Warum sich die E-Mail-Sicherheit nie zu verbessern scheint und was Sie dagegen tun können

Nachdem ich vor kurzem meinen Blog Warum sich die Cybersicherheit nie zu verbessern scheint und was Sie dagegen tun können veröffentlicht habe, dachte ich, dass ich meinen Blick auf das Thema E-Mail-Sicherheit noch ein wenig schärfen sollte. Warum ist E-Mail nach wie vor der Hauptangriffsvektor für die meisten erfolgreichen Cyberverbrechen, obwohl jedes Jahr Milliarden von Dollar ausgegeben werden, um sie zu verhindern? Auf der Makro- oder globalen Ebene scheint das Problem nicht besser, sondern schlimmer zu werden.

Im Folgenden werden die sieben Schlüsselfaktoren erörtert, die für die anhaltende Herausforderung der E-Mail-Sicherheit verantwortlich sind, und was wir dagegen tun können.

1. Es gibt immer irgendeine Krise, eine Jahreszeit oder ein hochemotionales Thema, das reif für das Social Engineering von Cyberkriminellen ist . Derzeit erleben wir die COVID globale Krise. So gut wie jeder Privat- und Geschäftsmann interessiert sich für die neuesten Virennachrichten, den besten Ort, an dem man PSA kaufen kann, oder ja, sogar dafür, wer Toilettenpapier auf Lager hat. Aber natürlich kommen auch Weihnachten, Ostern, politische Kampagnen, Wirbelstürme und Flächenbrände, Steuern und viele andere motivierende Themen viele Male im Jahr vor. Und Angreifer planen und reagieren entsprechend auf diese Themen. Tatsächlich waren in den Wochen nach der Ausrufung der COVID-Pandemie etwa 10 % der von Mimecast blockierten Spam- und Phishing-E-Mails mit dem Virus infiziert. Cyberkriminelle entscheiden sich schnell für die beste Methode, um die Aufmerksamkeit ihrer Opfer zu erregen und ihre Opfer zu fesseln.
2. E-Mails haben alles, was Angreifer brauchen. Egal, ob es sich um einen einfachen oder raffinierten Angreifer handelt, E-Mails sind regelmäßig der Einstiegspunkt in ein Unternehmen. Und warum? E-Mail ist allgegenwärtig, hat Milliarden von Nutzern, ist weltweit verbreitet, extrem zuverlässig, relativ anonym, kostenlos, genießt im Allgemeinen das Vertrauen des Durchschnittsbürgers und ist technisch sehr flexibel. Wie viele andere gängige Technologien vereinen die Möglichkeit, Dateien, Links und individuellen Text zu übermitteln, mit einem Erscheinungsbild, das unendlich flexibel ist und ganz dem Absender überlassen bleibt, und das sogar so konzipiert ist, dass Domain-Spoofing ermöglicht?! Ist es wirklich eine Überraschung, dass E-Mail der beliebteste Angriffsvektor ist? Und die Kombination von E-Mail und Web bietet dem Angreifer einen gewaltigen 1-2-Schlag.
3. Das offene Internet. Wie ich bereits in dem bereits erwähnten Blog Why Cybersecurity Never Seems to Improve gesagt habe, ist das offene Internet sowohl unglaublich wertvoll als auch unglaublich riskant; ohne angemessene Überwachung und mehrschichtige Sicherheitskontrollen kann jeder E-Mails unter dem Namen eines anderen verschicken, E-Mail- und Webdomänen registrieren und Websites einrichten, die genau so aussehen, wie es der Besitzer wünscht. Ist es da verwunderlich, dass dies ein gefundenes Fressen für böswilliges Spoofing und Betrug ist? Es erfordert zusätzlichen Aufwand, die eigenen E-Mail-Domänen mit DMARC abzusichern und das Internet nach den verschiedenen Möglichkeiten zu durchforsten, wie die eigene Online-Marke ausgenutzt wird.
4. Die mangelhafte Sicherheitshygiene Ihrer Internetnachbarn ist Ihr Problem . Wenn unschuldige Internetnutzer oder E-Mail-Dienste von Cyberkriminellen gehackt werden, werden sie sehr oft dazu benutzt, Angriffe auf ihre eigentlichen Ziele zu starten. Warum tun die Bedrohungsakteure dies? Auf der Web-Seite ist es viel schwieriger, sich gegen bösartige Seiten zu schützen, die auf ansonsten hoch angesehenen Web-Domänen gehostet werden. Und vergessen Sie nicht die DNS-Einträge von Websites. Wenn ein Angreifer administrative Rechte für den DNS-Eintrag einer legitimen Website erhalten kann, ist es für ihn ein Leichtes, eine Subdomain zu registrieren - badsite.goodsite.com - und den Datenverkehr auf eine bösartige Website zu leiten, die den guten Ruf der Domain goodsite.com ausnutzt. In ähnlicher Weise können Angreifer mit manipulierten E-Mail-Konten diese unschuldigen E-Mail-Dienste als Relais für ihre Phishing-Kampagnen nutzen, wobei sie ebenfalls deren guten Ruf ausnutzen.
5. Die Umstellung auf Microsoft 365 (früher bekannt als Office 365) führt zu einer Störung der E-Mail-Sicherheit. Noch schlimmer ist, dass Unternehmen, die zu 100 % von den integrierten Anti-Phishing-Diensten der Plattform abhängig sind, sehr anfällig für verschiedene Formen von Phishing sind. Verstehen Sie mich nicht falsch, Microsoft 365 ist ein großartiger Dienst - über 200 Millionen tägliche Nutzer können nicht irren! Aber denken Sie wie ein Cyberkrimineller: Sobald klar ist, dass Sie Microsoft 365 nutzen (allein durch die Überprüfung Ihres MX-Datensatzes), kann der Cyberkriminelle sicher sein, dass der Angriff, der auf seiner Instanz von Microsoft 365 erfolgreich läuft, auch Ihre Instanz von Microsoft 365 erreicht. Verwenden Sie Microsoft zum Schutz von Microsoft auf der Betriebssystemebene Ihrer Clients und Server? Warum eigentlich nicht? Die gleiche Logik gilt für die E-Mail-Sicherheit.
6. Viele Unternehmen haben veraltete oder unvollständige E-Mail-Sicherheitsvorkehrungen. Im kürzlich veröffentlichten State of Email Security Report wurde berichtet, dass nur 60 % der Unternehmen "über eine Art Sicherheitssystem zum Schutz ihrer Daten oder Mitarbeiter bei internen und ausgehenden E-Mails verfügen." Das bedeutet, dass ein erheblicher Teil der Unternehmen anscheinend nur versucht, sich gegen eingehende E-Mails zu schützen, aber wenn der Angreifer erst einmal in ihr E-Mail-System eingedrungen ist, sind sie im Wesentlichen blind für die beiden anderen E-Mail-Verkehrsvektoren. Man möchte nicht zu dem schlechten Internet-Nachbarn werden, den ich oben in Nr. 4 beschrieben habe, aber viele sind es.
7. Schwache Schulungsprogramme für das Sicherheitsbewusstsein. Im State of Email Security Report wurde außerdem festgestellt, dass nur 1 von 5 Unternehmen mindestens einmal im Monat Schulungen zum Sicherheitsbewusstsein durchführen. Wie können wir erwarten, dass unsere Mitarbeiter die neuesten Angriffsarten kennen und vorsichtig sind, wenn sie nur ein- oder zweimal im Jahr darüber informiert werden? Und um welche Art von Schulung handelt es sich? Langweilig? Stundenlange PowerPoint-Folien? Eingequetscht in andere Arten von Compliance-Schulungen? Die große Mehrheit der Unternehmen führt zwar irgendeine Form von Schulungen zum Sicherheitsbewusstsein durch - was sehr gut ist -, aber nur relativ wenige machen es richtig. Tatsächlich sind die Ergebnisse ziemlich eindeutig: Mimecast-Daten zeigen, dass Kunden ohne Mimecast Awareness Training fünfmal häufiger auf bösartige Links in E-Mails klicken als Kunden, die es nutzen.

Was können Sie dagegen tun?

Die obige Liste und Diskussion kann entmutigend wirken. Das ist der Grund, warum die E-Mail-Sicherheit und ihr enger Verwandter, die Web-Sicherheit, so schwierig für Verteidiger und so nützlich für Cyberkriminelle sind. Es gibt zwar kein Patentrezept, mit dem sich die Sicherheitsherausforderungen im Alleingang lösen lassen, aber es gibt bewährte Best Practices, die in ihrer Gesamtheit das Risiko von Sicherheitsvorfällen drastisch reduzieren können. Was die technischen Kontrollen betrifft, so können erstklassige Sicherheitssysteme für E-Mail/DMARC, Web/Web-Überwachung, Netzwerk, Endgeräte und Multi-Faktor-Authentifizierung wertvolle präventive Sicherheit bieten. Kombinieren Sie diese und andere technische Kontrollen mit zweckdienlichen Schulungen zum Sicherheitsbewusstsein und anderen Möglichkeiten zur Verbesserung Ihrer Sicherheitskultur, und Sie werden viel dazu beigetragen haben, zwei Beine des dreibeinigen Sicherheitshockers zu festigen.

Was ist das andere Bein des Hockers? Der Prozess. Jeder wichtige Geschäftsprozess, der durch einen einzigen Ausfallpunkt gestört oder ausgenutzt werden kann, ist nicht ausreichend widerstandsfähig. Schauen Sie sich diese also genau an und tun Sie, was Sie können, um sie widerstandsfähiger und damit weniger anfällig für die Aktionen von Cyberkriminellen zu machen.