Email-Sicherheit

URL-Rewriting im E-Mail-Sicherheitsbereich

E.J Whaley

24. September 2020

4 min

Im E-Mail-Sicherheitsbereich ist URL-Rewriting allgegenwärtig. Die zugrundeliegende Funktion mag von Anbieter zu Anbieter unterschiedlich sein, die Idee jedoch ist immer dieselbe: Wenn Benutzer mit URLs in ihrem Posteingang interagieren, bietet URL-Rewriting die Möglichkeit, zu prüfen, ob die URL-Ziele sicher sind oder nicht. 

Aber ist URL-Rewriting überflüssig geworden, da sich die E-Mail-Sicherheit nicht mehr auf Secure Email Gateways verlässt (SEGs, oder einfach nur Gateways) und man zu einem API-basierten Ansatz übergegangen ist?

URL-Rewriting gewann an Zugkraft, da die Angreifer ihre Taktik änderten. URLs werden seit langem mit E-Mail-basierten Angriffen in Verbindung gebracht, von Malware bis hin zum Diebstahl von Benutzerdaten. Als Organisationen begannen, sich mehr auf die Sicherheit zu konzentrieren, wandten sie sich an ihre Anbieter von E-Mail-Sicherheitsdiensten, um Unterstützung bei der Abwehr dieser Art von Angriffen zu erhalten.

Die Überprüfung von URLs durch Antiviren-Scans, registrierte Blocklisten und andere statische Bedrohungsdatenbanken wurde zur Norm, um diese Angriffe abzuwehren. Aber es gab ein Problem: Die Bedrohungsdaten waren statisch. Das bedeutete, dass Angreifer die in ihren Angriffen verwendeten URLs rotieren oder immer wieder erneuern konnten, da sie wussten, dass wahrscheinlich nur ihre kurz zuvor verwendeten URLs erkannt werden würden.

Der Aufstieg des URL-Rewriting

Eine Zeit lang musste die Security-Community darüber nachdenken, wie man dieses Problem in Griff bekommen könnte. Es war vor allem dieser Punkt, der das URL-Rewriting ins Rollen brachte. Die Idee hinter dem URL-Rewriting besteht darin, das Ziel der URL zu ändern, um die URL erneut zu prüfen. Anstatt einen Benutzer direkt zum Ziel der URL zu bringen, wird die URL so geändert, dass der Benutzer zu einem Proxy umgeleitet wird.

Während sich der Browser des Benutzers auf der Proxy-Seite befindet, prüft ein Dienst, ob die Ziel-URL zu diesem Zeitpunkt auf einer statischen Liste mit Bedrohungsinformationen zu finden ist. Das bedeutet, dass der Dienst zwar immer noch auf statische Bedrohungsdaten angewiesen ist, es hat aber den zusätzlichen Vorteil, dass das Ziel zweimal überprüft werden kann: einmal bei der ersten Zustellung und ein zweites Mal zum Zeitpunkt des Klicks – Time of Click.

Im Laufe der Zeit wurde das URL-Rewriting durch eine Reihe neuer Verbesserungen zu einem noch nützlicheren Werkzeug. Anstatt z. B. einfach zu prüfen, ob die verfügbaren Bedrohungsdaten ein aktuelles Match enthalten, können die Dienste das Ziel jetzt in Echtzeit prüfen, das Ziel aus den Abkürzungen extrahieren, die Seite untersuchen, um gespoofte Websites und Anmeldeseiten zu identifizieren, Weiterleitungen verfolgen und eine Reihe anderer dynamischer Prüfungen durchführen.

Dies hat immens dazu beigetragen, Angreifer sowohl in Bezug auf ihre Rotation und die ständige Verwendung neuer Ziele als auch im Hinblick auf die neuere Taktik des Missbrauchs von URL-Shorteners und URL-Umleitungen auszubremsen. Wenn bei den verschiedenen Prüfungen alles andere fehlschlägt und ein Benutzer letztendlich dennoch mit bösartigem Inhalt interagiert hat, bieten die meisten URL-Rewriting-Dienste eine Antwort auf die Frage, ob Benutzer tatsächlich mit bestimmten URLs interagiert haben oder nicht.

Allgemeine Fragen und Einschränkungen

Obwohl sich das URL-Rewriting unbestreitbar deutlich weiterentwickelt hat, ist der Ansatz nicht ohne Fehler. Trotz der jüngsten Fortschritte im Bereich Machine Vision sind die meisten URL-Rewriting-Dienste immer noch deutlich von statischen Bedrohungsinformationen abhängig. Wenn ein Benutzer unmittelbar nach der Zustellung mit einer bösartigen URL interagiert, besteht die Möglichkeit, dass die URL noch nicht zu einer Liste mit Bedrohungsdaten hinzugefügt wurde.

Einige URL-Rewriting-Dienste neigen auch dazu, Links sofort oder im Laufe der Zeit zu unterbrechen. Dies kann sowohl Benutzern, die versuchen, auf Inhalte zuzugreifen, als auch den Helpdesk-Teams, die die Beschwerden über die nicht funktionierenden URLs bearbeiten, Kopfschmerzen bereiten.

Erwähnenswert ist hier die zunehmende Nutzung einer weiteren Technologie: Schulungs- und Sensibilisierungsplattformen, die Phishing-E-Mails simulieren. Mithilfe dieser Tools werden die Benutzer oft darin geschult, mit der Maus über die Links in ihren E-Mails zu fahren, um zu prüfen, ob sie das Ziel erkennen. Beim URL-Rewriting muss eine obskure URL gegen das Original ausgetauscht werden. Dadurch kann diese Technik für Benutzer zu kompliziert werden.

Ein besserer Weg

URL-Rewriting hat seine Vorzüge. Vade Secures eigener Time-of-Click (ToC)-Service steht den Kunden weiterhin zur Verfügung. Mit der auf Machine Learning basierenden Verhaltensanalyse in Echtzeit untersucht ToC bis zu 47 Merkmale von URLs und Webseiten mit hoher Genauigkeit und ohne Latenz für die Endbenutzer. Da unser Schwerpunkt jedoch auf der vorausschauenden Verteidigung und den laufenden Investitionen in KI-Technologie liegt, konzentrieren wir uns darauf sicherzustellen, dass Benutzer niemals mit einer bösartigen URL interagieren, auch nicht, wenn die E-Mail zugestellt wir.

Der E-Mail-Inhaltsfilter von Vade Secure schützt eine Milliarde Posteingänge und scannt mehr als 12 Milliarden E-Mails pro Tag. Diese Daten bieten aktuelle Echtzeit-Analysen von E-Mail-Metadaten, einschließlich der Website-Analyse der URLs, und generieren globale Bedrohungsinformationen, die dazu dienen, unsere KI-Modelle zu trainieren und sie bei neuen Bedrohungen oder Phishing-Techniken zu verfeinern.

Diese Kombination aus KI-Technologie und Bedrohungsdaten unterstützt Auto-Remediate, eine in Vade Secure for Microsoft 365 integrierte Funktion, die sowohl präventiv arbeitet als auch Post-Delivery-Fähigkeiten bereitstellt. Als Bestandteil des Inhaltsfilters scannt Auto-Remediate kontinuierlich E-Mails sowie Webseiten hinter den in E-Mails eingebetteten Links, auch nach der Zustellung.

Wenn eine E-Mail-Bedrohung beim ersten Scan übersehen wird, entfernt Auto-Remediate die E-Mail aus dem Posteingang und verschiebt sie in einen Ordner, der bei der Einrichtung des Produkts vom Administrator festgelegt wurde. Der Administrator kann die E-Mail auf verschiedene Art und Weise bearbeiten, z. B., indem er die E-Mail löscht oder, wenn sie sicher erscheint, in den Posteingang zurückschickt.

Die Genauigkeit des Filters, kombiniert mit den Post-Delivery-Fähigkeiten von Auto-Remediate, stellt einen proaktiven Ansatz der nächsten Generation für E-Mail-Sicherheit dar, eine Weiterentwicklung der ToC-Funktion, die eine bessere Genauigkeit und mehr Effizienz bietet. Da Auto-Remediate URLs nicht neu schreibt, können Benutzer außerdem das URL-Ziel sehen, indem sie mit der Maus über das Link fahren – ein wichtiger Schritt bei der Identifizierung verdächtiger Links. Dies ermöglicht es dem Benutzer, das Wissen aus seinem Phishing-Sensibilisierungstraining zu nutzen, was sowohl dem Benutzer als auch dem Unternehmen zugutekommt.

Darüber hinaus bietet Auto-Remediate einen besseren Schutz, da die Bedrohung aus dem Posteingang der Benutzer sofort beseitigt wird und die Benutzer nicht mehr mit bösartigen E-Mails und URLs interagieren müssen.

Partner von Vade Secure werden ermutigt, Auto-Remediate einzuschalten, das für jede einzelne Bedrohungskategorie, einschließlich Phishing, Malware und Spam, aktiviert werden kann. Obwohl wir dringend empfehlen, Auto-Remediate der ToC-Funktion vorzuziehen, können Partner, die ToC verwenden möchten, die Funktion in ihrer Vade Secure for Microsoft 365-Administratorkonsole aktivieren.