Hornetsecurity und Vade E-Mail-Filterung – gemeinsam stärker

Die Übernahme von Vade durch die Hornetsecurity-Gruppe hat den Kunden beider Seiten große Vorteile gebracht. Dabei steht die Kombination von Filtertechnologien ganz oben auf der Liste. In diesem Artikel sehen wir uns an, wie unsere E-Mail-Filterung verbessert wurde und was dies jetzt für E-Mail-Postfächer bedeutet, die durch Vade oder Hornetsecurity geschützt sind.

Grundlagen der E-Mail-Filterung

Die E-Mail gibt es schon seit 1971 und seit mindestens drei Jahrzehnten ist sie eine wichtige Stütze der Geschäftskommunikation. Spam/Junk-Mails sind schon mindestens genauso lange eine ständige Plage in unseren Posteingängen, ebenso wie Phishing- und Malware-E-Mails, die uns dazu verleiten wollten, einen gefährlichen Anhang zu öffnen oder auf einen Link zu klicken. Daher sind Filter erforderlich, um diese unerwünschten Nachrichten abzufangen und den E-Mail-Verkehr funktionsfähig zu halten. 

Eine berechtigte Frage lautet: Warum ist das so? Warum gibt es solche Bedrohungen noch immer? Hierfür gibt es mehrere Gründe, angefangen bei den technischen Grundlagen. Als die E-Mail-Protokolle, mit denen die Welt heute arbeitet, erfunden wurden, war Sicherheit noch kein Thema. Jede Änderung, die vorgenommen wurde, ist deshalb eine Art „Zusatzerweiterung“ und nicht Teil der Grundlagen. Die optionale Einführung neuer Sicherheitsfunktionen für E-Mails verlangsamt eine flächendeckende Umsetzung erheblich. Dies liegt daran, dass die E-Mail-Kommunikation rund um die Uhr stattfindet und eine Unterbrechung des Betriebs möglichst vermieden werden soll. 

Die Effektivität von Spam liegt in seiner schieren Masse. Auch wenn nur ein Bruchteil der Empfänger auf eine betrügerische E-Mail hereinfällt, kann dies für Cyberkriminelle zu einem lohnenden Unterfangen werden. Phishing-E-Mails, die mit Anhängen oder Links verschickt werden, um Geschäftskunden zur Herausgabe ihrer Anmeldedaten zu verleiten, sind nach wie vor die Hauptstrategie für Angriffe auf Unternehmen. Haben Angreifer erst einmal im Netzwerk Fuß gefasst, kompromittieren sie die Systeme weiter, was schnell zu Ransomware oder anderen Arten von Cyberangriffen führt.  

Der dritte Faktor, der das Filtern von E-Mails zur Herausforderung macht, ist die sich ständig verändernde Art der Angriffe. Da inzwischen sehr viel Geld im Spiel ist, können die Angreifer umfangreiche Ressourcen einsetzen, um ihre Täuschungen zu optimieren: von der Art der E-Mails und der verwendeten Sprache (einschließlich der Hilfe von KI) über die Verwendung von Large Language Models (LLMs) für hochwertige Übersetzungen in Sprachen, in denen Social Engineering per E-Mail relativ unbekannt ist, bis zum Hinzufügen von QR-Codes oder Bildern und anderen „innovativen“ Möglichkeiten. Und genau wie eine Marketing-Agentur verfeinern sie ihre Ansätze mit A/B-Tests – sie versenden einen Stapel von 5.000 E-Mails mit einer Variante des Angriffs und weitere 5.000 mit der zweiten Variante. Nun wird die Klickrate erfasst und analysiert, die effektivste Methode ausgewählt und diese dann in wenigen Minuten an eine Million potenzieller Opfer versandt.  

Der letzte Faktor ist die Geschwindigkeit des Wandels. Wenn früher ein E-Mail-Server kompromittiert wurde und anfing, Spam zu versenden, wurden die Schutzdienste darauf aufmerksam und blockierten die versendende IP-Adresse. Heute verwenden viele Spam-/Phishing-Netzwerke Botnets, um ihre E-Mails zu versenden. Dabei ändert sich die IP-Adresse des Absenders jedes Mal, wenn z. B. ein Heimrouter neu gestartet wird. Oder sie ändern ihre IP-Adresse ständig, indem sie über Proxys routen, um die empfangenden Mailserver hinsichtlich der Authentizität des sendenden Servers weiter zu verwirren. 

Wenn Ihr E-Mail-Filter außerdem „zu effektiv“ ist, könnte er anfangen, legitime E-Mails zu blockieren, was zu Fehlalarmen und Geschäftsunterbrechungen führen kann. Dieses Gleichgewicht in der sich ständig verändernden Welt der neuen Angriffsvarianten zu finden, ist schwierig.  

Vade und Hornetsecurity verfügen beide über führende Technologien für die Verwaltung dieser Faktoren und bewegen sich auf dem schmalen Grat zwischen der Verringerung von False Positives und dem Durchlassen einer minimalen Menge an Schrott (False Negatives). Durch die Kombination der beiden Filtermodule ist nun eine noch stärkere Lösung entstanden.  

Vorteile für Vade-Kunden

Der mehrschichtige Ansatz zur Identifizierung von Malware in E-Mail-Anhängen ist jetzt stärker als je zuvor. Bekannte Malware wird mit signaturbasierten Antiviren-Engines schnell identifiziert, aber durch die zusätzliche Sandbox-Erkennung wird die Erkennung neuer oder leicht veränderter Malware-Varianten erheblich verbessert. Jeder E-Mail-Anhang, den wir noch nie zuvor gesehen haben, wird in einer automatisierten Sandbox geöffnet und sein Verhalten wird analysiert. Handelt es sich beispielsweise um ein PDF- oder Word-Dokument? Enthält es Makros? Wird versucht, verschleierter Code auszuführen? Wird versucht, Command and Control (C2)-Server zu erreichen? Die Engine prüft Hunderte von Signalen, um schnell zu entscheiden, ob die Datei gutartig oder bösartig ist. 

Bei Phishing-E-Mails gibt es zum einen die üblichen Massenmails („Ihre FedEx-Lieferung hat sich verzögert, klicken Sie hier, um die erneute Zustellung zu planen“), und zum anderen maßgeschneiderte Angriffe, die für ein bestimmtes Unternehmen oder sogar eine bestimmte Gruppe von Nutzern entwickelt wurden. Diese werden von der Spear-Phishing-Erkennung abgefangen, die Vade-Kunden nun von Hornetsecurity bekommen und die sich auf Verhaltens- und Inhaltsanalysen stützt.  

Insgesamt basiert die Filterung von E-Mails auf mehreren Ebenen, die sich jeweils auf ein bestimmtes Signal in jeder E-Mail konzentrieren. Durch die Übernahme durch Hornetsecurity erhält die kombinierte Filter-Engine weitere 40+ Ebenen, die die Erkennung verschiedener Bedrohungen verbessern.  

Wie bereits erwähnt, ist die Senkung der False-Negative- (FN) und False-Positive-Rate (FP) für eine zuverlässige E-Mail-Hygienelösung von größter Bedeutung. Vade-Kunden profitieren jetzt von den selbstlernenden Algorithmen von Hornetsecurity, um dies zu erreichen.  

Ein wichtiger Weg, um ungewöhnliche E-Mail-Interaktionen zu identifizieren, ist das Mapping aller normalen E-Mail-Verbindungen mithilfe einer Graph-Datenbank, die es der Engine ermöglicht, Anomalien bei neuen Absendern zu erkennen. Wir nennen dies Social-Graph-basierte First Encounter Schutzbarriere. 

Zum Echtzeit-URL-Scanning (Links in E-Mails) und dem Time-of-Click-Scanning kommt nun auch das Pre-Delivery URL-Scanning hinzu, um sicherzustellen, dass bösartige Links erkannt werden, bevor sie den Benutzer erreichen, was eine zusätzliche Verteidigungsebene schafft. 

Eine besondere Herausforderung für alle E-Mail-Hygienelösungen sind verschlüsselte/passwortgeschützte Dateien. Kriminelle geben häufig einen Vorwand an, warum der Anhang mit einem Kennwort geschützt ist (laut Militär ist der beste Weg, jemanden dazu zu bringen, ein Dokument zu lesen, es als „geheim“ zu kennzeichnen) und geben das Kennwort in der E-Mail an. Dies stellt für viele E-Mail-Filter eine Herausforderung dar, da sie die Anhänge normalerweise nicht entschlüsseln/öffnen können. Die Funktion zur Analyse verschlüsselter Dateien ermöglicht es der Engine, den Text der E-Mail zu analysieren und zu versuchen, den Anhang zu entschlüsseln, indem sie alles verwendet, was wie ein Passwort aussieht, gefolgt von dem oben beschriebenen Scanprozess für Anhänge.  

Durch die Kombination von zwei fortschrittlichen E-Mail-Filtertechnologien wird auch die DMARC-basierte Erkennung hinzugefügt, die den kombinierten Teil der DNS-Datensatz-Dreiergruppe darstellt. Erinnern Sie sich an die oben erwähnten „Zusatzerweiterungen“ für die E-Mail-Sicherheit? Nun, es gibt drei DNS-Datenbankeinträge, die jedes Unternehmen verwenden sollte, um seine E-Mail-Sicherheit zu verbessern. Und wenn alle Unternehmen, die E-Mails versenden, dies täten, würden Spam- und Phishing-E-Mails viel leichter abgefangen werden. Sender Policy Framework (SPF) teilt den empfangenden E-Mail-Servern mit, welche Server E-Mails für Ihre Domain(s) senden dürfen, und Domain Keys Identified Mail (DKIM) signiert jede ausgehende E-Mail mit einem Schlüssel, sodass die empfangenden E-Mail-Server überprüfen können, ob die E-Mail von Ihrer Domain stammt und nicht während der Übertragung manipuliert wurde. DMARC bringt schließlich beide zusammen, um den empfangenden E-Mail-Servern mitzuteilen, was zu tun ist, wenn eine eingehende E-Mail entweder die SPF- oder DKIM-Prüfung oder beide Prüfungen nicht besteht.   

Im Zusammenhang mit den oben genannten DNS-Einträgen steht die DANE-basierte Erkennung (DNS-based Authentication of Named Entities). Diese drei Datensätze sind für die Verifizierung von E-Mails sehr wichtig, weshalb Kriminelle versuchen, sie zu umgehen. Eine Möglichkeit besteht darin, DNS-Datensätze zu fälschen (DNS-Server auszutricksen, damit sie mit den Datensätzen des Angreifers statt mit legitimen Datensätzen antworten). DANE bindet digitale Zertifikate an DNS-Einträge und arbeitet mit Domain Name System Security Extensions (DNSSEC) zusammen, um sicherzustellen, dass die DNS-Einträge für die Domains Ihres Unternehmens nicht manipuliert werden. Die Sicherheit ausgehender E-Mails wird auch durch verbesserte DKIM-Signaturen und ein Upgrade auf Transport Layer Security (TLS) Version 1.3 verstärkt, um sicherzustellen, dass ausgehende E-Mails sicher und vertrauenswürdig sind.

Vorteile für Hornetsecurity Kunden

Als Ergebnis des Zusammenschlusses kommen Hornetsecurity-Kunden durch die Vade-Filtertechnologien in den Genuss zahlreicher zusätzlicher Vorteile. 

Der enorme Umfang ihrer Scan-Engine bringt starke Verbesserungen in der Erkennungsrate für den Info-Mail (Spam)-Filter. Diese verbesserte Erkennung bietet den Administratoren auch mehr Granularität für die Feinabstimmung auf der Grundlage zusätzlicher Urteile für Info-Mail.  

Die Verbesserungen der Echtzeit-Erkennung basieren auf der Analyse von 60 bis 90 Milliarden Datenpunkten pro Tag in 1,4 Milliarden Postfächern (ja, Sie haben richtig gelesen). Die Bedeutung dieser riesigen Zahlen kann nicht genug betont werden. Moderne E-Mail-Cybersecurity-Hygiene ist ein Big Data/ML-Problem, und je größer Ihr Datensatz ist, desto besser werden Ihre Ergebnisfilter sein. 

Bisher konnten Administratoren mit Ex-Post Deletion bösartige E-Mails, die die erste Filterung umgangen haben, manuell markieren und entfernen. Jetzt bringt die Integration mit der vollautomatischen Ex-Post-Löschung für bestehende Kunden einen erheblichen Effizienzgewinn. 

Eine beliebte Taktik von Kriminellen ist die Verwendung von Bildern mit Text sowohl in E-Mails als auch auf Ziel-Websites, um Scan-Engines auszutricksen. Die verbesserte Phishing-Erkennung umfasst jetzt KI-gesteuerte Computer Vision, die diese Bedrohungen genau identifizieren kann. Und schließlich gibt es noch maschinelles Lernen (ML), angewendet auf die URL-Analyse in Echtzeit, asynchron und zum Zeitpunkt des Klicks für Links in E-Mails und Anhängen.

Fazit

Die E-Mail-Filterung ist ein sich ständig verändernder, anspruchsvoller Bereich der Cybersicherheit, den jedes Unternehmen an Experten auslagern sollte, die sich darauf spezialisiert haben. Diese Experten müssen in großem Maßstab arbeiten, um effektiv Signale über E-Mails aus dem gesamten Internet sammeln zu können, damit neue Angriffe schnell erkannt werden. Die Kombination von zwei fortschrittlichen Scanning-Technologien vereint das Beste aus beiden Technologien in einer leistungsstarken, einfach zu konfigurierenden und mit geringem Verwaltungsaufwand verbundenen, überlegenen Lösung.