Laten we de FUDdy-introductie kort samenvatten: we weten allemaal dat phishingaanvallen steeds omvangrijker en complexer worden, dat AI steeds geavanceerdere aanvallen mogelijk maakt die traditionele verdedigingsmechanismen omzeilen, en dat het eindeloze tekort aan cybersecurity-talent ervoor zorgt dat we allemaal moeite hebben om onze beveiligingsteams op peil te houden.
Gezien de realiteit moeten beveiligingsteams effectief en efficiënt kunnen monitoren en reageren op bedreigingen. Je kunt echte bedreigingen natuurlijk niet onopgemerkt voorbij laten gaan, maar je kunt het je ook niet veroorloven om tijd te verspillen aan het najagen van valse positieven.
In dit bericht bekijken we een aantal manieren waarop de unieke aanpak van Material Security op het gebied van e-mailbeveiliging en gegevensbescherming uw beveiligingsteams aanzienlijk en kwantificeerbaar uren per week kan besparen en tegelijkertijd de effectiviteit van uw beveiligingsprogramma kan verbeteren.
Wat is uw waarschuwingsbudget?
Voordat we ingaan op het ‘hoe’, nemen we even de tijd om te kijken naar Waarom efficiëntie is cruciaal in beveiligingsoperaties. Laten we daarvoor eens nadenken over hoeveel waarschuwingen uw beveiligings- en incidentresponsteams realistisch gezien kunnen sorteren, onderzoeken en beantwoorden op een bepaalde dag. Net zoals uw afdeling een budget heeft dat beperkt hoeveel geld u kunt uitgeven aan mensen en tools, hebben uw beveiligingsteams een limiet aan de hoeveelheid tijd die ze kunnen besteden aan het reageren op bedreigingen op een bepaalde dag. Dat is uw waarschuwingsbudget.
Dat aantal verandert natuurlijk van dag tot dag, afhankelijk van de ernst en complexiteit van de incidenten die opduiken, het aantal cruciale strategische projecten waaraan uw team werkt en talloze andere factoren. Maar er is een limiet. En net zoals u het zich niet kunt veroorloven om uw beperkte financiële middelen te verspillen aan overbodige tools of software die geen waarde biedt aan uw team, kunt u het zich ook niet veroorloven dat uw teams hun alertbudget verspillen aan het onderzoeken van dubbele alerts, het steeds opnieuw oplossen van hetzelfde probleem of het najagen van valse positieven.
De efficiëntie waarmee uw beveiligingsteam hun alertbudget besteedt, is net zo belangrijk als hoe u uw geld besteedt, zo niet belangrijker. Laten we nu eens kijken hoe we die efficiëntie kunnen verbeteren.
Balans tussen nauwkeurigheid en gevoeligheid
Ongeacht hoeveel meldingen uw team ontvangt, er zijn een beperkt aantal uren op een dag dat uw team kan besteden aan het beantwoorden ervan. De aanpak van Material voor phishing is gebaseerd op de filosofie dat we onze klanten moeten helpen het meeste uit hun tijd te halen. De meldingen die we genereren, moeten zowel zoveel mogelijk bedreigingen opvangen als zo min mogelijk foutpositieve meldingen genereren.
“Precision” en “recall” zijn termen die bekend zullen zijn bij een datawetenschapper, maar die bij beveiligingsmensen misschien niet meteen een belletje doen rinkelen. In de context van e-maildetecties is precision een maatstaf voor hoeveel e-mails die als kwaadaardig zijn gemarkeerd, daadwerkelijk kwaadaardig zijn, terwijl recall een maatstaf is voor hoeveel van de daadwerkelijk ontvangen kwaadaardige e-mails door het systeem worden gemarkeerd.
Een beveiligingssysteem dat heel weinig false positives genereert, heeft een hoge precisie en een systeem dat bijna alle bedreigingen die het ziet opvangt, heeft een hoge recall. Op een bepaald granulair niveau is er een soort afweging tussen de twee: zoals u zich kunt voorstellen, kunt u het aantal false positives dat u genereert verlagen door de gevoeligheid van de detecties te verlagen: maar het verlagen van de gevoeligheid zal er vaak toe leiden dat true positives ook worden gemist. Omgekeerd kunt u die gemiste true positives minimaliseren door de gevoeligheid flink op te voeren, maar dit zal meer false positives genereren.
De focus bij Material is om een detectie-engine te bouwen die de twee effectief in evenwicht brengt en de kwaadaardige berichten aan het licht brengt waarop u zich echt moet richten. In de steeds complexere bedreigingsomgeving van vandaag de dag is geen enkele beschermingslaag voldoende, en geen enkele detectiemethode kan op zichzelf de juiste balans vinden. Om dat doel te bereiken, bestaat de Material Detection Engine uit vier belangrijke componenten:
- Materiaaldetectie: Een combinatie van machine learning-technieken met regels die zijn ontwikkeld door ons toegewijde threat research team. AI en ML zijn geweldig om punten te verbinden en relaties te vinden die mensen misschien missen, maar ondanks alle vooruitgang in AI de laatste tijd, is er nog steeds geen vervanging voor het inzicht en de capaciteit van menselijke expertise. Material Detections zijn het beste van twee werelden.
- Aangepaste detecties: Elke organisatie en elke omgeving is uniek. Daarom bieden wij klanten de mogelijkheid om aangepaste detecties te maken op basis van wat u ziet bij uw gebruikers of in de praktijk.
- Waarschuwingen van e-mailproviders: Google en Microsoft sturen regelmatig waarschuwingen voor phishing-e-mails die ze na bezorging detecteren. Wij verwerken deze waarschuwingen en voegen ze toe aan onze detecties.
- Gebruikersrapporten: Material automatiseert uw mailbox voor misbruik, van het verwerken van gebruikersrapporten en het consolideren van vergelijkbare berichten in één geval tot het direct toepassen van geautomatiseerde bescherming. Tegelijkertijd biedt het flexibele herstelstromen aan beveiligingsteams.
Al deze facetten komen samen in een krachtig en ongelooflijk nauwkeurig detectieplatform dat onze klanten krachtige bescherming biedt zonder hun tijd te verspillen met valse positieven en ruis, wat volgens ons de juiste balans is tussen precisie en recall. Maar hoewel het effectief balanceren van nauwkeurigheid en gevoeligheid cruciaal is, is het niet genoeg: een modern e-mailbeveiligingsplatform moet ook de beveiligingsactiviteiten zelf stroomlijnen.
Als je me twee keer voor de gek houdt, schaam je je
Er is een opvallende toename in e-mailaanvalcampagnes die niet alleen breed zijn, maar ook zeer gepersonaliseerd. Er is discussie over hoeveel hiervan kan worden toegeschreven aan generatieve AI. De heersende veronderstelling was dat de explosie van generatieve AI tegenstanders een nieuwe tas met tools zou geven om mee te spelen, maar onderzoek zoals Verizon’s 2024 DBIR toont op dit moment weinig betekenisvolle impact op aanvallen en inbreuken.
Ongeacht of deze aanvallen door AI worden gegenereerd of niet, het is niet te ontkennen dat ze toenemen. Natuurlijk krijgen we allemaal nog steeds de generieke en transparante ‘ben je beschikbaar?’ berichten van onze “CEO’s” wanneer we voor het eerst bij een nieuw bedrijf komen. Maar we krijgen ook e-mails met nepfacturen van domeinen die spoofs of homoglyphen zijn van vertrouwde partners en leveranciers. We zien complexe pretexting-aanvallen die volledig geloofwaardige verhalen vertellen van afzenders die connecties met ons lijken te hebben. We ontvangen e-mails van spoofed of homoglyph domeinen die zelfs de meest gewetensvolle gebruiker voor de gek houden.
En vaak worden deze aanvallen herhaald binnen een organisatie, maar dan afgestemd op elke ontvanger. Ze omzeilen niet alleen de standaard e-mailbeveiligingscontroles en komen door SEG’s, maar ze verschijnen ook als individuele aanvallen. Onderwerpregels, afzenders en zelfs de inhoud van de hoofdtekst kunnen per e-mail verschillen, waardoor het lastig is om ze eenvoudig te groeperen. Dit betekent dat uw beveiligingsteam meerdere cycli moet doorlopen om tientallen of honderden iteraties van exact dezelfde aanval te onderzoeken en erop te reageren.
Material helpt beveiligings- en IR-teams dit probleem aan te pakken met automatische clustering van verdachte berichten. Wanneer Material een potentiële bedreiging detecteert, creëert het automatisch een Case binnen ons platform. Vervolgens speurt het de hele omgeving af naar berichten die aan die case voldoen, op basis van een reeks criteria. Het zoekt natuurlijk naar overeenkomsten tussen de gebruikelijke velden: overeenkomende afzenders, overeenkomende onderwerpregels, overeenkomende hoofdtekst, enz. Maar het zoekt ook naar dingen zoals de URL’s die in de berichten en bijlagen zijn opgenomen, overeenkomende aanvallen die anders onmogelijk op een andere manier kunnen worden gegroepeerd.
En wanneer berichten in één geval worden geclusterd, wordt triage, onderzoek en zelfs herstel aanzienlijk eenvoudiger. Standaard worden snelheidsdrempels automatisch toegepast op alle de berichten in de case, zodat uw gebruikers een waarschuwing krijgen dat het bericht mogelijk schadelijk is, voordat uw team zelfs maar de kans heeft gehad om het te onderzoeken. En zodra u een onderzoek hebt uitgevoerd en een oplossing hebt toegepast op een enkel bericht in de case, ontvangt elk bericht in die case, zelfs overeenkomende berichten die na uw onderzoek worden afgeleverd, dezelfde oplossing.
We hebben al krachtige voorbeelden gezien van hoe dit onze klanten in de echte wereld helpt. Een Material-klant vertelde ons onlangs dat ze hun phishing-e-mailonderzoeken gedurende een periode van drie maanden hebben bijgehouden. In die 90 dagen bespaarde hun SOC met de hulp van Material Security meer dan 300 uur aan tijd door phishing-e-mails te onderzoeken en te beantwoorden. Al die uren bleven in hun alertbudget om andere dringende zaken af te handelen.
Het benutten van de collectieve intelligentie van uw organisatie
De huidige beroepsbevolking is zich terdege bewust van phishingbedreigingen. Dat betekent natuurlijk niet dat ze er niet nog steeds in trappen, maar het betekent wel dat ze op hun hoede zijn voor verdachte, slecht geformuleerde of gewoon onverwachte berichten.
En het is belangrijk om het goed te doen. Er is geen enkele verdedigingslinie die alle inkomende e-mailbedreigingen kan opvangen, en ondanks alle ongelooflijke vooruitgang in AI en machinedetecties, is er soms geen vervanging voor een scherpzinnige werknemer die opmerkt dat een e-mail de snifftest gewoon niet doorstaat.
Het nadeel is dat behandeling gebruikersrapportage kan ook een aanzienlijke belasting voor uw beveiligingsteam zijn als het niet correct wordt afgehandeld. Dubbele rapporten, onschadelijke e-mails die zijn gemarkeerd voor beoordeling, de noodzaak om te reageren op de gebruiker(s) die hebben gemarkeerd… als u de minuten optelt die al deze acties vereisen, vereisen ze tientallen of honderden rapporten per dag, kan het een aanzienlijke tijdsverspilling zijn.
Material snijdt de dagelijkse backend-sleur van gebruikersrapportage weg, automatiseert uw mailbox voor misbruik om zowel het herstel te versnellen als uw beveiligingsteam tijd te besparen. Material voegt automatisch een snelheidsdrempel toe aan gerapporteerde berichten in uw gehele gebruikersbestand, wat een onmiddellijke beschermingslaag biedt terwijl uw beveiligingsteam het probleem onderzoekt.
Met gedetailleerde herstelopties kunnen uw teams gerapporteerde e-mails die schadelijk blijken te zijn, blokkeren, blokkeren of direct verwijderen. En dankzij caseconsolidatie en vergelijkbare berichtmatching hebt u, wanneer u één e-mail hebt onderzocht en beantwoord, op elk vergelijkbaar bericht in de hele case gereageerd. Tot slot reageert Material automatisch op verslaggevers met een bevestigingsbericht, dat u kunt wijzigen of bijwerken naarmate uw onderzoek vordert als u dat wilt.
Materiaal vereenvoudigt en stroomlijnt het proces van het verwerken en beantwoorden van meldingen van gebruikers, en biedt tegelijkertijd directe bescherming om onderzoeken te ondersteunen.
Geavanceerde bescherming waarop u kunt vertrouwen, efficiëntie die u mee kunt nemen naar de bank
Uw beveiligingsteams hebben het al druk genoeg. Met Material Security jagen ze veel minder op valse positieven, sorteren en onderzoeken ze phishinggevallen sneller en besteden ze minder tijd aan administratieve rompslomp met gebruikersrapportage. Material maakt meer van uw waarschuwingsbudget vrij, zodat u het kunt besteden aan wat er echt toe doet.
Wilt u zien hoeveel tijd u aan uw beveiligingsteam kunt besteden? Neem dan vandaag nog contact met ons op voor een demo.
