Email-Sicherheit

Bedrohungsbehebung nach der Zustellung gibt MSPs die Kontrolle zurück

Adrien Gendre

25. Juli 2019

4 min

MSP

Eine der größten Beschwerden, die wir über Secure Email Gateways hören, besteht darin, dass sie eine übergroße Menge an falschen Positiven und falschen Negativen produzieren. Falsche Positive sind ineffizient und zeitraubend, und falsche Negative sind gefährlich. 

Einem aktuellen Bericht von Cofense zufolge wurden 90 Prozent von 31.000 bösartigen E-Mails, die innerhalb eines bestimmten Zeitraums in Postfächern eingingen, in Umgebungen mit einem oder mehreren SEGs gefunden. Das verursacht den Benutzern aus verschiedenen Gründen Kopfschmerzen, ist jedoch für die MSPs besonders schmerzhaft, die sich darum kümmern müssen, das Durcheinander wieder in Ordnung zu bringen.

MSPs sind sich oft nicht bewusst, dass das eine oder andere Szenario eingetroffen ist, bis ihre Kunden das Problem melden — Beschwerden darüber, dass sie wichtige E-Mails nicht erhalten oder die äußerst schlechte Nachricht, dass sie Opfer eines E-Mailbetrugs wie Phishing oder Spear-Phishing geworden sind. Da 74 Prozent der KMUs sagen, dass sie ihre MSPs für einen Cyberangriff haftbar machen würden, ist das Risiko einfach zu groß.

MSPs brauchen eine Möglichkeit, Bedrohungen zu entfernen, die bereits in den Posteingängen ihrer Benutzer angekommen sind. Mit SEGs ist dies in Office 365-Umgebungen einfach nicht möglich. Eine der größten Einschränkungen in SEG-Architekturen besteht darin, dass sich das Produkt außerhalb der Office 365-Umgebung befindet, sodass E-Mails, die bereits zugestellt wurden, nicht mehr entfernt werden können. Um Bedrohungen nach der Zustellung zu entfernen, muss die Lösung praktisch nativ innerhalb von Office 365 arbeiten.

Die Bedrohungsbehebung war immer eine Schwäche von E-Mail-Sicherheitslösungen, aber glücklicherweise ändert sich das jetzt.

Wie ist es dazu gekommen?

Traditionelle E-Mail-Sicherheitslösungen verwenden reputations- und unterschriftsbasierte Verfahren zur Identifikation von Bedrohungen. Das Blockieren von Bedrohungen wie IPs und URLs, die auf schwarzen Listen stehen, ist — und bleibt — eine der wichtigsten Funktionen dieser Lösungen, und zu diesen Lösungen gehört auch Exchange Online Protection (EOP). Sie arbeitet wirkungsvoll gegen Spam, Phishing-E-Mails in großen Mengen und Malware mit einer bekannten Signatur, aber nicht gegen die kleinvolumigen, extrem zielgerichteten Phishing- und Spear-Phishing-Angriffe, die wir heutzutage sehen.. Die Hacker sind einfach zu raffiniert.

Sie wissen, dass sich viele Unternehmen mit derartigen Lösungen schützen, und haben ihre Techniken weiterentwickelt. Um zu vermeiden, aufgrund von Reputation auf einer schwarzen Liste zu landen, haben sie gezieltere Phishing-Kampagnen geschaffen und aufgehört, sich auf große Mengen von versendeten E-Mails zu verlassen, die Alarmglocken auslösen könnten. Einige Hacker verwenden sogar einzigartige IP-Adressen, URLs und Nachrichten für jede einzelne Phishing-E-Mail, um so ein Erkennen zu vermeiden. Eine andere Technik besteht in zeitgesteuerten URL-Umleitungen, bei denen ein Hacker eine saubere URL in die Phishing-E-Mail einfügt und dann eine Umleitung schafft, nachdem die E-Mail zugestellt wurde. Ein traditioneller E-Mailfilter prüft die URL, wenn die E-Mail ankommt, aber nicht, wenn der Benutzer darauf klickt, sodass der Filter sinnlos wird. Umgekehrt markieren dieselben Filter, die eigentlich saubere E-Mails erkennen sollten, legitime E-Mails fälschlicherweise als Junk oder Spam, verzögern die E-Mailzustellung durch Quarantäne und erstellen einen Katalog aus False-Positives.

Reaktive Technologien können einfach nicht mit den raffinierten Bedrohungen von heute mithalten. MSPs benötigen eine bessere Lösung zum Schutz ihrer Unternehmen und Office 365-Kunden.

KI-basierte Bedrohungserkennung ebnet den Weg für eine automatische Behebung

Künstliche Intelligenz (KI) läutet eine neue Ära der Cybersicherheit ein, um die reputations- und signaturbasierte Bedrohungserkennung zu verbessern. Mit einem prädiktiven Ansatz zur Bedrohungserkennung kann eine KI-basierte Lösung ihr Training einsetzen, um E-Mailgefahren zu antizipieren und dann unbekannte E-Mailbedrohungen zu blockieren. Um die KI so zu trainieren, dass sie Spear-Phishing erkennt, bekommen unbeaufsichtigte Machine Learning-Modelle Tausende von echten Spear-Phishing-E-Mails gezeigt, sodass sie lernen können, missbräuchliche und anomale Muster, die in den meisten Spear-Phishing-Angriffen beobachtet werden, zu identifizieren. Um Phishing zu erkennen, werden unbeaufsichtigte maschinelle Learnen-Modelle anhand von legitimen und Phishing-Seiten trainiert, die von Datenwissenschaftlern sorgsam ausgewählt wurden. Die Modelle analysieren die spezifischen Eigenschaften von URL und Seite – die ebenfalls sorgsam ausgewählt wurden – und suchen nach URL-Umleitungen oder anderen Verschleierungstechniken, die reputations- und signaturbasierte Lösungen umgehen.

Leider ist kein System narrensicher, und der Mensch ist manchmal doch cleverer als eine Maschine. Wenn eine Phishing-E-Mail unerkannt im Posteingang landet, hat ein MSP gerade einmal 82 Sekunden Zeit, bevor der Benutzer anfängt, die E-Mail anzuklicken. Wenn der Benutzer die E-Mail meldet, kann der MSP eine Untersuchung durchführen und die E-Mail manuell löschen, aber langfristig ist dies keine effiziente Strategie. Das direkte Beheben von Bedrohungen in Office 365-Umgebungen kann ein sehr manueller, komplexer Prozess sein, der spezialisiertes Wissen und die Verwendung der Befehlszeile erfordert. Wichtiger noch, der Filter, der die bösartige E-Mail übersehen hat, lernt nichts aus seinem Fehler. Immer dann, wenn der Filter versagt, muss der MSP die Suppe auslöffeln.

Dieselbe KI-Engine, die trainiert wurde, Phishing- und Spear-Phishing-E-Mails zu erkennen, kann aus dem Verhalten der Anwender — und ihren eigenen Fehlern — lernen, um die Behebung zu vereinfachen. So funktioniert es:

Behebung durch den MSP: Eine verdächtige Phishing-E-Mail umgeht den E-Mailfilter und wird von einem Endbenutzer gemeldet. Der MSP führt also eine Untersuchung durch und ergreift bei Bestätigung der Bedrohung Maßnahmen, um die Auswirkungen auf die Organisation abzuschwächen. Mit einer Funktion wie Remediate für Vade Secure für Office 365 können MSPs eine Bedrohung sofort aus mehreren Posteingängen entfernen. Mit nur wenigen Klicks löschen Sie die Nachrichten oder verschieben sie in den Junk-Ordner von Outlook. Die Daten werden an das Produkt weitergeleitet, das sie verwendet, um die KI-Engine zu verbessern.

Behebung durch den Benutzer: Ein Benutzer erhält eine unerwünschte E-Mail und meldet sie, indem er auf die Junk-Schaltfläche von Outlook klickt. Natürlich erhält Microsoft diese Information, aber Vade Secure wird dank der nativen API-Integration mit Office 365 ebenfalls benachrichtigt. Die Daten von diesen Benutzermeldungen helfen dabei, die KI-Engine und ihre zukünftigen Verfahren zur Klassifizierung von E-Mails weiter zu verbessern.

Automatische Behebung: Auf Grundlage von Benutzer-Meldungen oder einer Echtzeit-Darstellung von aufkommenden Bedrohungen erkennt eine KI-Engine, dass eine Phishing- oder Spear-Phishing-E-Mail erfolgreich in eine Outlook-Mailbox eingegangen ist. Die Engine klassifiziert die E-Mail erneut und meldet die Maßnahme im Protokoll — ohne dass der MSP irgendwie eingreifen muss.

Einsatz

Auto-Remediation, also die automatische Behebung, ist eine relativ neue E-Mailsicherheitsfunktion, die für die MSPs eine Vielzahl an Problemen behebt. Auto-Remediate nutzt Bedrohungsdaten aus 600 Millionen Posteingängen weltweit und ist ohne Aufpreis für Benutzer von Vade Secure für Office 365 verfügbar. Auto-Remediate wurde für MSPs konzipiert und läuft im Hintergrund, was den MSPs Zeit verschafft und einen kontinuierlichen, automatischen Schutz gegen E-Mailbedrohungen bereitstellt.

Schauen Sie sich das 2-minütige Video an, um mehr über Auto-Remediate zu erfahren.

https://youtu.be/JI3O6cuIk9I