E-Mail-Sicherheit

    Ergänzungen zur Cloud-E-Mail-Sicherheit: 7 Fragen, die Sie den CESS-Anbietern nicht stellen sollten

    Da E-Mail-Sicherheitslösungen in der Cloud immer mehr in Mode kommen, sollten Sie den Anbietern diese Fragen stellen, um festzustellen, ob die von ihnen angebotene Effektivität der Risikotoleranz Ihres Unternehmens entspricht.

    gettyimages-1066301444.png

    Wichtige Punkte

    • Angeführt von Microsoft erweitern die Anbieter von Messaging-Plattformen für Unternehmen ihre Sicherheitsfunktionen, was zur Entstehung von cloudbasierten "zusätzlichen" Sicherheits-Startups führt.
    • Ergänzungslösungen für die E-Mail-Sicherheit in der Cloud sind jedoch mit Herausforderungen konfrontiert, die noch viele Lücken aufweisen können, wie z. B. ihre Abhängigkeit von gedrosselten APIs und algorithmischem maschinellem Lernen, das auf begrenzten Trainingsdaten basiert, um nur einige zu nennen.
    • Gehen Sie diesen sieben Fragen nach, um festzustellen, ob Ihr Unternehmen die mit Cloud-E-Mail-Sicherheitsergänzungen verbundenen Risiken tolerieren kann oder ob es einen umfassenderen mehrschichtigen Sicherheitsansatz benötigt.

    Da immer mehr Unternehmen weltweit auf die Cloud setzen, um ihre Produktivitätstools zu verbessern, zu vereinfachen und zu konsolidieren - allen voran Microsoft 365 - wachsen die Akzeptanz, die Nutzer und die Daten dieser Plattformen exponentiell und werden so zu einem viel wertvolleren Ziel für Hacker. . Folglich haben die Plattformanbieter, darunter auch Microsoft, damit begonnen, ihre Sicherheitsangebote zu erweitern. Gleichzeitig ist eine neue Art von "ergänzenden" Sicherheitstools von mehreren Start-ups entstanden, die darauf abzielen, die unvermeidlichen Lücken zu schließen, die Cyberkriminelle in der Homogenität der "Monokultur"-Sicherheitslösungen eines einzelnen Anbieters finden.

    Diese vom Marktforschungsunternehmen Gartner als Cloud Email Security Supplements (CESS) bezeichneten Startup-Anbieter wie Avanan, Darktrace Antigena, Agari und Abnormal Security behaupten, dass die von ihren Systemen gebotene Sicherheit in Kombination mit den systemeigenen Tools von Microsoft einen Schutz bietet, der stark genug ist, um umfassendere Sicherheitssysteme wie Secure Email Gateways (SEGs) überflüssig zu machen. Natürlich ist die reale Welt nicht so einfach.

    Entstehung von Cloud Email Security Supplements" (CESS)

    In seinem Bericht 2020 Market Guide for Email Security stellt Gartner fest, dass Microsoft in die Verbesserung der Messaging-Sicherheit investiert hat und dass alle Editionen von Microsoft Office 365 jetzt die grundlegende E-Mail-Sicherheit von Exchange Online Protection (EOP) enthalten. Viele Unternehmen verlassen sich auf diese integrierten Tools: Untersuchungen von Gartner zeigen, dass jedes vierte Unternehmen seinen E-Mail-Verkehr direkt in die Microsoft-Cloud leitet und die integrierten Sicherheitsfunktionen der Plattform als erste Verteidigungslinie gegen E-Mail-Bedrohungen nutzt. Obwohl sich die integrierten Sicherheitstools von Microsoft verbessert haben, geben Gartner-Kunden an, dass sie mit den nativ verfügbaren Funktionen unzufrieden sind. Der Bericht von Mimecast State of Email Security 2021 (SOES) bestätigt dieses Ergebnis: Neun von zehn Befragten gaben an, dass sie der festen Überzeugung sind, dass sie zusätzliche Ebenen der E-Mail-Sicherheit benötigen, die über das hinausgehen, was Microsoft bietet .

    Aus dieser Überzeugung heraus entstanden die Cloud-E-Mail-Sicherheitsergänzungen. CESS sind vollständig API-basierte Produkte, die nur auf bestimmte Bedrohungen abzielen - und zwar auf diejenigen, die Microsoft 365 nicht abwehren kann, wie Phishing und Business Email Compromise (BEC). Die gleiche Technologie wird von Forrester cloud-native API-enabled email security, oder CAPES, genannt . CESS- (oder CAPES-) Systeme werden mithilfe von APIs in Exchange Online integriert, um die von Microsoft bereits bereitgestellten Daten zu überprüfen. Sie wenden dann künstliche Intelligenz in Form von maschinellem Lernen an, das durch Benutzerfeedback trainiert wird, um Muster und eventuell anomales Verhalten zu erkennen. Die Systeme beheben Bedrohungen, indem sie Posteingangs-Clawback und/oder Banner zur Identifizierung potenzieller Bedrohungen einsetzen. Für CESS-Systeme ist keine Änderung des MX-Eintrags erforderlich, und viele erfordern keine regelbasierte Konfiguration.

    CESS-Anbieter preisen die Verwendung von KI/ML und die einfache bzw. fehlende Konfiguration ihrer Lösungen an und behaupten, ihre Tools böten so viel Sicherheit, dass Unternehmen SEGs getrost ausschließen können. Da E-Mail jedoch der Bedrohungsvektor Nr. 1 ist, müssen Unternehmen diese Behauptungen der Anbieter gründlich prüfen.

    Hier sind sieben Fragen für CESS-Anbieter, die Ihnen dabei helfen sollen.

    1. Verlassen Sie sich auf Microsoft-APIs, um auf E-Mails zuzugreifen?

      Die meisten CESS-Plattformen stützen sich auf Microsoft-APIs, die nicht garantieren können, dass alle E-Mails bei den riesigen Mengen, die selbst kleine Organisationen senden und empfangen, überprüft werden. Microsoft-APIs werden gedrosselt - das heißt, es kann nur eine begrenzte Anzahl von API-Anfragen in einem bestimmten Zeitraum gestellt werden -, so dass es fast sicher ist, dass die Benutzer für eine gewisse Zeit bösartigen E-Mails ausgesetzt sind. Sie könnten zum Beispiel auf einen Phishing-Link klicken oder einen Anhang mit eingebettetem Code öffnen, der einen Ransomware-Angriff auslöst, bevor die E-Mail aus dem Posteingang entfernt werden kann.

      Einige CESS-Anbieter haben auf diese Einschränkung mit einer technischen Lösung reagiert, bei der jeder Kunde in seiner E-Mail-Plattform Regeln für den Postfluss (Transport) einrichten muss, die E-Mails zum Scannen an das CESS umleiten, bevor sie die Posteingänge der Benutzer erreichen. Dies löst das oben beschriebene Problem, stellt jedoch Unternehmen mit komplexen E-Mail-Routing-Anforderungen, die möglicherweise bereits viele Mailflow-Regeln konfiguriert haben, vor neue Herausforderungen.

      Ein sicheres E-Mail-Gateway stellt dagegen keine Herausforderungen an das E-Mail-Routing und blockiert Bedrohungen so nah wie möglich an der Quelle. Und aufgrund der größeren Datenmenge, die ausgereifte SEGs verarbeiten (und im Laufe der Zeit verarbeitet haben), sind diese Systeme besser in der Lage, ein breiteres Spektrum potenzieller E-Mail-Bedrohungen zu stoppen, bevor sie den Posteingang der Benutzer erreichen - oder sogar bevor eine CESS-Installation überhaupt in den E-Mail-Verkehr gelangt ist.
    2. Verlassen Sie sich darauf, dass die M365-Sicherheit so viele Bedrohungen wie möglich blockiert?

      Bedrohungsakteure bombardieren M365 ständig mit neuen und immer raffinierteren Angriffen, und die Produktivitätsplattform kann einfach nicht alles abfangen. Das ist natürlich der Grund für CESS, aber hier wird die Behauptung, dass CESS die Notwendigkeit von SEGs negiert, widersprüchlich. Sicherheitsexperten sind sich einig, dass eine mehrschichtige Verteidigung für den bestmöglichen Schutz notwendig ist, und SEGs haben seit langem bewiesen, dass sie mehr Spam, Malware und gezielte E-Mail-Bedrohungen abwehren als M365 allein. Die Secure-E-Mail-Gateway-Plattform von Mimecast beispielsweise blockiert 22 % mehr bösartige Inhalte als Microsoft. Unternehmen müssen abwägen, ob es sinnvoll ist, ein SEG einzusetzen, um mehr E-Mail-Bedrohungen als Microsoft zu blockieren, bevor die Bedrohungen überhaupt den Posteingang der Benutzer erreichen, oder sich auf CESS-Systeme zu verlassen, um die Bedrohungen zu beseitigen, die Microsoft übersieht, nachdem die Benutzer diesen Bedrohungen ausgesetzt sind (und möglicherweise darauf reagieren könnten).
    3. Welche Erkennungstechnologie setzen Sie ein?

      CESS-Anbieter konzentrieren sich in der Regel auf die Lösung punktueller Probleme - wie Phishing und BEC - und verwenden eine begrenzte Anzahl von Tools und Funktionen. Sie versprechen einen geringeren Verwaltungsaufwand, indem sie eine vergleichsweise begrenzte regelbasierte Konfiguration anbieten und sich stattdessen auf KI/ML verlassen, die durch Benutzerberichte über falsch-negative und -positive Meldungen trainiert wird. Dieses "Hands-on"-Modell klingt zwar verlockend, vor allem für kleinere Unternehmen mit begrenztem IT-Sicherheitspersonal, aber die fehlende Granularität nimmt einem Unternehmen die Möglichkeit, die Einstellungen auf der Grundlage der eigenen Risikotoleranz, der spezifischen Bedrohungen, die auf sie abzielen, und anderer Faktoren vorzunehmen. Darüber hinaus ist es eine falsche Annahme, dass die meisten Endbenutzer bei der Berichterstattung sorgfältig vorgehen, insbesondere im Laufe der Zeit.

      Unternehmen, die CESS-Systeme evaluieren, sollten diese mit der Erkennungstechnologie vergleichen, die von bewährten sicheren E-Mail-Gateways verwendet wird. Mimecast zum Beispiel verwendet mehrere Erkennungstechnologien und mehr als 50 integrierte Erkennungsmodule, die zusammen für erstklassige Sicherheit und eine geringe Zeitspanne bis zum Schutz vor neuen Bedrohungen sorgen. Crowdsourced und korrelierte Bedrohungsdaten, die von den mehr als 40.000 Kunden des Unternehmens ausgewertet werden - Unmengen von Daten, die über viele Jahre hinweg gesammelt wurden - fließen in die Mimecast-Bedrohungsdaten ein und sorgen für eine bessere Erkennung.

      Darüber hinaus erfordert der sich ständig verändernde Unternehmensumfang heutzutage die Fähigkeit, mehrere Abwehrmechanismen schnell, flexibel und intelligent zu integrieren. Kein Anbieter sollte eine Insel sein. Zu diesem Zweck hat Mimecast in eine Bibliothek offener APIs und Standardintegrationen von Drittanbietern investiert, die es Unternehmen ermöglichen, die Sicherheit auf der Grundlage von Best-of-Breed-Technologien vom Endpunkt bis hin zu E-Mail- und Web-Gateways und von der Bedrohungsabwehr und -beseitigung bis hin zum Schutz vor Datenverlusten zu erhöhen. Doch anders als bei CESS-Systemen, die APIs für den Zugriff auf Kunden-E-Mails nutzen, um deren Risiko zu bewerten, werden die APIs von Mimecast für den Austausch von Bedrohungsdaten mit anderen Best-of-Breed-Sicherheitsanbietern eingesetzt.
    4. Wie hoch ist Ihre Falsch-Positiv-Rate? Wie messen und verringern Sie diese?

      Diese Frage können CESS-Anbieter wahrscheinlich nicht beantworten, da sie sich auf künstliche Intelligenz verlassen, die sehr anfällig für falsch positive Ergebnisse ist. Unternehmen müssen sicher sein, dass alle verdächtigen E-Mails erkannt werden, aber sie brauchen auch die Gewissheit, dass verdächtige E-Mails wirklich verdächtig sind. Zahlreiche Fehlalarme stellen eine erhebliche Belastung für Unternehmen dar, vor allem für solche, die über wenig Personal verfügen und/oder denen es an Erfahrung fehlt. Künstliche Intelligenz ist sicherlich ein wichtiger Bestandteil jeder E-Mail-Lösung, aber um wirklich effektiv zu sein, muss sie in Kombination mit anderen Erkennungsfunktionen, wie z. B. Dateianalyse und Sandboxing, und fein abgestimmten regelbasierten Richtlinien eingesetzt werden.
    5. Werden Sie meine Nutzer auf allen Geräten schützen?

      Einer der Schlüssel zur E-Mail-Sicherheit ist es, die Nutzer anzusprechen und sie mit Hilfe von Warnbannern auf potenzielle Phishing-, Marken-Imitations- oder andere Angriffe aufmerksam zu machen. Banner funktionieren jedoch nur, wenn die Benutzer sie sehen können. Viele CESS-Systeme verwenden HTML-Banner, die nicht immer korrekt dargestellt werden, insbesondere auf Nicht-Outlook-Clients. Mimecast hingegen verwendet Banner-Bilder - die auf jedem Gerät korrekt dargestellt werden -, die je nach Bedrohungsstufe farbkodiert sind und kontextbezogene Informationen enthalten, um die Empfänger aufzuklären und ihnen zu helfen, festzustellen, ob es sich bei der E-Mail um eine echte Bedrohung handelt.
    6. Was passiert, wenn sich mein Unternehmen weiterentwickelt?

      Die Sicherheitskontrollen müssen ständig aktualisiert und verbessert werden, um Bedrohungsakteure zu überlisten. Ebenso ändert sich das mit E-Mail-Nachrichten verbundene Risiko, wenn Unternehmen wachsen und sich verändern, sich die globalen Bedingungen weiterentwickeln, die Vorschriften reifen und sich die Cyber-Bedrohungslandschaft verändert. Viele CESS-Anbieter führen automatische Abhilfemaßnahmen durch, die auf der begrenzten Menge an Daten und Benutzerinteraktionen basieren, über die diese typischerweise kleineren, neueren Unternehmen verfügen.

      Dies ist tatsächlich ein Bereich, in dem KI, insbesondere ML, in Verbindung mit mehreren Erkennungs-Engines, DNS-Authentifizierung und Sensibilisierungsschulungen für Endbenutzer glänzt. Die neue Funktion CyberGraph von Mimecast beispielsweise zeigt den Benutzern das Risiko mit farblich gekennzeichneten Bannern an, die die potenzielle Art einer Bedrohung anzeigen. Wenn sich das mit einer E-Mail verbundene Risiko ändert - wie durch Crowd-Sourced Threat Intelligence ermittelt - wird das Banner in dieser E-Mail und allen ähnlichen E-Mails aktualisiert. Auf diese Weise können Unternehmen die Sicherheit effektiver in ihre Produktivitätstools integrieren, indem sie ihren Mitarbeitern die Informationen zur Verfügung stellen, die sie benötigen, um intelligente Entscheidungen über E-Mail-Risiken zu treffen.
    7. Schreiben Sie URLs um und führen Sie Time-of-Click-Analysen durch?

      Viele CESS-Anbieter verlassen sich auf den integrierten URL-Schutz von Microsoft, eine der nativen Funktionen, die Kunden als unzureichend empfunden haben. Wenn ein CESS-Anbieter angibt, dass er zusätzlichen URL-Schutz und Time-of-Click-Analysen zusätzlich zu den von Microsoft bereitgestellten Funktionen anbietet, sollten Sie den Anbieter nach Details fragen, welche Technologie er verwendet und wie tief der Schutz geht. Zum Vergleich: Das sichere E-Mail-Gateway von Mimecast verwendet mehrere Technologieebenen zum Scannen von URLs, einschließlich einer tiefgreifenden Webseitenanalyse für eine höhere Sicherheitseffizienz.

    Die Quintessenz

    Bedrohungsdaten deuten darauf hin, dass die Angriffe von Cyberkriminellen auf Unternehmen immer komplexer werden. Bedrohungen wie die Kompromittierung von Geschäfts-E-Mails oder Phishing sind für Mitarbeiter immer schwieriger zu erkennen und können noch größere Auswirkungen auf Unternehmen haben. Angesichts des gleichzeitigen Anstiegs der E-Mail-Bedrohungen und der Abhängigkeit der Unternehmen von E-Mails ist es von entscheidender Bedeutung, dass Unternehmen mehrschichtige Sicherheitsmaßnahmen ergreifen und die Behauptungen von Anbietern, die vorgeben, Messaging-Systeme zu sichern, sorgfältig prüfen - insbesondere dann, wenn sie empfehlen, eine bewährte Schicht des E-Mail-Schutzes zu entfernen. Vermeiden Sie diese Fallstricke und erhalten Sie eine Demo ; das Unternehmen, seine Mitarbeiter und seine Kunden stehen auf dem Spiel.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang