Emailbeveiliging bij phishing: SEG vs ICES

Tekst: James Dyer, Threat Intelligence Lead bij KnowBe4

De 2023 Gartner Market Guide for Email Security stelt: 'Impersonatie en aanvallen via business email compromise (BEC) nemen toe en veroorzaken directe financiële schade, omdat gebruikers te veel vertrouwen op identiteiten die met e-mail worden geassocieerd, terwijl e-mail inherent kwetsbaar is voor misleiding en social engineering.'

Gartner adviseert organisaties daarom om emailbeveiliging te gebruiken die tegen phishing optreden met BEC-bescherming bevatten en AI inzetten om communicatiepatronen en afwijkingen in conversatiestijl te detecteren. Daarnaast wordt geadviseerd computer vision te gebruiken om verdachte URL’s te inspecteren en producten te kiezen die sterke supplychainanalyse en AI-gestuurde analyse van contactketens bieden. Daarmee kunnen ook sociaal gemanipuleerde, geïmiteerde of BEC-aanvallen beter worden opgespoord.

Wat doen secure email gateways (SEGs)?

Een secure email gateway (SEG) bevindt zich aan de rand van het netwerk en vormt het eerste contactpunt voor alle inkomende en uitgaande e-mails. Door hun positie in de mailflow analyseren SEGs doorgaans geen interne e-mailcommunicatie. Sommige leveranciers kunnen dit in beperkte mate wel doen via regels voor journaling, maar dit vereist dat de leverancier ook beschikt over berichtretentie- of archiveringsfunctionaliteit.

SEGs zijn van nature relatief statisch en maken gebruik van signatuur- en reputatiegebaseerde detectie om phishingaanvallen te identificeren. Ze bieden bescherming vóór aflevering door dreigingen in quarantaine te plaatsen voordat deze de mailserver bereiken. Daarbij maken SEGs gebruik van definitiesets om bekende dreigingen - zoals eerder geïdentificeerde malware of phishingwebsites- te blokkeren. In die rol kunnen ze een waardevolle aanvulling zijn op bestaande antivirussoftware.

Toch kennen SEGs ook beperkingen in detectie- en herstelmogelijkheden. Ze zijn bijvoorbeeld niet goed in staat om geavanceerde phishingaanvallen te detecteren, zoals business email compromise (BEC), wanneer deze geen bekende payload bevatten en bijvoorbeeld worden verzonden vanuit gecompromitteerde accounts.

Hoewel SEGs phishingmails achteraf kunnen verwijderen met behulp van PowerShell-scripts, kan dit proces bij polymorfe aanvallen zeer tijdrovend zijn omdat beheerders vaak elke e-mail afzonderlijk moeten herstellen. Daardoor kan een kwaadaardige e-mail langere tijd in de inbox blijven staan, wat het risico vergroot dat gebruikers ermee interageren. Daarnaast kan de implementatie van een SEG tijdrovend zijn. Hiervoor moet het Mail Exchange (MX)-record worden aangepast zodat de mailflow via de SEG wordt omgeleid. Dit kan worden ingericht in on-premises, hybride of cloudomgevingen.

Microsoft 365 en secure email gateways

In de afgelopen jaren heeft Microsoft de native emailbeveiligingsmogelijkheden binnen het cloudplatform Microsoft 365 aanzienlijk uitgebreid. Veel van deze functies gebruiken vergelijkbare signatuur- en reputatiegebaseerde detectie als SEGs.

Daardoor ervaren sommige organisaties een aanzienlijke overlap tussen hun Microsoft 365-licenties en hun bestaande SEG-oplossingen. Steeds vaker kiezen organisaties er daarom voor om niet langer te investeren in een aparte SEG en hun emailbeveiliging tegen phishing te consolideren rond de native beveiligingsmogelijkheden van Microsoft, aangevuld met aanvullende beveiligingslagen.

Integrated cloud email security

Een van die aanvullende lagen is integrated cloud email security (ICES), een term die Gartner in 2021 introduceerde. ICES-oplossingen integreren rechtstreeks met cloudmailplatforms en maken gebruik van machine learning, gedragsanalyse en natural language processing (NLP) om geavanceerde phishingaanvallen te detecteren die traditionele signatuur- en reputatiegebaseerde detectie weten te omzeilen, zoals account takeover (ATO), business email compromise (BEC) en ransomwareaanvallen..

In tegenstelling tot traditionele detectiemethoden richten deze oplossingen zich niet alleen op bekende malware of verdachte links, maar ook op de context en inhoud van e-mails. Daardoor kunnen ze aanvallen herkennen die gebruikmaken van social engineering of afwijkend communicatiegedrag.

ICES-oplossingen kunnen daarnaast waarschuwingen in de inbox tonen om gebruikers te attenderen op mogelijke risico’s. Daarmee versterken ze ook bestaande security awareness- en trainingsprogramma’s. Volgens gegevens van KnowBe4 Defend wist 50,72 procent van de phishingmails die tussen 1 en 14 juni 2023 op KnowBe4-klanten waren gericht een SEG, Microsoft 365 of beide te omzeilen en in de inbox van gebruikers te belanden.

Door verschillende intelligente detectiemethoden te combineren kunnen ICES-oplossingen een breder scala aan aanvallen detecteren, niet alleen dreigingen die al als ‘bekend kwaadaardig’ zijn geïdentificeerd. In veel gevallen vullen ICES-oplossingen de gaten die SEGs laten vallen en bieden ze organisaties een extra verdedigingslaag tegen moderne aanvallen.

Emailbeveiliging tegen phishing: aanvullen of vervangen

Het combineren van een SEG met een ICES-oplossing kan zorgen voor een gelaagde benadering van emailbeveiliging tegen phishing. Tegelijkertijd is er discussie over de toekomst van de SEG, omdat de beveiligingsfunctionaliteit binnen Microsoft 365 in sommige gevallen leidt tot overlap met bestaande gatewayoplossingen. De vraag of SEGs volledig vervangen moeten worden, draait daarom vaak om de mogelijkheden van Microsoft 365 en de rol die aanvullende beveiligingslagen spelen. ICES-oplossingen kunnen Microsoft, SEGs of beide aanvullen.

Sommige organisaties kiezen ervoor hun SEG te behouden om hun verdedigingsstrategie te versterken of omdat zij deze nodig hebben voor andere toepassingen, zoals journaling en archivering, die Microsoft 365 niet altijd volledig kan bieden. Ongeacht de gekozen aanpak hebben organisaties geavanceerde detectiemogelijkheden nodig om beschermd te blijven tegen moderne phishingaanvallen. ICES-oplossingen spelen daarin een steeds belangrijkere rol.