E-mails van clouddiensten, of ze nu via Office 365 of Gmail gaan, worden deels door de aanbieder zelf al beveiligd, maar dit is voor zakelijke toepassingen vaak niet afdoende, zo blijkt wel uit het succes dat phishingaanvallen nog steeds hebben. Verschillende aanbieders bieden daarom ook een beveiligingslaag op deze diensten, zodat werknemers beveiligd kunnen inprikken op hun e-maildienst, cloudgebaseerde office-programma's, -opslag en andere online tools.
Volgens e-mailbeveiliger Mimecast zijn die tools prima, maar voor veel bedrijven niet toereikend. Het bedrijf richt zich puur op e-mail en blijft daarop focussen om een aantal verschillende redenen. We spraken met Mimecast-engineer Sander Hofman om erachter te komen waarom het verstandig kan zijn om apart naar je e-maildiensten te kijken.
Sander Hofman
Aanval begint bij e-mail
Het is niet overdreven om te stellen dat de overgrote meerderheid van aanvallen begint met een e-mailtje. Beveiligingsdeskundigen van SANS schatten enkele jaren geleden dat 95 procent van alle inbraken op zakelijke netwerken het gevolg zijn van succesvolle phishing. De eindgebruiker is daarmee het kwetsbaarste onderdeel van elke IT-omgeving en omdat aanvallers dit ook goed beseffen, blijft phishing onverminderd een probleem.
Kijk naar de beruchte aanval bij Sony, waar meerdere backend- en frontend-beveiligingsissues mogelijk maakten dat aanvallers maandenlang in de netwerken van de filmmaatschappij aanwezig waren. Dat begon allemaal met een phishing-aanval: medewerkers van het bedrijf kregen te maken met gerichte e-mails die van Apple leken te komen. Gebruikers kregen de vraag even opnieuw in te loggen. De link leidde door naar een malafide domein.
Een stevigere e-mailbeveiliging had dit moeten kunnen afvangen: pas op, deze url leidt door naar een domein dat niet van Apple is. IT-beveiliging is uiteindelijk een samenspel van gebruikers en techniek: technologie kan niet alles afvangen als gebruikers niet goed opletten, andersom kunnen gebruikers nog zo goed opletten, maar als de juiste technische middelen ontbreken, kom je ook in de problemen.
Ingebouwde tools
Nou werken e-mailaanbieders zelf ook aan url-scannen en andere securitytechnieken die Mimecast gebruikt om e-mail te beschermen, maar dat is niet voldoende, legt Hofman uit. Hij wijst erop dat zelfs een grote aanbieder als Microsoft investeert in partners die bijvoorbeeld aanvullende beveiligingslagen voor hun rekening nemen. De ingebouwde tools van een pakket als Office zijn volgens hem goed, "maar voor veel bedrijven is 'goed' niet goed genoeg."
Als je het hebt over e-mail, dan is statisch eenmalig scannen zeker niet voldoende, legt hij uit. "Stel je voor dat je een e-mail binnenkrijgt dat naar een domein koppelt dat in eerste instantie legitiem is, maar in een later stadium wordt voorzien van malware of vensters die inloggegevens phishen? Goede beveiliging kijkt natuurlijk op het moment van klik opnieuw naar de bestemming, maar ook qua archivering is het belangrijk dat er bij het verwerken in de opslag wordt gekeken naar de content van de e-mail."
Een tweede reden om specifieke e-mailbeveiliging te gebruiken is dat het controleert op de daadwerkelijke context, zoals bijvoorbeeld of het adres waar een mail vandaan komt hoort bij de inhoud van het bericht. Er zijn wel tools die dit ook doen, "maar de meeste netwerkbeveiligingstools werken op packetniveau en kijken alleen naar de inhoud", zegt Hofman. Terwijl security-appliances kijken naar packets en metagegevens - waar gaat dit heen en wat is de inhoud daarvan - kijken ze niet naar de daadwerkelijke context.
cloud gebaseerd vs. cloud-native
Verder is het heel logisch dat een netwerkbedrijf kijkt naar netwerkpackets als primaire manier om de gegevensstroom te beveiligen. Volgens Hofman zijn deze bedrijven vaak cloudgebaseerd en niet cloud-native. "Traditioneel hingen ze een appliance in een datacenter en met de gang naar PaaS heb je in feite in plaats van hardware een gevirtualiseerde appliance in de cloud." Mimecast begon met zijn software-as-a-service-platform in 2003, toen cloud nog toekomstmuziek was en is daarom volgens de engineer helemaal thuis in cloud.
Het voordeel daarvan is dat een cloud-native aanbieder veel sneller kan schakelen om te reageren op nieuwe dreigingen dan een eigenlijk meer cloudgebaseerde dienst, zo legt Hofman uit. "Een traditionele leverancier kan niet zo snel switchen", licht hij toe. "Als we een nieuw securitymiddel beschikbaar hebben, kunnen we dat in één keer inschakelen voor alle klanten tegelijk."
Multilaagprobleem
Uiteindelijk komt security neer op een aanpak die via meerdere lagen beschermt: gebruiker, werkplek, netwerk, identiteit, applicaties en natuurlijk de e-mail, vertelt de engineer. "Elke laag heeft specifieke voordelen en uitdagingen: je kan ervoor kiezen om dit bij één partij (all-in-one) te beleggen, of per laag een partij te kiezen. All-in-one oplossingen zijn voor sommige bedrijven goed genoeg, maar niet voor iedereen."
Dat is dan ook het primaire voordeel van een e-mailbeveiliger: die kan de focus houden op dit gespecialiseerde maar zo belangrijke stukje beveiliging, gezien de rol van e-maildiensten in elke organisatie. "Als je meer dingen tegelijk wilt doen, krijg je te maken met hetzelfde probleem als andere aanbieders", vertelt Hofman, verwijzend naar de risico's van featureverbreding. Dat is in feite een aloud probleem: doe je één ding met je volledige aandacht, of drie dingen met verdeelde aandacht?
Hier had best even "Brandpost" bij gemogen.
Reageer
Preview