Le courrier électronique n'est pas sécurisé par nature, car le courrier électronique n'a jamais été conçu pour être sécurisé. La façon dont le courrier électronique est utilisé aujourd'hui - et ses besoins en matière de sécurité - diffèrent grandement de ce que ses inventeurs voulaient.
Définition de la sécurité des e-mails
La sécurité des e-mails utilise l'IA et d'autres techniques de filtrage pour arrêter les logiciels malveillants, les escroqueries par hameçonnage et la compromission des e-mails professionnels (BEC). Alors que les acteurs malveillants se tournent vers les environnements cloud pour exploiter G Suite et attaquer Office 365 , la sécurité des e-mails est une vaste entreprise sans approche universelle. Une bonne sécurité des e-mails commence par une compréhension globale de la menace et la volonté d'évoluer à mesure que l'utilisation des e-mails continue d'augmenter et de changer.
Le courrier électronique est-il sécurisé ?
Par rapport aux technologies informatiques modernes, le courrier électronique a évolué lentement. Il est né du système de partage du temps compatible du MIT en 1965 pour stocker des fichiers et des messages sur un disque central, les utilisateurs se connectant à partir d'ordinateurs distants.
En 1971, le symbole @ a été introduit pour aider les utilisateurs à cibler des destinataires spécifiques. En 1977, les champs «À» et «De» et le transfert des messages ont été créés au sein de l'ARPANET de DARPA, constituant la première norme du courrier électronique.
Infographie: l'histoire et l'avenir du phishing
Ces avancées ont créé les conditions pour les prototypes de spam et, en 1978, le premier e-mail de masse a été envoyé à 397 utilisateurs ARPANET. C'était tellement impopulaire que personne ne recommencerait pendant une décennie. La sécurité des e-mails est devenue nécessaire à la fin des années 1980, lorsque le spam a proliféré en tant que farce parmi les joueurs et a rapidement pris de l'importance en tant qu'activité criminelle.
Trente ans plus tard, le courrier électronique est beaucoup plus puissant et sophistiqué, le cloud connectant les utilisateurs et synchronisant les fichiers en temps réel. Ces facteurs ont incité les acteurs malveillants à envoyer chaque jour près de 4,7 milliards d'e-mails de phishing.
Le phishing est aujourd'hui l'une des formes les plus importantes de cybercriminalité. Les pirates utilisent des techniques d'ingénierie sociale pour tromper même les employés les plus attentifs en ouvrant une pièce jointe malveillante, en cliquant sur un lien malveillant ou en divulguant des informations d'identification. 92% des logiciels malveillants sont livrés via une attaque de phishing réussie par e-mail, permettant aux pirates d'accéder aux infrastructures de données de l'entreprise et de voler des millions de dollars ou des informations personnelles identifiables (PII).
En réalité, la sécurité des e-mails ne sera jamais à 100%. Sachant cela, les pirates ne cesseront jamais de tirer parti de la messagerie électronique comme vecteur d'attaque - surtout pas lorsque 190 millions d'utilisateurs d'Office 365 et 1,5 milliard d'utilisateurs de G Suite partagent des informations et des documents confidentiels pour faire leur travail. Ces fournisseurs de messagerie protégeant ces utilisateurs sont responsables de la sécurité du cloud, mais vous êtes responsable de la sécurité de vos données dans le cloud.
Pourquoi vous avez besoin de la sécurité des e-mails
Le courrier électronique est l'épée à double tranchant du monde des affaires: c'est l'élément vital de communication de l'entreprise, mais cela en fait le principal point d'entrée pour les pirates. Tout pirate a besoin d'un seul e-mail de phishing réussi pour ouvrir des opportunités pour les logiciels malveillants, les ransomwares, le BEC et d'autres méthodes d'attaque pour obtenir des informations d'identification et tenir l'organisation en otage.
Selon le groupe de travail canadien sur la cybercriminalité, Internet and Crime Complaint Center (IC3), le nombre de plaintes pour cyberattaques et la perte financière des entreprises attaquées ont augmenté de façon constante au cours des dernières années. En 2018, l'IC3 a reçu plus de 350000 plaintes (50000 de plus que l'année précédente) et les pertes financières ont presque doublé, passant de 1,4 milliard de dollars à 2,7 milliards de dollars. C'est pourquoi le phishing est une préoccupation majeure pour les professionnels de la sécurité, selon les résultats d'un sondage de 451 Research.
Bien que ces statistiques puissent être attribuées à un plus grand nombre de rapports provenant d'une sensibilisation accrue des utilisateurs, elles ne tiennent pas compte non plus du nombre d'attaques non signalées - simplement parce que les victimes ne les connaissent pas avant qu'il ne soit trop tard. C'est l'une des parties les plus insidieuses des attaques par courrier électronique : elles permettent au pirate de se cacher dans les réseaux, observant les systèmes et les processus, attendant le bon moment pour frapper - et impliquant potentiellement toute personne et tout ce qui est jamais associé au compte composé. Même les partenaires commerciaux et les clients sont vulnérables .
Une cyberattaque moyenne coûte 200 000 $ à une petite entreprise , ce qui la met effectivement hors service. Compte tenu des enjeux d'une mauvaise sécurité des e-mails, il est choquant de voir combien d'entreprises dans le monde ne sont pas préparées aux attaques par e-mail .
Comment fonctionne la sécurité des e-mails ?
L'environnement cloud d'aujourd'hui signifie que la sécurité des e-mails doit aller au-delà des capacités de la plupart des passerelles de messagerie sécurisées , conçues à l'origine pour protéger les e-mails locaux. Dans un environnement cloud, la sécurité des e-mails doit prioriser les fonctionnalités anti-phishing, anti-malware et anti-spam. Avec le courrier électronique intégré dans les applications et le partage de fichiers, les suites de collaboration d'entreprise comme Office 365 et G Suite présentent aux pirates de multiples points d'entrée et exploitent une fois à l'intérieur des systèmes - ce qui signifie également que la sécurité du courrier électronique doit inclure des mesures de mi-attaque, comme la détection de compte compromise et la gestion des accès outils. La sécurité des e-mails doit également offrir une protection complète. Il doit se connecter à l'API native des fournisseurs de messagerie cloud et aux applications SaaS / productivité associées, comme OneDrive et SharePoint.
Les capacités clés du marché de la sécurité des e -mails anti-phishing, anti-malware et anti-spam commencent par des outils d'inspection de contenu, comme un sandbox réseau, un environnement isolé qui imite les opérations de l'utilisateur final et les détonations de fichiers. Le sandbox réseau permet la détermination proactive du contenu malveillant, que les administrateurs peuvent désarmer et reconstruire. Dans l'environnement réel, la réécriture d'URL détecte les liens malveillants (parfois renommant les liens afin que les utilisateurs finaux puissent voir que la sécurité a fait son travail) et effectue une analyse du temps de clic.
Chaque solution de sécurité de messagerie doit analyser les pièces jointes dans les messages doit être analysée avant d'être transmise à leurs destinataires. Il est beaucoup trop facile, par exemple, pour les pirates d'intégrer des logiciels malveillants dans une pièce jointe. Les pirates utilisent également des pièces jointes pour exécuter divers schémas de compromis de messagerie commerciale, comme les fausses factures.
Dans ce cas, le pirate aurait pu violer le comptable de l'entreprise et faire semblant d'être eux en envoyant un courrier électronique à un employé sans méfiance pour lui demander de signer une facture falsifiée. Si l'e-mail falsifié est raisonnablement bon, et si le destinataire de l'e-mail travaille rapidement et attend la facture, il ne peut y avoir aucun moyen d'arrêter l'arnaque - à moins que le système de sécurité de l'e-mail ne détecte un défaut dans la pièce jointe.
Les services d'isolation Web empêchent les logiciels malveillants et les menaces de phishing tout en permettant un large accès Web en isolant le trafic potentiellement risqué. Mais les attaques de phishing et BEC doivent être arrêtés avec des mesures de sécurité plus ciblées, comme la détection de nom d’affichage, l’authentification des messages basé sur le domaine, la détection de domaine sosie et détection des anomalies. Ensemble, ces fonctionnalités identifient les comptes compromis.
La sécurité de messagerie la plus adaptée se connecte au cloud via des API et utilise l'intelligence artificielle (IA) pour détecter les modèles de communication et les relations entre les employés et les clients.
Avec ces données, la solution utilise un algorithme de détection des menaces et un apprentissage automatique pour empêcher les pirates d'armer la suite de messagerie dans un scénario de prise de contrôle de compte. Cette capacité à collecter des données historiques et en temps réel sur chaque utilisateur, fichier, événement et politique - non seulement des comptes internes, mais de tous ceux qui y ont accès - permet un protocole de protection contre les menaces transparentes. Les solutions qui adaptent chaque environnement commercial spécifique sont idéales par rapport aux fournisseurs à taille unique dont le produit fonctionne de la même manière pour chaque client.
Politiques de sécurité des e-mails
La première étape de la sécurisation des e-mails consiste à rédiger de solides politiques de sécurité des e-mails. Cela commence par développer une compréhension complète des e-mails entrants vers l'entreprise. Quelles sont les communications de routine entre les clients, les partenaires et l’organisation ?
Pour définir cela, la solution de sécurité des e-mails doit apprendre l'environnement rapidement et au fil du temps en utilisant la protection des liens, des pièces jointes et des lignes d'objet suspectes, du comportement de l'expéditeur et de la langue dans l'e-mail.
Les politiques de sécurité des e-mails intelligents devraient alors définir clairement ce qui se passe ensuite dans un flux de travail, mais créer suffisamment de flexibilité avec les politiques pour répondre aux besoins de l'organisation. Par exemple, tout le contenu suspect doit-il être envoyé dans le dossier spam ou le dossier de quarantaine pour examen ? Doit-il être séparé du message, qui pourrait autrement se poursuivre ?
Le contenu suspect doit être envoyé à un emplacement sécurisé pour une analyse détaillée. Si une menace est détectée, les stratégies doivent indiquer un élément d'action pour étudier la portée de cette menace spécifique et pour déterminer si elle a affecté d'autres parties de l'infrastructure cloud.
Enfin, une fois l'intégralité de l'activité malveillante découverte, il doit y avoir des politiques de renforcement du chiffrement et de protection contre les futures attaques. Mais quelles décisions guident la modification des politiques existantes et la création de nouvelles ?
Une bonne première étape pour envoyer des politiques de sécurité par courrier électronique après une violation consiste à analyser le courrier électronique initialement violé avec des en-têtes complets et des pièces jointes d'origine, afin que vous puissiez examiner les adresses IP. Il est tout aussi important d'examiner les schémas de clic, à la fois enregistrés par les systèmes et pratiqués par l'utilisateur. À quoi pensait l'utilisateur lorsqu'il a rencontré l'e-mail de phishing ? L'utilisateur a-t-il remarqué une activité suspecte à cette époque ?
Une fois que vous avez acquis une compréhension approfondie de l'incident, saisissez l'opportunité de prendre des mesures de nettoyage de compte intelligent. Changer les mots de passe est un must. Gardez une trace de la session active pour les utilisateurs concernés, pour vous assurer que le pirate ne peut toujours pas accéder au réseau via un canal légitime comme un VPN. Vérifiez les configurations de boîte aux lettres pour voir si le pirate les a modifiées pendant le compromis. Enfin, intégrez naturellement des outils de sécurité plus ciblés dans les e-mails et les applications associées sur lesquels les utilisateurs finaux comptent chaque jour, afin que les entreprises puissent continuer à bourdonner dans un état encore plus sécurisé qu'auparavant.
Meilleures pratiques des utilisateurs finaux pour la sécurité des e-mails
Les meilleures pratiques de sécurité des e-mails combinent une protection transparente pour les utilisateurs et le renforcement de la protection. Tous les utilisateurs doivent connaître quelques tactiques simples pour sécuriser leurs comptes dès le départ - les équivalents à ne pas laisser la porte d'entrée de la maison déverrouillée. Mais ils doivent également savoir que leur organisation a installé la défense de sécurité des e-mails.
Mots de passe forts
Un mot de passe fort est le strict minimum de sécurité des e-mails. Pourtant, l'analyse des comptes piratés montre que des millions d'utilisateurs choisissent toujours de mauvais mots de passe comme «123456», «qwerty», «mot de passe» ou leur prénom.
Dans le monde d'aujourd'hui, lorsque l'utilisateur professionnel moyen a besoin de 191 mots de passe, les gestionnaires de mots de passe sont un sauveur. Les gestionnaires de mots de passe comme LastPass génèrent des mots de passe pour vous et les stockent dans des environnements sécurisés, renforçant que le meilleur mot de passe est celui que vous ne connaissez pas.
Authentification à 2 facteurs
L'authentification à 2 facteurs (2FA) implique une confirmation de connexion au compte, comme lorsqu'un utilisateur reçoit un SMS ou un e-mail lui demandant s'il essaie de se connecter à son compte. Ce sont les formes les plus connues - mais les moins sûres - de 2FA. 2FA fait partie de l'authentification multifacteur (MFA), et bien que MFA ne soit pas infaillible , c'est une autre mesure de sécurité de base de messagerie, qui peut attraper les retombées d'un mot de passe faible.
Types de sécurité des e-mails
L'e-mail évoluant toujours, les types de sécurité des e-mails doivent toujours évoluer. Les solutions de sécurité héritées doivent être mises à jour pour les nouveaux environnements et les nouvelles solutions doivent prouver leur viabilité. En général, tous les types de sécurité des e-mails relèvent des deux étapes principales : la livraison avant livraison et après livraison.
Conditionnement comportemental anti-hameçonnage
Une solution anti-hameçonnage de bon sens consiste à sensibiliser les employés. Si un utilisateur final connaît les dangers du phishing, pourquoi cliquerait-il sur ce lien inconnu ?
Cependant, la recherche montre que les limites de cette défense. Une étude a montré que même si 78% des 1700 participants connaissaient le risque que des liens inconnus infectent leur ordinateur avec des virus, jusqu'à 56% des utilisateurs de messagerie ont cliqué sur un lien malveillant . Pourquoi? Ils étaient curieux.
La formation des employés anti-phishing ne peut pas empêcher les attaques de phishing . Mais un type plus spécifique de conditionnement comportemental anti-hameçonnage peut être enseigné, en particulier dans les plateformes mises au point par KnowBe4. Les employés peuvent être formés pour repérer les activités de courrier électronique suspectes et être équipés d'outils conviviaux pour le signalement. Ces rapports peuvent être utiles à une équipe d'opérations de sécurité chargée de surveiller les menaces, de les contenir si elles sont initiées et de les analyser pour de futures mesures préventives.
Protection avant livraison
Passerelles de messagerie sécurisées
Une passerelle de messagerie sécurisée est un élément essentiel de la sécurité des e-mails. Parce qu'ils ont été conçus pour les environnements de messagerie sur site, ils ont été conçus pour être un pare-feu pour le courrier électronique et le restent aujourd'hui. Avec cette approche, une passerelle de messagerie sécurisée rejette le spam, empêche la perte de données, inspecte le contenu, crypte les messages, etc.
Les passerelles de messagerie sécurisées protègent les messages entrants et sortants - mais aujourd'hui, le courrier électronique fait bien plus que d'envoyer et de recevoir des messages. En vous connectant aux suites de partage de fichiers et aux applications essentielles du lieu de travail, le courrier électronique relie chaque facette de l'identité en ligne d'un utilisateur. Sans module complémentaire à un coût supplémentaire, une passerelle de messagerie sécurisée ne peut pas voir ces éléments essentiels de l'utilisation quotidienne, elle ne peut donc pas les sécuriser.
Un autre problème avec Secure Email Gateways est qu'ils sont des phares pour les pirates. Pour rediriger le courrier électronique via une passerelle de messagerie sécurisée, une organisation doit remplacer ses enregistrements MX par ceux de la passerelle. Les pirates le savent et ont trouvé une faille énorme dans ce mode de déploiement pour envoyer du contenu malveillant directement aux employés . Disponibles publiquement sur des sites comme MXToolbox, les pirates informatiques identifient le fournisseur utilisé par une organisation pour sécuriser leur environnement, identifier le domaine racine et contourner l'analyse d'une passerelle de messagerie sécurisée spécifique.
Protection après livraison
Quel type d'organisation a besoin de ce nouveau type de sécurité de messagerie qui scanne l'intérieur du périmètre ? Celui qui nécessite une analyse à la demande des boîtes aux lettres, généralement en tant qu'analyse secondaire à des moments de faible utilisation; souhaite gérer rapidement les épidémies qui se propagent par e-mail; exige des méthodes de détection qui utilisent des modèles de communication historiques (par exemple, pour construire des graphiques sociaux pour se défendre contre le phishing); a un trafic de messagerie intra-domaine substantiel sans routage via une SEG; utilise des applications qui ont un accès programmé au serveur de messagerie; et a des utilisateurs qui publient régulièrement des messages dans des dossiers publics. Ces solutions s'intègrent bien dans les environnements de messagerie modernes.
Supplément Cloud Email Security
Cloud Email Security Supplement (CESS) est un terme inventé par les analystes de Gartner pour décrire les nouvelles mesures nécessaires dans l' approche émergente d'évaluation adaptative continue des risques et de la confiance ( CARTA ) de la cybersécurité. Selon Gartner , les CESS appliquent cela à la sécurité des e-mails en particulier: «Les CESS se concentrent sur des menaces spécifiques, souvent dans le domaine du phishing difficile à détecter, et peuvent tirer parti d'un accès complet aux boîtes de réception hébergées dans le cloud via des API pour la détection et la correction».
Le fait que ce sous-ensemble de la sécurité des e-mails basée sur l'API utilise les informations de la sécurité existante leur donne une longueur d'avance sur les passerelles - qui vous obligent à désactiver la sécurité intégrée. Mais toutes ces solutions nécessitent des e-mails pour arriver dans la boîte de réception avant que les analyses de sécurité puissent commencer. Ce retard dans l'analyse signifie que les utilisateurs finaux des entreprises disposent d'une petite fenêtre pour cliquer sur un e-mail de phishing.
Comme leur nom l'indique, les solutions CESS peuvent pour l'instant être des moyens supplémentaires de protéger l'ensemble de la suite Microsoft Office 365, par exemple. Mais une fois en place, l'organisation peut affirmer que le CESS répond à toutes les exigences de protection de sécurité et d'évitement des risques, ce qui peut conduire à une consolidation de la sécurité des e-mails - et à des économies substantielles.
M-SOAR
Un autre terme important de Gartner dans le domaine de la sécurité des e-mails est Security Orchestration, Automation et Response (SOAR). Il s'agit d'une pile de solutions qui peut être appliquée à des produits et services compatibles, ce qui aide à définir, hiérarchiser, standardiser et automatiser les fonctions de réponse aux incidents.
Récemment, lors du sommet sur la sécurité et la gestion des risques de Gartner, Mario do Boer, spécialiste de la sécurité des terminaux, des logiciels malveillants et de la messagerie / collaboration, a présenté M-SOAR - SOAR axé sur la messagerie - comme un moyen de se concentrer exclusivement sur les menaces de messagerie, par opposition à orchestration. M-SOAR est une capacité à l'intersection des passerelles de messagerie, de la sensibilisation / formation et des logiciels de solution pour la sécurité de la suite de collaboration - une capacité de sécurité des courriers électroniques dont trop peu d'organisations disposent actuellement.
#E-mail security #Tendances #2020
Comments