E-mailbeveiliging

    Cloud Email Beveiligingssupplementen: 7 vragen die CESS-leveranciers u echt niet willen stellen

    Nu aanvullingen op de beveiliging van e-mail in de cloud in zwang raken, moet u leveranciers deze vragen stellen om te bepalen of de effectiviteit die zij bieden overeenkomt met de risicotolerantie van uw organisatie.

    gettyimages-1066301444.png

    Hoofdpunten

    • Onder aanvoering van Microsoft vergroten de leveranciers van berichtenplatforms hun beveiligingsmogelijkheden, wat leidt tot de opkomst van cloudgebaseerde "aanvullende" beveiligingsstartups.
    • Maar supplementen voor e-mailbeveiliging in de cloud worden geconfronteerd met uitdagingen die nog veel leemten kunnen vertonen, zoals hun afhankelijkheid van gesmoorde API's en algoritmisch machinaal leren op basis van beperkte opleidingsgegevens.
    • Onderzoek deze zeven vragen om te bepalen of uw organisatie de risico's van aanvullingen op de beveiliging van e-mail in de cloud kan tolereren, of dat een meer uitgebreide gelaagde beveiligingsaanpak nodig is.

    Naarmate meer en meer organisaties in de wereld naar de cloud grijpen om hun productiviteitstools te verbeteren, te vereenvoudigen en te consolideren - met Microsoft 365 op kop - nemen het gebruik, de gebruikers en de gegevens van die platforms exponentieel toe en worden ze een veel waardevoller doelwit voor hackers. . Daarom zijn platformleveranciers, waaronder Microsoft, begonnen met het uitbreiden van hun beveiligingsaanbod. Tegelijkertijd hebben verschillende startups een nieuw soort "aanvullende" beveiligingstool ontwikkeld, met als doel de onvermijdelijke gaten te dichten die cybercriminelen vinden in de homogeniteit van de "monocultuur" van beveiligingsoplossingen van een enkele leverancier.

    Deze startup-leveranciers, zoals Avanan, Darktrace Antigena, Agari en Abnormal Security, worden door onderzoeksbureau Gartner cloud email security supplements (CESS) genoemd en zeggen dat de beveiliging die hun systemen bieden, in combinatie met de native tools van Microsoft, een verdediging vormen die sterk genoeg is om meer uitgebreide beveiligingssystemen, zoals secure email gateways (SEG's), overbodig te maken. Natuurlijk is de echte wereld niet zo eenvoudig.

    Opkomst van cloud e-mailbeveiligings "supplementen" (CESS)

    In zijn 2020 Market Guide for Email Security rapport merkt Gartner op dat Microsoft heeft geïnvesteerd in verbeteringen van de beveiliging van het berichtenverkeer, en dat alle edities van Microsoft Office 365 nu de basisbeveiliging van e-mail van Exchange Online Protection (EOP) bevatten. Veel bedrijven vertrouwen op deze ingebouwde tools: Uit onderzoek van Gartner blijkt dat een op de vier organisaties zijn e-mailverkeer rechtstreeks naar Microsoft-cloudmail routeert en daarbij gebruikmaakt van de eigen beveiligingsmogelijkheden van het platform als eerste verdedigingslinie tegen e-mailbedreigingen. Hoewel de ingebouwde beveiligingstools van Microsoft zijn verbeterd, zeggen klanten van Gartner dat ze ontevreden zijn over de native beschikbare mogelijkheden. Mimecast's State of Email Security 2021 (SOES) rapport bevestigt die bevinding, met negen van de 10 respondenten die zeggen dat ze sterk geloven dat ze extra lagen van e-mailbeveiliging nodig hebben bovenop wat Microsoft biedt .

    Deze opvattingen hebben geleid tot cloud-e-mailbeveiligingssupplementen. CESSes zijn volledig op API's gebaseerde producten die zich alleen richten op bepaalde bedreigingen - met name de bedreigingen waarvoor Microsoft 365 zich gesteld ziet, zoals phishing en business email compromise (BEC). Dezelfde technologie wordt door Forrester cloud-native API-enabled email security, of CAPES, genoemd. . CESS- (of CAPES-)systemen sluiten aan op Exchange Online met behulp van API's om terug te halen en opnieuw te inspecteren wat Microsoft al heeft geleverd. Vervolgens passen ze kunstmatige intelligentie toe, in de vorm van machine learning op basis van feedback van gebruikers, om patronen en uiteindelijk afwijkend gedrag te identificeren. De systemen verhelpen bedreigingen door gebruik te maken van inbox claw back en/of banners om potentiële bedreigingen te identificeren. Voor CESS-systemen hoeft geen MX-record te worden gewijzigd en voor veel systemen is geen op regels gebaseerde configuratie nodig.

    CESS-leveranciers prijzen het gebruik van AI/ML en de eenvoudige/weinig geconfigureerde oplossingen aan en zeggen dat hun tools voldoende beveiliging bieden om SEG's met een gerust hart uit te schakelen. Aangezien e-mail echter de belangrijkste bedreigingsvector is, moeten organisaties deze beweringen van leveranciers grondig testen.

    Hier zijn zeven vragen voor CESS-verkopers om u daarbij te helpen.

    1. Vertrouwt u op Microsoft API's om toegang te krijgen tot e-mail?

      De meeste CESS-platforms vertrouwen op Microsoft API's, die geen inspectie kunnen garanderen van alle e-mailberichten te midden van de enorme volumes die zelfs kleine organisaties verzenden en ontvangen. API's van Microsoft worden gesmoord - wat betekent dat er in een bepaalde periode slechts een beperkt aantal API-verzoeken kan worden gedaan - dus het is vrijwel zeker dat gebruikers gedurende enige tijd aan schadelijke e-mails worden blootgesteld. Ze kunnen bijvoorbeeld op een phishing-link klikken of een bijlage openen met ingesloten code die een ransomware-aanval uitlokt voordat de e-mail uit de inbox kan worden teruggehaald.

      Sommige CESS-leveranciers hebben op deze beperking gereageerd met een technische oplossing waarbij elke klant in zijn e-mailplatform mail flow (transport)-regels moet implementeren, die e-mails naar het CESS omleiden om ze te scannen voordat ze de inbox van de gebruikers bereiken. Dit lost het hierboven beschreven probleem op, maar stelt organisaties met complexe e-mailroutingbehoeften, die mogelijk al veel mail flow-regels hebben geconfigureerd, voor nieuwe uitdagingen.

      Een beveiligde e-mailgateway daarentegen stelt geen e-mailroutingproblemen en blokkeert bedreigingen zo dicht mogelijk bij de bron. En door de grotere hoeveelheid gegevens die volwassen SEG's verwerken (en in de loop der tijd hebben verwerkt), zijn deze systemen beter in staat om een breder scala aan potentiële e-mailbedreigingen tegen te houden voordat ze de inbox van gebruikers bereiken - of, wat dat betreft, voordat een CESS-inzet zelfs maar is blootgesteld aan de e-mailstroom.
    2. Vertrouwt u op M365-beveiliging om zoveel mogelijk bedreigingen te blokkeren?

      Bedreigers bestoken M365 voortdurend met nieuwe en steeds geraffineerdere aanvallen, en het productiviteitsplatform kan gewoonweg niet alles opvangen. Dat is natuurlijk de raison d'etre voor CESS, maar dit is waar de bewering van CESS dat het de noodzaak voor SEG's tenietdoet, tot tegenstrijdigheden leidt. Beveiligingsprofessionals zijn het erover eens dat een meerlaagse verdediging noodzakelijk is voor de best mogelijke bescherming, en SEG's hebben een lange staat van dienst als het gaat om het blokkeren van meer spam, malware en gerichte e-mailbedreigingen dan M365 alleen. Het secure e-mail gateway-platform van Mimecast blokkeert bijvoorbeeld 22% meer schadelijke inhoud dan Microsoft. Organisaties zullen moeten bepalen of het zinvol is om een SEG te gebruiken om meer e-mailbedreigingen te blokkeren dan Microsoft voordat de bedreigingen de inbox van gebruikers bereiken, of om te vertrouwen op CESS-systemen om de bedreigingen te verhelpen die Microsoft over het hoofd ziet nadat gebruikers aan deze bedreigingen zijn blootgesteld (en mogelijk actie kunnen ondernemen).
    3. Welke detectietechnologie gebruikt u?

      CESS-leveranciers hebben de neiging zich te richten op het oplossen van puntproblemen - zoals phishing en BEC - met behulp van een beperkte set tools en mogelijkheden. Ze beloven een lagere beheersoverhead door een relatief beperkte regelgebaseerde configuratie aan te bieden, waarbij ze in plaats daarvan vertrouwen op AI/ML die wordt getraind door gebruikersrapportage van valse negatieven en positieven. Hoewel dit model aantrekkelijk klinkt, vooral voor kleinere bedrijven met weinig IT-beveiligingspersoneel, ontneemt het gebrek aan granulariteit een organisatie de mogelijkheid om af te stemmen op basis van de eigen risicotolerantie, de specifieke bedreigingen die op hen gericht zijn en andere factoren. Bovendien is het een onjuiste veronderstelling dat de meeste eindgebruikers zorgvuldig zullen zijn met rapporteren, vooral na verloop van tijd.

      Bedrijven die CESS-systemen evalueren, moeten deze vergelijken met de detectietechnologie die wordt gebruikt door bewezen veilige e-mailgateways. Mimecast maakt bijvoorbeeld gebruik van meerdere detectietechnologieën en meer dan 50 geïntegreerde detectie-engines die samen zorgen voor de beste beveiliging in zijn klasse en een korte beschermingstijd tegen nieuwe bedreigingen. Crowdsourced en gecorreleerde bedreigingsgegevens uit het meer dan 40.000 klantenbestand van het bedrijf - bergen gegevens die in de loop van vele jaren zijn verzameld - vormen de basis voor de informatie van Mimecast over bedreigingen, waardoor betere detectie mogelijk is.

      De steeds veranderende perimeter van organisaties vereist bovendien de mogelijkheid om meerdere verdedigingsmechanismen snel, flexibel en op intelligente wijze te integreren. Geen enkele leverancier mag een eiland zijn. Daarom heeft Mimecast geïnvesteerd in een bibliotheek met open API's en kant-en-klare integraties met derden waarmee organisaties hun beveiliging kunnen baseren op best-of-breed technologieën , van endpoint tot e-mail- en webgateways, en van preventie en herstel van bedreigingen tot preventie van gegevensverlies. Maar anders dan bij CESS-systemen, die API's gebruiken om toegang te krijgen tot e-mails van klanten zodat ze hun risico kunnen beoordelen, worden de API's van Mimecast ingezet voor het delen van informatie over bedreigingen met andere best-of-breed beveiligingsproviders.
    4. Wat is uw percentage vals-positieven? Hoe meet en beperkt u die?

      Dit is een vraag die CESS-leveranciers waarschijnlijk niet kunnen beantwoorden omdat ze vertrouwen op kunstmatige intelligentie, die zeer gevoelig is voor vals-positieven. Bedrijven moeten er zeker van zijn dat alle verdachte e-mails worden gedetecteerd, maar ze moeten er ook zeker van zijn dat verdachte e-mails ook echt verdacht zijn. Talrijke valse meldingen zijn een zware last voor bedrijven, vooral voor bedrijven met een personeelstekort en/of een gebrek aan ervaring. AI is zeker een belangrijk onderdeel van de mogelijkheden van elke e-mailoplossing, maar om echt effectief te zijn, moet het worden gebruikt in combinatie met andere detectiemogelijkheden, zoals bestandsanalyse en sandboxing, en nauwkeurig afgestemde beleidsregels op basis van regels.
    5. Beschermt u mijn gebruikers op alle apparaten?

      Een van de sleutels tot e-mailbeveiliging is gebruikers te betrekken en hen met waarschuwingsbanners te waarschuwen voor mogelijke phishing, merkvervalsing of andere aanvallen. Maar banners werken alleen als de gebruikers ze kunnen zien. Veel CESS-systemen maken gebruik van HTML-banners, die niet altijd correct worden weergegeven, met name op niet-Outlook clients. Mimecast maakt daarentegen gebruik van bannerafbeeldingen - die op elk apparaat correct worden weergegeven - met een kleurcodering op basis van het dreigingsniveau en met contextuele informatie om ontvangers te informeren en hen te helpen bepalen of de e-mail een echte dreiging is.
    6. Wat gebeurt er als mijn bedrijf zich ontwikkelt?

      Beveiligingsmaatregelen moeten voortdurend worden bijgewerkt en verbeterd om bedreigers te slim af te zijn. Evenzo verandert het risiconiveau van e-mailberichten naarmate bedrijven groeien en veranderen, mondiale omstandigheden veranderen, regelgeving volwassener wordt en het landschap van cyberbedreigingen verschuift. Veel CESS-leveranciers voeren geautomatiseerde herstelmaatregelen uit op basis van de beperkte hoeveelheid gegevens en gebruikersinteractie waarover deze doorgaans kleinere, nieuwere bedrijven beschikken.

      Dit is eigenlijk een gebied waar AI, met name ML, schittert, in combinatie met meerdere detectie-engines, DNS-authenticatie en bewustzijnstraining voor eindgebruikers. De nieuwe CyberGraph mogelijkheid van Mimecast, bijvoorbeeld, betrekt gebruikers bij het risicopunt met kleurgecodeerde banners die de potentiële aard van een bedreiging aangeven. Wanneer het risico dat aan een e-mail is verbonden verandert - zoals bepaald door informatie over bedreigingen vanuit de crowd - wordt de banner in die e-mail en in soortgelijke e-mails bijgewerkt. Dit stelt organisaties in staat om beveiliging effectiever te integreren in hun productiviteitstools door werknemers te voorzien van de informatie die ze nodig hebben om slimme beslissingen te nemen over e-mailgerelateerde risico's.
    7. Herschrijft u URL's en voert u time-of-click-analyse uit?

      Veel CESS-verkopers vertrouwen op de ingebouwde URL-bescherming van Microsoft, een van de eigen mogelijkheden die volgens klanten ontbreken. Als een CESS-leverancier zegt dat hij extra URL-bescherming en time-of-click-analyse toevoegt aan wat Microsoft biedt, vraag de leverancier dan om details over welke technologie hij gebruikt en hoe diep de bescherming gaat. Ter vergelijking: de beveiligde e-mailgateway van Mimecast maakt gebruik van meerdere lagen technologie om URL's te scannen, waaronder diepgaande analyse van webpagina's voor een hogere beveiligingsefficiëntie.

    De kern van de zaak

    Gegevens uit dreigingsinformatie wijzen op een toenemende complexiteit van de aanvallen van cybercriminelen op bedrijven; bedreigingen zoals het compromitteren van zakelijke e-mail of phishing worden voor werknemers steeds moeilijker te herkennen en kunnen zelfs nog grotere gevolgen hebben voor organisaties. Gezien de parallelle toename van e-mailbedreigingen en de afhankelijkheid van e-mail van bedrijven, is het van cruciaal belang dat organisaties een meervoudig gelaagde beveiliging zoeken en de beweringen van verkopers die beweren messaging-systemen te beveiligen, zorgvuldig doorlichten - vooral wanneer zij aanbevelen een bewezen laag van e-mailbeveiliging te verwijderen. Vermijd deze valkuilen en vraag een demo aan ; het bedrijf, de werknemers en de klanten staan allemaal op het spel.

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven