Hornetsecurity et Vade Email Filtering – Plus forts ensemble
L’arrivée de Vade au sein du groupe Hornetsecurity a présenté d’importants avantages pour les clients des deux parties, dont la combinaison des technologies de filtrage qui figure en bonne place sur la liste. Dans cet article, nous verrons comment notre filtrage a été amélioré et ce que cela signifie pour les boîtes aux lettres protégées par Vade ou Hornetsecurity.
Notions de base sur le filtrage des emails
Le courrier électronique existe depuis 1971 et constitue un pilier de la communication d’entreprise depuis au moins trois décennies. Pendant tout ce temps, le spam et le courrier indésirable ont constitué un fléau constant dans nos boîtes de réception, tout comme le phishing et les emails chargés de logiciels malveillants qui tentent de nous inciter à ouvrir une pièce jointe dangereuse ou à cliquer sur un lien malveillant. Le filtrage est donc nécessaire pour intercepter ces messages indésirables et préserver la viabilité du courrier électronique.
On peut logiquement se poser la question suivante : pourquoi en est-il ainsi ? Pourquoi ce problème n’a-t-il pas été résolu ? Plusieurs facteurs y contribuent, à commencer par les fondements techniques. Lorsque les protocoles de courrier électronique (sur lesquels le monde fonctionne encore aujourd’hui) ont été inventés, la sécurité ne faisait même pas partie des considérations et, par conséquent, chaque ajout qui a été fait est une “pièce rapportée”, qui ne fait pas partie des fondations. La nature 24/7/365 du courrier électronique signifie également que les nouveaux dispositifs de sécurité doivent être introduits progressivement, ce qui signifie qu’ils sont facultatifs, ce qui limite leur adoption et l’étale sur de nombreuses années.
Ce phénomène s’explique également par le fait qu’il y a beaucoup d’argent à gagner dans les courriels malveillants. Le spam fonctionne parce que même si seulement 1 personne sur 10 000 tombe dans le panneau, si vous pouvez envoyer des millions d’emails rapidement, vous aurez toujours un taux de réussite suffisamment élevé pour gagner de l’argent. Les emails d’hameçonnage envoyés avec des pièces jointes ou des liens pour inciter les utilisateurs professionnels à donner leurs informations d’identification restent le principal vecteur de compromission des entreprises. Une fois que les attaquants ont mis un pied dans le réseau, ils continuent à compromettre les systèmes, ce qui conduit rapidement à un ransomware ou à d’autres formes de cyber-attaques.
Le troisième facteur qui rend le filtrage des emails difficile est la nature changeante des attaques. Parce qu’il y a maintenant beaucoup d’argent en jeu, les attaquants peuvent consacrer des ressources à l’adaptation du type d’emails, de la langue utilisée (y compris avec l’aide de l’IA), en utilisant des Grand modèles de langage (LLMs) pour des traductions de haute qualité dans des langues où l’ingénierie sociale par email est relativement inconnue, en ajoutant des codes QR ou des images et d’autres moyens « novateurs » de nous tromper. Et tout comme une agence de marketing, ils affinent leurs approches avec des tests A/B – ce qui se traduit par envoyer un lot de 5 000 emails avec une variante de l’attaque et 5 000 autres avec la seconde. Ils recueillent ensuite le taux de clics, l’analysent, choisissent l’approche la plus efficace et l’envoient à un million de victimes potentielles en quelques minutes.
Le dernier facteur est la rapidité du changement. Autrefois, lorsqu’un serveur de courrier électronique était compromis et commençait à envoyer des spams, les services de protection s’en apercevaient et bloquaient l’adresse IP émettrice. Aujourd’hui, de nombreux réseaux de spam/phishing utilisent des botnets pour envoyer leurs emails, l’adresse IP d’envoi changeant chaque fois qu’un routeur domestique est redémarré, par exemple. Ou bien ils changent constamment d’adresse IP en passant par des proxys pour confondre encore davantage les serveurs de messagerie destinataires quant à l’authenticité du serveur expéditeur.
En outre, si votre filtrage du courrier électronique est « trop efficace », il peut commencer à bloquer des courriers électroniques légitimes, ce qui entraîne des faux positifs et des interruptions d’activité. Il est difficile de trouver cet équilibre dans le monde en constante évolution des nouvelles variantes d’attaques.
Vade et Hornetsecurity disposent chacun de technologies de pointe pour gérer ces facteurs et s’efforcer de réduire les faux positifs tout en laissant passer un minimum de rebuts (faux négatifs), mais en combinant les moteurs de filtrage, on obtient une solution beaucoup plus fiable.
Avantages pour les clients de Vade
L’approche stratifiée de l’identification des logiciels malveillants dans les pièces jointes aux emails est aujourd’hui plus forte que jamais. Les logiciels malveillants connus sont rapidement identifiés par les moteurs antivirus basés sur les signatures, mais l’ajout de Sandbox detection améliore considérablement la détection des variantes de logiciels malveillants nouvelles ou légèrement modifiées. Toute pièce jointe que nous n’avons jamais vue auparavant est ouverte dans un sandbox automatisé et son comportement est analysé. S’il s’agit d’un document PDF ou Word, par exemple, contient-il des macros ? Tente-t-il d’exécuter un code obscurci ? S’adresse-t-il à des serveurs de commande et de contrôle (C2) ? Le moteur examine des centaines de signaux pour déterminer rapidement si ce fichier est bénin ou malveillant.
En ce qui concerne les emails d’hameçonnage, il y a les types d’emails courants à volume élevé (« votre livraison FedEx a été retardée, cliquez ici pour planifier une nouvelle livraison »), et puis il y a les attaques personnalisées qui sont conçues pour une entreprise spécifique ou même pour un ensemble particulier d’utilisateurs. Ces dernières sont détectées par la détection du Spear Phishing que les clients de Vade héritent d’Hornetsecurity, qui s’appuie sur l’analyse du comportement et du contenu.
Dans l’ensemble, le filtrage des courriers électroniques repose sur des couches, chacune se concentrant sur un signal particulier dans chaque courrier électronique. L’intégration ajoute plus de 40 couches supplémentaires au moteur de filtrage combiné, améliorant ainsi la détection de diverses menaces.
Comme indiqué, la réduction des taux de faux négatifs (FN) et de faux positifs (FP) est primordiale dans une solution fiable d’hygiène des emails. Les clients bénéficient désormais des Self learning algorithms (algorithmes d’auto-apprentissage) hérités d’Hornetsecurity pour y parvenir.
Un moyen important d’identifier les interactions inhabituelles avec les emails consiste à cartographier toutes les connexions normales à l’aide d’une base de données de graphes, ce qui permet au moteur de déclencher des détections d’anomalies comme barrière de protection pour les premières rencontres avec de nouveaux expéditeurs, ce que nous appelons la protection de barrière de première rencontre basée sur les graphes sociaux.
Pre-Delivery URL (L’analyse d’URL avant livraison) a été ajoutée à l’analyse d’URL en temps réel (des liens dans mails) et à l’analyse au moment du clic, afin de garantir que les liens malveillants sont détectés avant qu’ils n’atteignent les utilisateurs, ce qui constitue une couche de défense supplémentaire.
Les fichiers chiffrés ou protégés par un mot de passe constituent un défi particulier pour toutes les solutions d’hygiène du courrier électronique. Il est courant que les criminels présentent un prétexte pour expliquer pourquoi la pièce jointe est protégée par un mot de passe (selon l’armée, le meilleur moyen de faire lire un document à quelqu’un est de le marquer comme « secret ») et qu’ils donnent le mot de passe dans l’e-mail. Cela pose un problème à de nombreux filtres de messagerie, car ils ne peuvent généralement pas déchiffrer ou ouvrir les pièces jointes. La fonctionnalité Encrypted File Analysis (Analyse des fichiers chiffrés) permet au moteur d’analyser le corps de l’email et d’essayer de déverrouiller la pièce jointe en utilisant tout ce qui ressemble à un mot de passe, suivi du processus d’analyse des pièces jointes décrit ci-dessus.
L’intégration de deux technologies avancées de filtrage du courrier électronique ajoute également la DMARC based detection, (la Détection basée sur DMARC), qui est la partie combinée du trio d’enregistrements DNS. Vous vous souvenez de ces « pièce rapportées» de sécurité de l’email mentionnés plus haut ? Il existe trois enregistrements DNS que chaque entreprise devrait utiliser pour améliorer la sécurité de son courrier électronique. Si toutes les entreprises qui envoient des emails le faisaient, les spams et les hameçonnages seraient détectés beaucoup plus facilement. Sender Policy Framework (SPF) indique aux serveurs de messagerie destinataires quels serveurs sont autorisés à envoyer des emails pour votre ou vos domaines, et Domain Keys Identified Mail (DKIM) signe chaque email sortant avec une clé, ce qui permet aux serveurs de messagerie destinataires de vérifier que l’email provient de votre domaine et qu’il n’a pas été altéré en cours de route. DMARC réunit enfin ces deux éléments pour indiquer aux serveurs de messagerie de réception ce qu’il convient de faire lorsqu’un message entrant échoue aux vérifications SPF, DKIM ou aux deux.
DNS-based Authentication of Named Entities based detection – (DANE) (La détection basée sur l’authentification DNS des entités nommées) est liée aux enregistrements DNS susmentionnés. Ces trois enregistrements sont très importants pour la vérification des emails, et les criminels essaient donc de les contourner, notamment en usurpant les enregistrements DNS (en trompant les serveurs DNS pour qu’ils répondent avec les enregistrements des attaquants plutôt qu’avec les enregistrements légitimes). DANE lie les certificats numériques aux enregistrements DNS et fonctionne en tandem avec Domain Name System Security Extensions (DNSSEC) pour garantir que les enregistrements DNS du domaine de votre entreprise ne sont pas altérés. La sécurité des emails sortants est également renforcée par des signatures DKIM améliorées et une mise à niveau vers la version 1.3 de Transport Layer Security (TLS), ce qui garantit que les emails sortants sont sécurisés et dignes de confiance.
Avantages pour les clients de Hornetsecurity
Du fait de cette intégration, les clients de Hornetsecurity bénéficient également d’excellents avantages supplémentaires grâce aux technologies de filtrage de Vade.
L’ampleur de leur moteur d’analyse permet d’améliorer considérablement le taux de détection du filtre Info-Mail (Spam). Cette détection améliorée permet également aux administrateurs d’affiner la granularité sur la base de verdicts supplémentaires pour Info-Mail.
Les gains de détection en temps réel sont basés sur l’analyse de 60 à 90 milliards de points de données par jour, dans 1,4 milliard de boîtes aux lettres (oui, vous avez bien lu). On ne saurait trop insister sur l’importance de ces chiffres. L’hygiène moderne en matière de cybersécurité des emails est un problème de big data /ML, et plus votre ensemble de données est important, meilleurs seront vos filtres de résultats.
Auparavant, la suppression a posteriori permettait aux administrateurs de signaler et de supprimer manuellement les emails malveillants qui contournaient le filtrage initial. Désormais, l’intégration apporte un gain d’efficacité significatif grâce à Automated Ex-Post Deletion (la suppression ex post entièrement automatisée) pour les clients existants.
L’une des tactiques favorites des criminels consiste à utiliser des images avec du texte, à la fois dans les emails et sur les sites web cibles, afin de tromper les moteurs d’analyse. La fonctionnalité Enhanced phishing detection (Détection améliorée de l’hameçonnage) inclut désormais la vision artificielle pilotée par l’IA, qui permet d’identifier avec précision ces menaces. Enfin, Machine Learning (ML) (l’apprentissage automatique) est appliqué à l’analyse des URL en temps réel, de manière asynchrone et au moment du clic pour les liens dans les emails et les pièces jointes.
Conclusion
Le filtrage de l’hygiène des emails est un domaine de la cybersécurité en constante évolution et plein de défis, que chaque entreprise devrait confier à des experts. Ces experts doivent opérer à grande échelle pour être en mesure de recueillir efficacement des signaux à travers les emails de l’ensemble de l’internet afin de détecter rapidement de nouvelles attaques. La fusion de deux technologies d’analyse avancées apporte vraiment le meilleur des deux piles technologiques, en les combinant en une solution de pointe puissante, facile à configurer et à faible coût administratif.
FOIRE AUX QUESTIONS
Comment l’intégration de Vade et Hornetsecurity améliore-t-elle le filtrage des emails ?
L’intégration améliore le filtrage desemails en combinant les technologies avancées des deux sociétés, ce qui ajoute plus de 40 couches de protection. Il en résulte une meilleure détection du spam, de l’hameçonnage et des logiciels malveillants, ainsi qu’une réduction des faux positifs et négatifs.
Quels sont les avantages de la combinaison du filtrage des emails pour les clients de Vade ?
Les clients de Vade bénéficient désormais des fonctions avancées de Hornetsecurity telles que Sandbox detection (la détection Sandbox), Social-Graph based protection (la protection basée sur le Social-Graph) et Pre-Delivery URL (le Pre-Delivery URL Scanning), qui améliorent l’identification des nouveaux logiciels malveillants, des tentatives d’hameçonnage et des liens malveillants.
Quels sont les avantages de cette intégration pour les clients de Hornetsecurity ?
Les clients de Hornetsecurity bénéficient des capacités d’analyse étendues de Vade, qui améliorent le filtrage Info-Mail, la détection en temps réel et la suppression automatique Ex-Post, offrant ainsi une solution de sécurité du courrier électronique plus efficace et plus précise.
