Waarom de beveiliging van e-mail nooit lijkt te verbeteren, en wat je eraan kunt doen

Na de recente publicatie van mijn blog Why Cybersecurity Never Seems to Improve, And What You Can Do About It, dacht ik mijn beveiligingslens nog wat verder te vernauwen tot het onderwerp e-mailbeveiliging. Hoe komt het dat e-mail de belangrijkste aanvalsvector blijft voor de meeste succesvolle cybermisdaden, ook al worden er elk jaar miljarden dollars uitgegeven om ze te voorkomen? Op macro- of mondiaal niveau lijkt het probleem erger te worden, niet beter.

Wat volgt is een bespreking van de zeven sleutelfactoren die de voortdurende uitdaging van e-mailbeveiliging vormen en wat we eraan kunnen doen.

1. Er is altijd wel een crisis, een seizoen of een zeer emotioneel onderwerp dat rijp is voor cybercriminelen social engineering . Op dit moment beleven we de wereldwijde crisis COVID . Zowat elke particulier en zakenman is geïnteresseerd in het laatste virusnieuws, de beste plaats om PBM's te kopen, of ja, zelfs wie er toiletpapier in voorraad heeft. Maar natuurlijk komen Kerstmis, Pasen, politieke campagnes, orkanen en bosbranden, belastingen, en vele andere motiverende onderwerpen ook vele malen per jaar voorbij. En aanvallers plannen en reageren dienovereenkomstig op deze onderwerpen. In de weken nadat de COVID-pandemie voor het eerst werd afgekondigd, maakte ongeveer 10% van de spam- en phishing-e-mails die door Mimecast werden geblokkeerd, gebruik van het virus. Cybercriminelen schakelen snel over op de beste manier om de aandacht van hun beoogde slachtoffers te trekken en hun doelwitten te phishen.
2. E-mail heeft alles wat aanvallers nodig hebben. Of de bedreiger nu ongeraffineerd of geraffineerd is, e-mail is regelmatig het punt van binnenkomst in een organisatie. Waarom? E-mail is alomtegenwoordig, heeft miljarden gebruikers, is wereldwijd verspreid, uiterst betrouwbaar, relatief anoniem, gratis, wordt over het algemeen vertrouwd door de gemiddelde persoon en is technisch zeer flexibel. Hoeveel andere courant gebruikte technologieën combineren de mogelijkheid om bestanden, links en aangepaste tekst af te leveren, met een uiterlijk dat oneindig flexibel is en volledig aan de afzender wordt overgelaten, en dat zelfs is ontworpen om domain spoofing mogelijk te maken ?! Is het echt een verrassing dat e-mail de aanvalsvector bij uitstek is? En de combinatie van e-mail en het web geeft de aanvaller een enorme slagkracht.
3. Het open internet. Zoals ik al zei in de eerder genoemde blog Why Cybersecurity Never Seems to Improve is het open internet zowel ongelooflijk waardevol als ongelooflijk riskant; zonder goed toezicht en gelaagde beveiligingscontroles kan iedereen e-mail versturen als iemand anders en kunnen e-mail- en webdomeinen worden geregistreerd en websites worden opgezet die er precies zo uitzien als de eigenaar besluit. Is het een verrassing dat dit rijp is voor kwaadaardige spoofing en fraude? Het vergt extra inspanningen om de eigen e-maildomeinen te vergrendelen met DMARC en om het internet af te speuren naar de verschillende manieren waarop het eigen online merk wordt misbruikt.
4. De slechte veiligheidshygiëne van uw internetburen is uw probleem. Wanneer onschuldige webomstanders of e-maildiensten worden gehackt door cybercriminelen, worden ze heel vaak gebruikt om aanvallen te lanceren tegen hun uiteindelijke doelwitten. Waarom doen de dreigers dit? Aan de webzijde is het veel moeilijker zich te verdedigen tegen kwaadaardige pagina's die worden gehost op webdomeinen met een overigens goede reputatie. En vergeet de DNS-ingangen van websites niet. Als de aanvaller administratieve rechten kan krijgen op de DNS entry van een legitieme website, is het voor de aanvaller heel eenvoudig om een subdomein te registreren - badsite.goodsite.com - en verkeer om te leiden naar een kwaadaardige site die de goede reputatie van het goodsite.com domein weglekt. Op dezelfde manier kan de aanvaller met gepwned e-mail accounts deze onschuldige omstanders e-mail diensten gebruiken als relais voor hun phishing campagnes, waarbij hij ook gebruik maakt van hun goede reputatie.
5. De overstap naar Microsoft 365 (voorheen bekend als Office 365) zorgt voor verstoring van de e-mailbeveiliging. En erger nog, organisaties die 100% afhankelijk zijn van de ingebouwde anti-phishing services die bij het platform horen, worden zeer kwetsbaar voor verschillende vormen van phishing. Begrijp me niet verkeerd, Microsoft 365 is een geweldige dienst - 200M+ dagelijkse gebruikers kan niet verkeerd zijn! Maar denk als een cybercrimineel: zodra het duidelijk is dat u Microsoft 365 gebruikt (alleen al door uw MX Record te controleren) kan de cybercrimineel er zeker van zijn dat de aanval die met succes op zijn of haar instantie van Microsoft 365 wordt uitgevoerd, ook door uw instantie van Microsoft 365 zal komen. Gebruikt u Microsoft om Microsoft te beschermen op het niveau van het besturingssysteem van uw clients en servers? Waarom niet? Dezelfde logica geldt voor e-mailbeveiliging.
6. Veel organisaties hebben oude of onvolledige e-mailbeveiligingsmaatregelen. In het onlangs uitgebrachte State of Email Security Report werd gemeld dat slechts 60% van de organisaties "een of ander beveiligingssysteem heeft om hun gegevens of medewerkers te beschermen bij interne en uitgaande e-mails". Dit betekent dat een aanzienlijk deel van de organisaties alleen lijkt te proberen zich te verdedigen tegen inkomende e-mails, maar als de aanvaller eenmaal in hun e-mailsysteem is binnengedrongen, zijn ze in wezen blind voor de andere twee vectoren van e-mailverkeer. Men wil niet de slechte internet buur worden die ik in #4 beschreef, maar velen zijn het wel.
7. Zwakke trainingsprogramma's voor beveiligingsbewustzijn. In het rapport State of Email Security werd ook gemeld dat slechts 1 op de 5 organisaties ten minste een keer per maand aan beveiligingsbewustzijnstraining doet. Hoe kunnen we van gewone medewerkers verwachten dat ze zich bewust zijn van en voorzichtig zijn met de nieuwste aanvalstypen als ze maar één of twee keer per jaar op de hoogte worden gebracht? En wat voor soort training is het? Saai? Urenlange PowerPoint-dia's? Versmolten in andere soorten compliance training? Hoewel de overgrote meerderheid van de organisaties een of andere vorm van beveiligingsbewustzijnstraining geeft - wat geweldig is - doen relatief weinig organisaties het goed. De resultaten zijn in feite nogal grimmig: Mimecast data geeft aan dat klanten zonder Mimecast Awareness Training 5X meer kans hebben om op kwaadaardige links in e-mail te klikken dan klanten die de training wel gebruiken.

Wat kun je er aan doen?

De bovenstaande lijst en discussie kan ontmoedigend lijken. Dit is per slot van rekening de reden waarom e-mailbeveiliging en het neefje ervan, webbeveiliging, zo uitdagend zijn voor verdedigers en zo nuttig voor cybercriminelen. Hoewel er geen eenvoudige oplossing bestaat die de beveiligingsuitdagingen in zijn eentje kan oplossen, zijn er wel beproefde beste praktijken die, wanneer ze worden gecombineerd, het risico op beveiligingsincidenten drastisch kunnen verlagen. Op het gebied van technische controles kan het gebruik van eersteklas beveiligingssystemen voor e-mail/DMARC, web/webmonitoring, netwerken, endpoints en multifactorauthenticatie waardevolle preventieve beveiliging bieden. Combineer deze en andere technische controles met doelgerichte beveiligingsbewustmakingstraining en andere manieren om uw beveiligingscultuur te verbeteren en u hebt al veel gedaan om twee poten van het driepotige beveiligingskrukje vast te zetten.

Wat is de andere poot van de kruk? Proces. Elk belangrijk bedrijfsproces dat kan worden verstoord of waarvan misbruik kan worden gemaakt via één enkel storingspunt, is niet voldoende veerkrachtig. Kijk daar dus goed naar en doe wat u kunt om ze veerkrachtiger te maken en dus minder vatbaar voor de acties van cybercriminelen.