Thought Leadership
Laut CSO wurden 94 % der Malware im Jahr 2020 über das E-Mail-System verbreitet. Dies ist keine Überraschung, wenn man bedenkt, dass E-Mails fast alle in Zero Trust definierten Regeln brechen.
Obwohl es mehrere Möglichkeiten gibt, Sicherheitsrichtlinien auf den E-Mail-Versand anzuwenden, sind diese Methoden nicht annähernd so weit verbreitet, wie sie sein sollten. In diesem Artikel beschreibe ich, wie ein Unternehmen seine E-Mail-Zustellung umstellen sollte, um sicherzustellen, dass sie dem Zero Trust-Modell entspricht.
Die E-Mail ist in ihrer 40-jährigen Geschichte die wichtigste und am meisten genutzte Kommunikationsmethode geblieben und bildet immer noch die Grundlage unzähliger Geschäftsprozesse. Die Tatsache, dass sie eines der ältesten und vom Design her unsichersten Kommunikationsprotokolle verwendet, macht sie jedoch zum am stärksten ausnutzbaren und verletzlichsten Bereich des Internets. Die Existenz von Phishing, Spoofing und anderen Betrugstechniken hat gezeigt, dass das E-Mail-System der schwächste Punkt in einem Zero Trust-Netzwerk sein kann und Angreifern einen Weg bietet, Malware ins Unternehmen einzuschleusen. Warum ist das so? Das Problem ist größtenteils auf die mangelnde Einhaltung der Zero Trust-Prinzipien zurückzuführen.
E-Mail ist das Zero Trust Anti-Pattern
Die Zero Trust-Prinzipien besagen, dass Sie alles als Ressourcen behandeln, mit diesen identisch umgehen, sämtliche Kommunikation absichern, nur authentifizierte Zugriffe ermöglichen und diesen so wenig Rechte wie nötig gewähren sollten. Im Allgemeinen würde niemand ohne starke Authentifizierung und Verschlüsselung Zugriff auf eine Unternehmensressource aus dem Internet gewähren. Dies gilt insbesondere dann, wenn jemand Dateien auf diese Ressource kopieren könnte, welche die Benutzer der Ressource später ausführen können. Leider funktioniert die E-Mail-Zustellung standardmäßig so. Ohne moderne Techniken, die das ursprüngliche Übertragungsprotokoll erweitern, kann jeder eine E-Mail mit einem schadhaften Anhang im Namen eines anderen versenden. Aus diesem Grund ist es wichtig, dem Zero Trust-Motto zu folgen: Vertraue niemanden, verifiziere jeden! Wie können Sie also eine E-Mail verifizieren?
Schritt 1: Authentifizieren Sie den Server
Der E-Mail-Server des Empfängers kann den E-Mail-Server des Absenders anhand seiner Netzwerkadresse verifizieren. Ein Domänenbesitzer kann eine Richtlinie – bekannt als Sender Policy Framework (SPF) – veröffentlichen, die angibt, welche Server E-Mails im Namen der Domäne senden dürfen. Die Empfängerseite kann anhand der veröffentlichten Richtlinie prüfen, ob die eingehende Mail von einem autoritativen Server gesendet wird. Laut einer Recherche von Balasys veröffentlichen etwa 78 % der eine Million meistbesuchten Domains solch eine Richtlinie. Dies ist eine besonders hohe Quote, aber wir sollten zwei miteinander verbundene Faktoren nicht vergessen.
Das erste Problem ist, dass ein Domänenbesitzer als Teil der Richtlinie angeben kann, was zu tun ist, wenn der Empfänger feststellt, dass es keine explizite Regel gibt, die mit der Adresse des tatsächlichen Absenders übereinstimmt. Weniger als 35 % der Domaininhaber haben ein Richtlinie veröffentlicht, die spezifisch genug ist, um den Absender als nicht autorisiert zu deklarieren. Wie so oft wird Business Continuity der Sicherheit vorgezogen – obwohl die Wartungskosten dieser Richtlinie gering sind, da sich die Mailserver-Adressen selten ändern. Laut Zero Trust sollten Sie alle Mailserver, die E-Mails im Namen Ihrer Domain versenden, als Ihre Ressourcen betrachten (wie z. B. Mailchimp und andere). Zero Trust erfordert die Verwendung des Prinzips der geringsten Berechtigungen, was bedeutet, dass so wenige Server wie erforderlich E-Mails senden dürfen, ohne dass großzügige Standardwerte verwendet werden.
Das zweite Problem ist, dass die Richtlinie nur vom Zielserver erzwungen werden kann. Wenn es auf dem Empfängerserver keine Unterstützung gibt, um die Richtlinie durchzusetzen, ist sie nichts wert. Obwohl die großen E-Mail-Anbieter Domain-Inhaber ermutigen, den Mechanismus zu verwenden, landen unsere E-Mails schnell im Spamordner, wenn keine oder eine fehlerhafte Richtlinie veröffentlicht wurde.
Schritt 2: Verwenden Sie Verschlüsselung
Zero Trust empfiehlt die Verschlüsselung des gesamten Datenverkehrs zu internen und externen Standorten, um das Abhören und die Manipulation von Inhalten zu verhindern. Der Standard für die E-Mail-Übertragung besagt, dass ein öffentlich referenzierter Server keine verschlüsselte Kommunikation voraussetzen darf. Der Standardansatz versuchte vor 20 Jahren, Einbußen an der Interoperabilität der Internet-Mailing-Infrastruktur auf diese Weise zu verhindern. Seitdem ist die Verschlüsselung der E-Mail-Kommunikation nur noch opportunistisch. Der E-Mail-Versand ist einem Angreifer mit Man-in-the-Middle-Fähigkeit ausgesetzt, der eine unverschlüsselte Kommunikation erzwingen kann, unabhängig davon, dass beide Parteien eine Verschlüsselung beabsichtigen.Ohne die Verschlüsselung zu initiieren, kann der Empfänger den Absender nicht authentifizieren und umgekehrt. Darüber hinaus ist die E-Mail-Übertragung anfällig für das Abhören der Kommunikation oder Manipulation, was bedeutet, dass ein Angreifer möglicherweise Malware in eine E-Mail einschleusen könnte.
Um mit dieser herausfordernden Situation fertig zu werden, kann der Domaininhaber bekanntgeben, dass der Mailserver Verschlüsselung unterstützt. Die Methode SMTP MTA Strict Transport Security (MTA-STS) verwendet das Domain Name System (DNS), um diese Informationen bereitzustellen. Leider nutzt nur 0,1 % der Top 1 Million Domains diese Möglichkeit, um dem Absender zu bestätigen, dass es Support für Verschlüsselung gibt. Knapp die Hälfte der Top 1.000 Domains befindet sich gerade erst in der Testphase, die andere Hälfte will die Verschlüsselung erzwingen. Diese Statistiken zeigen, dass Domain-Inhaber das Zero Trust-Prinzip, wo immer möglich Verschlüsselung zu verwenden, ignorieren.
Schritt 3: Überprüfen Sie die E-Mail
Die Überprüfung der Serveradresse mit der oben genannten Methode kann nicht als zufriedenstellende Authentifizierungsmethode angesehen werden und betrifft weder die Vertraulichkeit noch die Integrität der gesendeten E-Mail. Verschlüsselung könnte jedoch Vertraulichkeit, Integrität und Authentizität bieten, und die oben genannten Herausforderungen machen es erforderlich, zumindest Integrität und Authentizität sicherzustellen, um eine Inhaltsänderung durch einen böswilligen Dritten zu vermeiden. Die Zero Trust-Authentifizierungsanforderung könnte erfüllt werden, indem der E-Mail-Absender mithilfe digitaler Signaturen verifiziert wird.
Ein Domänenbesitzer könnte einen oder mehrere öffentliche Schlüssel veröffentlichen, die von autoritativen Server verwendet werden, um zu sendende E-Mail digital zu signieren und diese anhand der Domain Schlüssel identifizierbar zu machen. Dieser Mechanismus existiert und heißt DomainKeys Identified Mail (DKIM). In einigen Fällen ist mehr als ein Server an der Zustellung einer E-Mail beteiligt. Dieser Mechanismus ist unerlässlich, da er während des gesamten Zustellungsprozesses Authentizität und Integrität gewährleisten kann. Darüber hinaus kann der E-Mail-Client den Benutzer benachrichtigen, wenn die Überprüfung fehlschlägt, damit er vorsichtig ist, obwohl die E-Mail nicht als Spam identifiziert wurde.
Obwohl dieser Mechanismus keine Vertraulichkeit garantieren kann, hat er einen erheblichen Mehrwert. Der Benutzer kann sicher sein, dass der Angreifer sich nicht als Absender ausgeben, und den Inhalt der E-Mail während der Zustellung nicht verändern kann. Es verhindert mehrere E-Mail-Betrugsmaschen, wie z. B. das Senden von Fehl-, oder Desinformationen durch den Angreifer an ein Opfer. CEO-Betrug ist ein gutes Beispiel: Der Angreifer gibt sich als CEO der Organisation aus, um das Opfer – die Finanzabteilung des Unternehmens – dazu zu bringen, eine Überweisung auf sein Bankkonto vorzunehmen oder einen böswilligen E-Mail-Anhang auszuführen. Trotz seiner Bedeutung hat dieser Mechanismus eine verhältnismäßig geringe Verbreitung, was als ein weiteres Zero Trust Anti-Pattern angesehen wird.
Schritt 4: Überwachen Sie das System
Die oben genannten Methoden können Sicherheitsprobleme verhindern oder mindern, erfordern jedoch Unterstützung auf der Seite des Empfängers (SPF, DKIM) oder des Absenders (MTA-STS). Wenn es Support für diese Methoden gibt, stellt sich eine Frage: Was sollte ein Server tun, wenn er die Adresse des Absenders, die digitale Signatur einer E-Mail oder die Verschlüsselungsfähigkeit des Servers überprüft und Probleme auftreten? Zero Trust erfordert eine kontinuierliche Überwachung des Netzwerks, um verdächtiges Verhalten zu verhindern oder darüber zu informieren. Dies ist bei den oben genannten Methoden noch wichtiger, wenn die andere Partei Probleme feststellt und Ihr System überwachen und Sie benachrichtigen kann. Als Ergebnis sollte es ein Verfahren geben, das Authentifizierung, Berichterstellung und Konformität automatisiert. Hier kommt DMARC (Domain-based Message Authentication, Reporting, and Conformance) ins Spiel, das dem Domain Besitzer ermöglicht, zu bestimmen, was die andere Seite tun sollte, wenn Probleme auftreten und wie diese zu melden sind.
Es wäre offensichtlich, dass Domänenbesitzer, die SPF verwenden, auch DMARC benutzen, um zu erklären, wie ein Empfänger handeln soll, wenn die Überprüfung der Absenders negativ ist. Diese Annahme ist noch nicht allgemeingültig, wenn wir über die Top 1.000-Domains sprechen. Fast alle Domains in den Top 1.000 veröffentlichen ein Sender Policy Framework, und immerhin noch fast 74 % verwenden DMARC. Bei den Top 1 Million veröffentlichen etwa 78 % eine Absender-Richtlinie, aber nur 22 % benutzen DMARC. Die meisten Domaininhaber kommunizieren, wie sie mit Verstößen gegen Richtlinien umgehen sollen, aber nur eine Minderheit bemüht sich zu überwachen, ob diese Policy-Fehler tatsächlich auftreten, was einen Verstoß gegen die Zero Trust-Prinzipien darstellt.
Schritt 5: Setzen Sie die Richtlinien durch
Das Verhältnis der erforderlichen Maßnahmen zeigt dramatisch, wie stark das Geschäft vom E-Mail-System abhängt und wie viel wichtiger die Geschäftskontinuität ist als die Sicherheit. Mit Ausnahme der Top 1.000-Domains traut sich nur die Minderheit der Domain-Inhaber, E-Mail-Empfänger aufzufordern, richtlinienwidrige E-Mails unter Quarantäne zu stellen oder abzulehnen. In anderen Fällen fordert die Mehrheit die Mailempfänger auf, nichts zu unternehmen, was die Frage aufwirft, ob der Einsatz von DMARC überhaupt sinnvoll ist.
Wir können ähnlich großzügige Einstellungen im Fall von SPF finden. Knapp 35 % der veröffentlichten SPFs in den Top 1 Millionen-Domains erklären, dass ein Richtlinienverstoß als Fehler behandelt werden sollte, was bedeutet, dass die empfangene E-Mail im Spamordner abgelegt werden sollte. Weitere 55 % verlangen allerdings, dass der Server diese E-Mails mit der gebotenen Sorgfalt behandelt, indem er sie an einen Spamordner weiterleitet oder sie als verdächtig markiert. Am enttäuschendsten ist die Situation bei MTA-STS, unabhängig davon, dass nur dieser Mechanismus die Vertraulichkeit einer nicht Ende-zu-Ende verschlüsselten E-Mail gewährleisten kann. In den Top 1 Millionen-Domains liegt die Nutzung ist 0,1 %, und fast die Hälfte davon befindet sich in der Testphase.
Das Ergebnis: Ihre E-Mail wird Zero Trust-konform
Gemäß den Zero Trust-Prinzipien sollten Sie folgendes tun
- Authentifizieren Sie jeden Ressourcenzugriff, wobei der erste Schritt darin besteht, SPF zu nutzen und die Adresse eines sendenden Servers zu überprüfen, bevor Sie Zugriff auf Ihr Mailsystem gewähren. Danach folgt der zweite Schritt: die E-Mail-Authentizität mit DKIM zu validieren.
- Verwenden Sie wann immer möglich verschlüsselte Kommunikation, insbesondere im Internet, daher sollte MTA-STS verwendet werden.
- Autorisieren Sie den Zugriff nach dem Prinzip der geringsten Rechte, was bedeutet, dass Sie die Integrität aller E-Mails durch die Verwendung von DKIM verifizieren, um das Einschleusen von Malware zu verhindern.
- Überwachen Sie Ihre Systeme und alle Richtlinienverstöße, indem Sie DMARC- und TLS-RPT-Berichte anfordern.
- Verwenden Sie die genannten Mechanismen kontinuierlich und streng sitzungsbasiert.
Solange wir mit dem einfachen, alten E-Mail-System leben müssen, das nicht auf Sicherheit ausgelegt ist, sollten wir so viele der oben genannten Mechanismen wie möglich verwenden und erzwingen. Wir sollten Domains, die keine Richtlinien veröffentlichen (SPF, DMARC, MTA-STS) und Server, die die Richtlinien nicht erfüllen, mit Misstrauen behandeln. Dieser Ansatz ist unerlässlich, um zu vermeiden, dass unser Netzwerk durch die Verwendung des am wenigsten Zero Trust-konformen Systems im Internet kompromittiert wird: E-Mail.
