E -posta güvenliğinin önlenmenin ötesine geçmesi için neden EDR anına ihtiyacı var?

Günümüzde güvenlik liderleri, geleneksel yöntemlerin açıkça başarısız olduğu için değil, tehdit manzarası ve iş ihtiyaçları eski yaklaşımların üstesinden gelebileceği için geliştiği için e -posta güvenliğini yeniden düşünmektedir.

Şaşırtıcı ama uygun bir benzetme ortaya çıkmaya devam ediyor: E -posta güvenliği, antivirüsün (AV) on yıl önce olduğu yerde sıkışmış ve AV’nin yaptığı gibi EDR’nin bir unsuruna dönüştüğü zamanı.

Karşılaştırma ilk başta açık olmayabilir. Sonuçta, e -posta ve uç noktalar elma ve portakal gibi görünüyor.

Ancak daha derine baktığınızda, özellikle EDR’nin (uç nokta tespit ve yanıt) AV’nin çekirdeğinden büyüdüğünde, paralelin göz ardı edilmesi imkansız hale gelir. Evrimin anlama, e -posta güvenliğinde bir sonraki adım için bir yol haritası sunar.

AV – EDR: Esneklik Dersi

Miras AV yıllarca toplam koruma sözü verdi. Amaç, her kötü amaçlı dosyayı tespit etmek ve engellemekti. Bir dosya iyi görünüyorsa, izin verildi. Bilinen bir kötülük imzasıyla eşleşirse, engellendi. Bu ikili “evet ya da hayır” modeli işe yaramaya kadar çalıştı.

Saldırganlar uyarlandı. Kötü amaçlı yazılım polimorfik oldu. Yeni tehditler, satıcıların imza yazabileceğinden daha hızlı ortaya çıktı. Sonunda, endüstri rahatsız edici bir gerçeği kabul etmek zorunda kaldı:% 100 önleme imkansız.

İşte o zaman EDR sahneye girdi. AV’yi tamamen değiştirmeye çalışmak yerine, EDR onu kuşattı, görünürlük, şüpheli davranışların tespiti, adli yetenekler ve iyileştirme araçları ekledi.

En önemlisi, güvenlik yığınına esneklik getirdi. AV’den geçmiş olsa bile, EDR daha sonra yakalamak, araştırmak ve hasarını sınırlamak için oradaydı.

Son nokta, saldırganlar için kritik bir erişim noktası haline gelmişti. Bunu korumak, önlemenin ötesine geçmek anlamına geliyordu, tespit, yanıt ve sertleşme gerekiyordu.

E -posta Güvenliği: Aynı tuzakta yakalandı

Şimdi bugün e -posta güvenliğine bakın.

Çoğu kuruluş, Google ve Microsoft gibi sağlayıcılardan güvenli e-posta ağ geçitlerine (SEG’ler) veya yerleşik spam/kimlik avı filtrelerine büyük ölçüde güvenmektedir.

Bu araçlar e-postanın AV’leridir: gelen trafiği denetler, bilinen parçayı bloke ederler ve gerisini bırakırlar. Onlar harikalar… olmayana kadar.

Kimlik avı hala oluyor. İş E -posta Uzlaşması (BEC) her zamankinden daha sofistike. OAuth token kötüye kullanımı, içeriden gelen tehditler ve kaçırılmış hesaplar geleneksel kontrolleri tamamen atlar. AV’de olduğu gibi, “Her Şeyi Önleme” sınırlarına ulaştık.

Ve uç noktalarda olduğu gibi, e -posta güçlü bir pivot noktasıdır. Meydan okumalı bir gelen kutusu, saldırganlara hassas dosyalara, uygulamalara ve aşağı akış iş akışlarına erişim sağlar – şifre sıfırlamalarını, fatura sahtekarlığı veya bulut dosyası erişimini düşünün.

EDR’den ders mükemmel bir şekilde uygulanır: tek başına önleme yeterli değildir. Önleme sonrası kontrollere, “E-posta için EDR” katmanı yatırım yapmalıyız.

E -posta için EDR nasıl görünüyor

Bu teorik değil. Zaten oluyor.

Malzeme güvenliğinde içten dışa bir yaklaşım izledik. SPAM filtreleme veya kötü niyetli bağlantı algılaması ile başlamak yerine, bir saldırgan girdikten sonra etkiyi sınırlayan araçlar, araçlar, araçlar ile başladık.

İçerikler ve güvenlik bir e -posta zihniyetinin ötesine geçtiğinde cevaplanan sorular:

• Görünürlük: Hangi e -postalara erişti? Ne zaman? Nereden? Görünürlük olayları anlamak için temeldir.
• Olay Yanıtı: Bir hesaptan ödün verilirse hassas içeriğe erişimi geriye dönük olarak iptal edebilir misiniz?
• Granüler erişim kontrolleri: Dahili kullanıcılar için bile e -postaları finansal veya PII gibi hassas içeriklerle kilitleyebilir misiniz?
• Saklama Politikaları: Patlama yarıçapınızı artırarak e -postaları gerekenden daha uzun süre mı tutuyorsunuz?
• Kimlik Sertleştirme: OAuth bağlantıları ve e-posta tabanlı uygulama kayıtları sıkı bir şekilde yönetiliyor mu?

Bunlar mevcut e -posta filtrelerinin değiştirilmesi değildir. Pistlerinde bir ihlali durdurmak için tamamlayıcı ve gerekli işlevlerdir. Ve tıpkı EDR’nin Avsmarter yaptığı gibi, e -posta güvenliğinin çevre işlevlerini aşan gelişmek onu daha güçlü hale getiriyor.

Daha geniş bir güvenlik değişimi

Artık sadece e -posta ile ilgili değil. Kuruluşlar Microsoft 365 ve Google çalışma alanına daha fazla güvendikçe, bir e -posta hesabı ihlalinin patlama yarıçapı genişledi. Saldırganlar gelen kutulardan takvimlere, bulut depolamaya, elektronik tablolara ve işbirlikçi belgelere yanal olarak geçer.

Böylece “EDR zihniyeti” güvenlik çalışmalarını e -postanın ötesine genişletmekle ilgilidir. Güvenlik SaaS süitinde uzanmalıdır.

Malzeme güvenliği zaten bu yolu başlattı, aynı görünürlüğü, erişim kontrollerini ve üretkenlik ekosisteminin geri kalanına tehdit tepkisini getirdi.

Bu yüzden bağımsız e -posta güvenliğinin yolunun sonuna ulaştığına inanıyoruz. Artık daha büyük spam tuzakları inşa etmek için yeterli değil. Güç çalışan araçlar arasında entegre, katmanlı savunmalara ihtiyacımız var.

Zihinsel modeli değiştirme zamanı

Güvenlik ekipleri için bu değişim bir zihniyet değişikliği gerektirir:

• İkili önleme → katmanlı esnekliğe
• Çevre İncelemesinden → Kontratür Sonrası Görünürlük ve Kontrol’e
• Nokta araçlarından → entegre güvenlik mimarisine

EDR geldiğinde AV yok olmadı. Daha geniş bir stratejinin bir parçası olarak haklı yerini buldu. E -posta filtrelemesi de aynısını yapar. Ancak, saldırganların nasıl çalıştığını veya işletmelerin nasıl işlediğini yansıtmayan kırılgan, sadece önleme bir savunma ile kalma riskini modernleştiremeyen kuruluşlar.

EDR’nin son nokta korumasını yeniden şekillendirdiği gibi, e -posta güvenliğinin bir sonraki evriminin devam ettiğine inanıyoruz. Soru, olup olmayacağı değil. Bir sonraki ihlalden sonra eğrinin önünde veya yakalama oynayın.

E -posta için EDR’nin nasıl göründüğünü görmek ister misiniz?

Malzeme Güvenliğinin yaklaşımı hakkında daha fazla bilgi edinin ve amaca yönelik Bulut Çalışma Alanı Güvenliği’ni görüntüleyin.

Malzeme güvenliği ile sponsorlu ve yazılmıştır.