Unter der Haube: Unsere neue E-Mail-Anhangs-Sandbox

Bösartige E-Mail-Anhänge sind eine kritische Bedrohung für Unternehmen, da sie als Teil von ausgeklügelten Spear-Phishing Angriffen leicht bestehende Schutzmaßnahmen umgehen können. So könnte beispielsweise ein Makro in einem Word-Dokument beim Öffnen der Datei ausgeführt werden und Malware auf den Zielsystemen installieren oder versuchen, Inhalte von einer bösartigen Website herunterzuladen. Angreifer nutzen diese Schwachstelle, um Organisationen zu infiltrieren und ihre Ziele zu erreichen, wie z. B. den Diebstahl von Daten, die Inszenierung von Ransomware Forderungen oder sogar einen Sprungbrett-Angriff auf ein anderes Unternehmen.

Um dieser Bedrohung zu begegnen, ist Sandboxing zu einem wichtigen technischen Schutz geworden. Attachment Protect bietet diesen wichtigen Schutz: Eingehende E-Mails werden vom Mimecast-Gateway zurückgehalten, während wir durch eine Sicherheitsüberprüfung der Datei in unserer Sandbox feststellen, ob sich im Anhang versteckter Code befindet. Die Sandbox startet eine virtuelle Umgebung, öffnet die Datei und führt eine gründliche Sicherheitsanalyse des Inhalts durch. Wenn die Datei als sicher eingestuft wird, stellen wir die E-Mail an den Empfänger zu.

Aber Sandboxing hat auch seine Grenzen. Sie verzögert externe E-Mails, was die Mitarbeiter frustrieren und ihre Produktivität beeinträchtigen kann. Außerdem kann sie teuer sein. Daher schränken Unternehmen oft ein, wen sie schützen, um die Kosten unter Kontrolle zu halten. Das ist natürlich nicht ideal, denn es verschafft Angreifern eine potenzielle Hintertür in ein Unternehmen.

Mimecast Targeted Threat Protection - Attachment Protect macht es kostengünstig und einfach, die gesamte Organisation zu schützen.

Dies geschieht, indem eingehende E-Mail-Anhänge, die bösartigen Code enthalten könnten (z. B. PDF- oder Microsoft Office-Dateien), durch sichere, umgeschriebene Versionen ersetzt werden, wodurch jeglicher bösartiger Code neutralisiert wird. E-Mails, die über unser Gateway eingehen und potenziell gefährdete Anhänge enthalten, werden von unserem Message Transfer Agent verarbeitet, der sie in ein anderes Dateiformat umwandelt. So wird beispielsweise ein Word-Dokument in eine PDF-Datei umgewandelt. Das PDF-Dateiformat stellt den Inhalt für den Leser visuell auf die gleiche Weise dar. Der Unterschied besteht darin, dass sich die Ausführungsumgebung geändert hat und daher alle bösartigen Makros oder Codes als Teil dieses Prozesses inaktiv gemacht werden.

Die meisten Mitarbeiter müssen die Anhänge nur ansehen, so dass keine weiteren Maßnahmen erforderlich sind. Unsere Untersuchungen zeigen, dass etwa 51 % der Anhänge PDF-Dateien sind, die nur gelesen werden können, gefolgt von 17 % Word-, 9 % Excel- und 3 % PowerPoint-Dateien.* Wenn Mitarbeiter jedoch eine Datei bearbeiten müssen, kann ein Link in der E-Mail verwendet werden, um die Originaldatei bei Bedarf über unseren Sandboxing-Dienst anzufordern.

Es ist ein neuer Ansatz für das Sandboxing von Anhängen. Administratoren können die beste Mischung aus Sicherheit, Leistung und Funktionalität für ihre Organisation wählen. Darüber hinaus ermöglicht die granulare Berichterstattung eine durchgängige Bedrohungsanalyse in Echtzeit.

Für einen umfassenden Zero-Hour-Schutz vor Bedrohungen können Kunden Mimecast Targeted Threat Protection - Attachment Protect - mit unserem URL Protect Service kombinieren. Zusätzlich zum Link-Rewriting bietet URL Protect jetzt auch innovative Funktionen zur Sensibilisierung der Benutzer, sodass IT-Teams das Sicherheitsbewusstsein ihrer Mitarbeiter erhöhen können.

Möchten Sie mehr erfahren? Sehen Sie sich diesen Cyber Resilience for Email Deep Dive an.

*Quelle: Analyse von 1 Terabyte Daten der Mimecast-Plattform, 2015