lernen zu stärken. Dabei werden die durch das kontinuierliche Scannen von E-Mails, die Überwachung der Benutzerverhalten und die Verfolgung von URLs erfassten Outputs eingesetzt. Durch die Analyse dieser Daten kann IDR Anomalien besser erfassen, prognostizieren, wie die nächste Bedrohung aussehen könnte, und Daten an SEGs und andere Sicherheits-Assets weitergeben, wodurch die Sicherheitsaufstellung eines Unternehmens insgesamt verbessert wird.
Schaffen Sie tiefgehende E-Mail-Sicherheit
IDR bietet kontinuierliche Überwachung, Detektion und Reaktion für die E-Mail-Sicherheit. Dabei wird Technologie genutzt, die am SEG nicht bereitgestellt werden kann. Im Gegenzug bietet SEG Technologien, die nicht im Posteingang bereitgestellt werden können und daher Teil Ihres E-Mail-Sicherheits-Stack bleiben müssen. Schließlich gibt es auch Technologien, die am Gateway oder im Posteingang bereitgestellt werden können und eine echte, tiefgehende E-Mail-Sicherheitslösung ermöglichen.
Weitere Informationen finden Sie in A New Vision for Phishing Defense: Inbox Detection & Response.