Poprawa bezpieczeństwa dzięki zautomatyzowanej analizie poczty e-mail
Wiadomości e-mail są największymi nośnikami zagrożenia przy przesyłaniu złośliwego oprogramowania. Cisco może otrzymywać tysiące złośliwych wiadomości w ciągu dnia, co utrudnia naszym analitykom zabezpieczeń ręcznie przeglądanie określonych wiadomości wystarczająco szybko, aby wykrywać i zatrzymywać zagrożenia.
Dla każdego zespołu ds. bezpieczeństwa informacyjnego kluczowe jest posiadanie skutecznego rozwiązania do wykrywania i ograniczania zagrożeń przesyłanych za pośrednictwem poczty e-mail. Nasz zespół zajmujący się wykrywaniem i odpowiedzią na naruszenia w zakresie bezpieczeństwa komputerowego (CSIRT) wykorzystuje rozwiązanie Cisco® E-mail Security Appliance (ESA) do automatyzacji wielu czynności dotyczących analizy wiadomości. Ta automatyzacja pozwala nam na znaczące zmniejszenie kosztów działań naprawczych, oszczędza cenny czas pracy naszych analityków zabezpieczeń i wzmacnia nasze ogólne środki ochrony przed cyberzagrożeniami.
Automatyzacja wykrywania zagrożeń i blokowania
W celu monitorowania i reagowania na zagrożenia cyberbezpieczeństwa, zespół CSIRT pracuje codziennie 24 godziny na dobę w wielu ośrodkach zajmujących się bezpieczeństwem na całym świecie. Analitycy zabezpieczeń stale monitorują wzorce i alarmy poczty e-mail generowane automatycznie przez nasze systemy i mogą uruchomić natychmiastową odpowiedź i podjąć działania naprawcze, gdy wykryją aktywne zagrożenie. Następnie analityk ocenia zdarzenie, aby określić, jak możemy udoskonalić nasze możliwości wykrywania i reagowania.
Wcześniej znaczna część tej analizy była wykonywana ręcznie przez analityka. Mieliśmy jedynie ograniczone możliwości w zakresie automatycznego wykrywania i analizy złośliwego oprogramowania wysyłanego pocztą e-mail. „Niektórzy użytkownicy szybko otwierają i odpowiadają na wiadomości e-mail, więc identyfikowanie złośliwych wiadomości w ciągu kilku minut może mieć duże znaczenie przy blokowaniu zagrożenia” — mówi Caitlin Gravel, analityk CSIRT.
Obecnie rozwiązanie ESA firmy Cisco wykorzystuje wielowymiarowe podejście do weryfikowania wszystkich przychodzących wiadomości e-mail, pojawiających się w sieci korporacyjnej:
- Weryfikacja wysyłającego i reputacji domeny wysyłającej
- Porównywanie nowej wiadomości przez analogię z podobnymi, wcześniej otrzymanymi wiadomościami
- Kontrola znanych złośliwych skrótów, osadzonych łączy internetowych
i załączników.
Rozwiązanie to wykonuje również zautomatyzowane skanowanie reputacji pliku oraz analizę złośliwego oprogramowania za pomocą takich technologii Cisco, jak zaawansowana ochrona przed złośliwym oprogramowaniem (AMP) i Cisco ThreatGrid®, a także integracji z informacjami pochodzącymi od naszego zespołu badawczego Cisco Talos™ i zewnętrznych źródeł.
Gdy rozwiązanie ESA firmy Cisco wykrywa zagrożenia w określonej wiadomości e-mail, zapobiega jej dostarczeniu lub przesyła ją do kwarantanny. „Problematyczna wiadomość może przejść przez niektóre z tych kontroli, ale wystarczy, aby tylko jedna z nich zakończyła się niepowodzeniem, aby wiadomość została odrzucona przez rozwiązanie ESA firmy Cisco” — mówi Robert Semans, badacz CSIRT. Tempo odrzucanych wiadomości zmienia się w czasie, odzwierciedlając zmiany w poziomu aktywności zagrożeń, takie jak sezonowość.
Skrócenie czasu odpowiedzi i kosztów działań naprawczych
Ponieważ rozwiązanie ESA firmy Cisco odrzuca wiele wiadomości, które zawierają zagrożenia, poprawiliśmy nasze wskaźniki zarówno dla czasu reakcji, jak i kosztów działań naprawczych.
Teraz jesteśmy w stanie znacznie szybciej reagować na zagrożenia w wiadomościach e-mail: rozwiązanie ESA firmy Cisco pomogło nam skrócić czas wykrywania zagrożeń niemal o dwie trzecie, z 60 do 14 godzin. Co istotniejsze, nasz czas usunięcia zagrożeń został dramatycznie zredukowany, średnio z 368 do 2,5 godziny.
Szybsze wykrywanie i ograniczanie złośliwych wiadomości e-mail także znacznie zmniejsza nasz całkowity koszt działań naprawczych związanych z zagrożeniami, które przedostaną się przez nasze systemy obronne. Na przykład szacujemy oszczędności na 1,3 mln USD miesięcznie w kosztach naprawczych związanych z wirusami i innym złośliwym oprogramowaniem, aktywowanymi poprzez kliknięcie przez użytkownika phishingowej wiadomości e-mail.
Oszczędność czasu analityków, poprawa środków ochrony
„Nie zawsze mam czas na głęboką analizę problemów, które mogą, ale nie muszą być rzeczywistymi zagrożeniami” — mówi Gravel. „Ale rozwiązanie ESA pomaga przezwyciężyć moje czasowe ograniczenia, wyłapując zagrożenia automatycznie i na wczesnym etapie”.
Analitycy zabezpieczeń Cisco wskazują, że oszczędzają około 10% czasu ze względu na zwiększone możliwości w zakresie oceny zagrożeń i blokowania dzięki rozwiązaniu ESA firmy Cisco. Na przykład, gdy phishingowa wiadomość e-mail jest wysyłana na wiele adresów e-mail firmy Cisco, rozwiązanie ESA może zablokować je wszystkie naraz, co skraca czas potrzebny zespołowi CSIRT na ostrzeżenie użytkowników i zespoły informatyczne firmy Cisco, aby rozwiązali powiązane z tą sytuacją problemy.
„Możemy wykorzystać zaoszczędzony czas, aby skupić się na zaawansowanych cyberprzestępcach, którzy próbują wykraść własność intelektualną firmy Cisco, taką jak plany projektowe, tajemnice handlowe i informacje dotyczące łańcuchów dostaw” — mówi Semans. „Te zagrożenia wymagają większej ilości badań, ponieważ mogą przesyłać tylko niewielką liczbę wiadomości i wysyłać je bardzo rzadko, aby uniknąć wykrycia”.
Czas zaoszczędzony na rutynowych analizach pozwala również członkom zespołu CSIRT na:
- Wykonanie dogłębnych badań określonych typów lub źródeł zagrożeń
- Poprawę komunikacji w zespole dotyczącą bieżących zagrożeń i strategii
w zakresie odpowiedzi i podjęcia działań naprawczych - Rozpoznawanie i dostosowywanie się do zmian pojawiających się we wzorcach zagrożeń
- Uczenie użytkowników w zakresie znaczenia dobrych praktyk dotyczących przesyłania wiadomości e-mail.
„Bezpieczeństwo poczty elektronicznej pozostanie jednym z priorytetów dla zespołu CSIRT i wciąż szukamy sposobów na poprawę naszych zabezpieczeń” — mówi Gravel. „Będziemy nadal zwiększać możliwości monitorowania bezpieczeństwa dzięki automatyzacji, surowszym zestawom reguł i naszym relacjom z zespołami informatycznymi firmy Cisco odpowiedzialnymi za infrastrukturę poczty elektronicznej”.
Zapisz się na nasz webinar na żądanie, aby dowiedzieć się więcej o skutecznych zabezpieczeniach poczty elektronicznej.
