Expert Blog

E-mailbeveiliging ontrafeld

Beveilig de toegangspoort tot cyberbedreigingen: E-mail

E-mail is nog steeds een van de meest gebruikte communicatiekanalen voor organisaties. Hierdoor vormt het ook een prominente methode waarmee cybercriminelen een aanval uitvoeren. E-mails worden thuis, op kantoor of onderweg gelezen en geopend met meerdere apparaten. Hierdoor is een geconvergeerd landschap ontstaan van diverse soorten devices om e-mail te gebruiken.

Tijdens het openen of lezen van e-mails klikken medewerkers helaas vaak per ongeluk op hyperlinks naar websites die malware hosten. Of nog erger, ze downloaden en installeren hierdoor direct kwaadaardige content rechtstreeks op het apparaat, zonder het zelf te weten. Deze kwaadaardige content wordt vervolgens ook nog als bijlage naar andere contacten uit de e-mail adressenlijst verzonden.

Cyber ​​Kill Chain: Een identificatie en preventie-framework voor cyberintrusie

Cyber ​​Kill Chain is een framework ontwikkeld door Lockheed Martin voor de identificatie en preventie van dreigingen die het netwerk binnendringen. Het framework definieert de stappen die een cybercrimineel onderneemt om tot een succesvolle aanval te komen. Binnen het framework wordt e-mail als het grootste middel om malware te verspreiden erkent - met behulp van bestandsgebaseerde en fileless technieken.

Gerichte spear phishing-campagnes die e-mails gebruiken zijn inmiddels de voorkeursmethode geworden van cybercriminelen om netwerken, systemen en data te exploiteren. Bedrijven implementeerden in het verleden verschillende e-mailbeveiliging oplossingen om aanvallen te bestrijden, zoals beveiligde e-mailgateways (SEG) in combinatie met E-mail en cyber security awareness trainingen en campagnes. De aanvallen zijn daarentegen veel geavanceerder geworden en richten zich inmiddels ook op onconventionele kanalen.

Is jouw directeur het Paard van Troje voor E-mailbeveiliging?

Een zeer populaire vorm van gerichte spear-phishing is CEO-fraude. CEO-fraude is wanneer cybercriminelen de E-mailaccounts van bedrijven spoofen en zij zich voordoen als directielid. Met een E-mail (of via andere communicatiekanalen) proberen ze een medewerker van de financiële administratie of HR voor de gek te houden, door opdracht te geven voor ongeautoriseerde overboekingen, of door te vragen om vertrouwelijke belastinginformatie op te sturen. De naam van de CEO wordt misbruikt en zodoende vormt de CEO als het ware het 'Trojaanse paard voor e-mailbeveiliging'.  Dit soort nieuwe en gemodificeerde vormen van malware en zero-day-bedreigingen kunnen niet op grote schaal gedetecteerd worden met enkel historische IPS-signatures en heuristiek gebaseerde technieken, zoals die worden toegepast door aanbieders van legacy e-mailbeveiligingsoplossingen.

Organisaties hebben dan ook een ongekende behoefte aan bescherming tegen content (bijlagen en URL's) en contentloze (Spams, Spear phishing, BEC) soorten van aanvallen die door e-mail worden overgedragen. Op een cyber security markt met vele leveranciers en producten die ieder beloven baanbrekend te zijn, is het dan ook een grote uitdaging om het juiste product voor e-mailbeveiliging te selecteren. Daarnaast is het complex om een praktisch implementatieframework te gebruiken waarbij de relevante functies en services goed afgestemd worden om een ​​sterk beveiligingsniveau te realiseren.

Hieronder zal ik je stapsgewijs proberen te begeleiden naar het realiseren van kritische aspecten voor e-mailbeveiliging, inclusief vitale functies die nodig zijn binnen elk e-mailbeveiligingsproduct en de manier waarop je deze kan integreren binnen jouw bestaande ecosysteem.

E-Mailbeveiliging gateway reference architecture

Tegenwoordig hebben een groot aantal klanten de migratie van verouderde firewalls naar Next-Generation Firewalls al gerealiseerd of op de planning staan. Met een doordachte implementatie biedt deze Next-Generation firewall technologie onder andere volledig Complete Visibility, Control, bedreigingspreventie en Sandbox-functionaliteiten. Een e-mailbeveiligingsoplossing in combinatie met Next-Generation firewall beveiliging biedt volledige bescherming tegen targeted attacks, zelfs wanneer deze georkestreerd zijn met behulp van E-mail aanvalsvectoren.

Binnen een typisch simplistisch netwerk kan een Email Security Gateway gepositioneerd worden in een fysieke of virtuele vorm zoals VmWare ESXi, KVM of HyperV. Dit wordt geplaatst achter een firewall voor het beste resultaat. Email Security Gateways zijn ook beschikbaar voor Public Cloud-implementaties. Hierdoor wordt het volledige spectrum van on-premise, Cloud- en Saas based e-mail serverimplementaties aangeboden.

Zelfs wanneer je een of meer lokale Microsoft Exchange- of Saas-gebaseerde Office 365- of Google-suite-implementaties hebt draaien, of een hybride installatie bestaande uit een gedistribueerde domeinomgeving, kan je naadloos e-mail beveiligen met een geïmplementeerde Email Security Gateway op één locatie - on-premise of in de cloud, om te zorgen voor gedistribueerde e-mailservers

De belangrijkste Email Security Gateway functies

1. Effectieve Anti-Spam voor E-mail

Gebruik sender, protocol en content inspection technieken die als schild dienen voor netwerken en gebruikers tegen ongewenste bulkmail. Dit begint met het beoordelen van IP, domein en andere reputations vervolgd door verschillende validatiemethoden zoals bounce, authenticatie en verificatie van ontvangers, evenals DMARC-, SPF- en DKIM-checks.

2. E-mail Antivirus 

Antivirusbeveiliging in de cloud wordt gebruikt om virussen te stoppen en bedreigingen te beheren, nog voordat deze het netwerk bereiken. Predictive technologie die gebaseerd is op zelflerende systemen wordt door antivirus gebruikt om evoluerende virusbedreigingen tegen te gaan. Effectieve antivirus e-mailbeveiliging moet gebruikers beschermen tegen het volgen van links naar websites met malware. Aangevuld met Sandbox Analyse, dat in een veilige omgeving bijlagen opent en verbinding maakt met URL's, beoordeelt het runtime-gedrag van bestanden en links in zowel de e-mail als in e-mailbijlagen.

3. Data Loss Prevention (DLP) voor e-mail

Blokkeer en voorkom data loss met een gebruiksvriendelijke, centraal gecontroleerde en policy-driven Data Loss Prevention-filter. Gebruikers die e-mails verzenden met interessante content die overeenkomt met het DLP-beleid, zorgt ervoor dat de juiste actie automatisch wordt ondernomen. DLP dictionaries en identifiers bieden automatisch up te daten policites aan met een zeer hoge nauwkeurigheid.

4. Zakelijke E-mail beveiliging: Archivering en retentie

Archiveer inkomende, uitgaande en interne berichten die ontvangen en verzonden worden vanaf Microsoft Exchange-servers of Office 365-accounts. Bescherm E-mail metadata door alle E-mails daadwerkelijk te archiveren op het punt van herkomst en de eindbestemming. De e-mail van Europese klanten moet bijvoorbeeld gearchiveerd worden binnen de EU en die van Amerikaanse klanten in de VS. Uiteraard moet ook voldaan worden aan de vereisten van de EU-richtlijn betreffende gegevensbescherming. Het hebben van duidelijke overeenkomsten over ondersteuning voor gedetailleerde e-mailarchief logs is eveneens de sleutel tot geweldige zakelijke e-mailbeveiliging.

5. Bescherming tegen e-mailfraude met DMARC / DKIM / SPF

DMARC (Domain‐based Message Authentication, Reporting & Conformance) is de meest recente vooruitgang wat betreft E-mailverificatie. De DMARC-standaard werd voor het eerst gepubliceerd in 2012 om misbruik van e-mail te voorkomen. DMARC is ontwikkeld door PayPal in samenwerking met Google, Microsoft en Yahoo.

DMARC geeft een organisatie inzicht in het gebruik van het e-mailkanaal. Op basis van geleverde inzichten kunnen organisaties werken aan de implementatie en handhaving van een DMARC-policy voor e-mailbeveiliging.

Wanneer het DMARC-beleid enforced wordt op p = afwijzen, worden organisaties beschermd tegen:

  • Phishing bij klanten van de organisatie
  • Merkmisbruik en oplichting
  • Malware en Ransomware-aanvallen

Ook worden medewerkers beschermd tegen spear phishing en CEO-fraude.

Met DMARC wordt het mogelijk om inzicht in phishing-aanvallen te krijgen. Hierdoor kunnen klanten van tevoren op de hoogte gesteld worden van bekende phishing-aanvallen.  Hierdoor zijn klanten zich daarom al bewust van deze aanvallen. DMARC bouwt voort op de veel gebruikte SPF (Sender Policy Framework) en DKIM (Domain Keys Identified Mail) protocollen. SPF verifieert de afzender en DKIM authenticeert het bericht.

DMARC gebruikt DKIM om ervoor te zorgen dat berichten ongemoeid blijven en bouwt voort op SPF voor verificatie van de afzenders. Het adviseert ook ontvangers van E-mail over wat te doen wanneer de e-mailverificatie mislukt. Dan is het alsnog aan de E-mail Security Gateway van ontvangers om dit advies te volgen.  DMARC domain owners instrueren E-mail Gateways over het omgaan met niet-geverifieerde e-mail via DMARC-policy.

Drie belangrijkste bouwstenen van het DMARC-framework

  1. Bouw een SPF-record
    Geef op welke IP-adressen e-mail mogen verzenden namens jouw domeinen.
  2. Onderteken met DKIM
    Neem de verantwoordelijkheid de verzending van een bericht op een manier die geverifieerd kan worden door mailbox providers.
  3. Implementeer DMARC
    Blokkeer kwaadaardige berichten die afkomstig zijn van jouw eigen sending domains voordat ze de inbox bereiken.

Het implementeren van DMARC E-mail authenticatie zorgt ervoor dat afzenders echt diegene zijn die ze beweren te zijn.

Ik hoop dat bovenstaande informatie goed inzicht geeft in de eerste stappen die je kan zetten voor het beveiligen van de E-mail flow binnen jouw organisatie. Als je meer informatie wil over E-mailbeveiliging, neem dan gerust contact met mij op. Infradata helpt je namelijk graag en door zorg te dragen voor sterkere E-mailbeveiliging.

Kunal Biswas - 2 juli 2019

Pagina delen: