5 روش مناسب برای انتخاب نرم افزار امنیتی مناسب ایمیل
پنج روش و مهمترین معیارها برای ارزیابی محصولات نرم افزاری امنیت ایمیل و استقرار آنها در شرکت خود را بررسی کنید.
بسیاری از محصولات و خدمات دروازه امنیتی ایمیل در دسترس نیازهای تقریباً هر سازمانی را برآورده می کند. تلاش برای انتخاب یک محصول یا خدمات از میان گزینه های موجود ، می تواند یک کار دلهره آور باشد. به عنوان بخشی از ارزیابی درگاه امنیت ایمیل ، یک سازمان باید مجموعه ای از معیارها ، مانند لیستی از سوالات ، را برای پاسخگویی به هر محصول ارزیابی شده از طریق تحقیق ، بحث در مورد فروشنده ، آزمایش محصول یا روشهای دیگر ایجاد کند.
این مقاله چندین معیار بالقوه را ارائه می دهد که باید در ارزیابی دروازه امنیت ایمیل گنجانده شود.
توابع امنیتی اساسی چقدر پیشرفته هستند؟
هر درگاه امنیتی ایمیل باید از سازمان در برابر ایمیل های بد محافظت کند: مواردی که حاوی بدافزار ، تلاش برای فیشینگ و هرزنامه هستند. با این حال ، این بدان معنی نیست که یک محصول دروازه امنیتی ایمیل فقط باید قابلیت های اولیه آنتی ویروس ، ضد اسپم و ضد صید را داشته باشد. فناوری های مبتنی بر این نسل قدیمی کنترل های ضد نرم افزار در برابر تهدیدات فعلی بسیار کارآمد نیستند.
در عوض ، یک سازمان باید به دنبال آنتی ویروس ، ضد اسپم و فن آوری ضد صید پیشرفته تری باشد. به عنوان مثال ، در شناسایی بدافزار باید از sandboxing و سایر تکنیک های پیشرفته برای ارزیابی پرونده ها از نظر رفتار مخرب استفاده شود. استفاده از تکنیک های مبتنی بر امضا برای شناسایی بدافزار ، مانند امضاهای آنتی ویروس ، دیگر کافی نیست.
ارائه دهندگان درگاه های امنیتی ایمیل معمولاً جعبه شن و ماسه و سایر تکنیک های پیشرفته را از طریق اشتراک محصولات دیگر ارائه می دهند.
به عنوان مثال Barracuda Networks Inc. ، جعبه شن و ماسه را برای درگاه امنیت ایمیل خود با اشتراک جداگانه در محصول Advanced Threat Protection (ATP) ارائه می دهد. ATP از بدافزار پیشرفته ، سو explo استفاده های روز صفر و حملات هدفمند محافظت نمی کند که توسط ویژگی های اسکن ویروس در Barracuda Email Security Gateway شناسایی نمی شود.
در حالت ایده آل ، توابع اساسی امنیتی همچنین باید از اطلاعات تهدید به روز استفاده کنند. تهدید اطلاعاتی است که توسط یک فروشنده امنیتی در مورد تهدیدات فعلی و اخیر جمع آوری شده است ، مانند آدرس IP میزبانانی که حملات را انجام می دهند یا URL های دامنه های مخرب.
با گنجاندن سرویس های اطلاعاتی تهدید و تکنیک های پیشرفته شناسایی ، یک درگاه امنیتی ایمیل می تواند در شناسایی ایمیل های مخرب بسیار موثرتر باشد ، با این فرض که اطلاعات تهدید همیشه حفظ می شوند – به عنوان مثال ، هر چند دقیقه به روز می شوند.
Mimecast Services ادعا می کند که دروازه امنیت ایمیل آن ، که بر روی یک پلت فرم ابری ساخته شده است ، از طریق اطلاعات تهدید به طور مداوم به روز شده ، امنیت و عملکرد سیستم بهتری را ارائه می دهد.
درگاه های امنیتی ایمیل چه ویژگی های امنیتی دیگری را ارائه می دهند؟
برخی از دروازه ها فقط توابع امنیتی اساسی را ارائه می دهند که در بالا بحث شد. با این حال ، دروازه ها به طور فزاینده ای توابع امنیتی اضافی مربوط به ایمیل ، به ویژه جلوگیری از از دست دادن داده ها (DLP) و قابلیت رمزگذاری ایمیل برای ایمیل های خروجی را ارائه می دهند.
برای بسیاری از سازمانها ، به ویژه شرکتهای بزرگتر ، این توابع اضافی بی اهمیت هستند ، زیرا این سازمان از قبل دارای قابلیت رمزگذاری DLP و ایمیل است. اما برای سازمان های فاقد این قابلیت ها ، افزودن گزینه های رمزگذاری DLP و ایمیل به درگاه امنیت ایمیل – اغلب با پرداخت هزینه اضافی – می تواند روشی مقرون به صرفه و ساده برای افزودن این قابلیت ها به شرکت باشد.
ویژگی های مدیریت چقدر قابل استفاده و قابل تنظیم هستند؟
قابلیت استفاده یک امتیاز مثبت برای مدیریت درگاه امنیت ایمیل است. مدیریت یک دروازه به صورت روزمره آسان تر است ، به احتمال زیاد مدیران می توانند آن را به درستی مدیریت کنند و – بنابراین – موثرتر خواهد بود. با این حال ، از اهمیت قابلیت شخصی سازی نباید غافل شد.
اگرچه ممکن است سازمان ها مایل به صرف زمان قابل توجهی برای سفارشی سازی دروازه های امنیتی ایمیل خود نباشند ، اما انجام این کار می تواند قابلیت های شناسایی را بهبود بخشد و همچنین با شخصی سازی داشبورد مدیر ، گزارش دروازه و سایر جنبه های دروازه ، خود فرایند مدیریت را بهبود بخشد.
نیازهای قابل استفاده و قابل تنظیم بودن مدیریت دروازه در سازمانها بسیار متفاوت است. سازمانهای با ریسک بالا برای اینکه بتوانند تشخیص را هرچه بیشتر پیشرفته کنند ، به درجه بالایی از قابلیت شخصی سازی نیاز دارند – حتی اگر بر قابلیت استفاده تأثیر منفی بگذارد.
نرخ مثبت و منفی کاذب معمولی کدامند؟
میزان مثبت کاذب ، درصد ایمیل های خوش خیم است که به اشتباه به عنوان مخرب طبقه بندی می شوند . به همین ترتیب ، یک نرخ منفی کاذب ، درصد ایمیل های مخربی است که به اشتباه به عنوان خوش خیم دسته بندی شده اند. در حالت ایده آل ، نرخ های مثبت و منفی کاذب باید تا حد ممکن پایین باشند ، اما به صفر رساندن این نرخ ها غیرممکن است. هیچ فناوری تشخیصی کامل نیست و چیزی که یک نرخ را کاهش می دهد اغلب باعث افزایش نرخ دیگر می شود.
از آنجا که هر دروازه امنیتی ایمیل از چندین تکنیک شناسایی به طور موازی با یکدیگر استفاده می کند ، به طور کلی گزارش کلی نرخ مثبت و منفی کاذب برای کل دروازه مفید نیست. در عوض ، فروشندگان نرخ های معمول برای هر نوع تهدید را ارائه می دهند – شناسایی هرزنامه ، شناسایی بدافزار و تشخیص فیشینگ ، از جمله موارد دیگر.
یک سازمان باید بتواند روش های تشخیص دروازه را “تنظیم” کند تا نرخ ها را افزایش یا کاهش دهد تا دروازه تعادل نرخ های مطلوبی داشته باشد. به عنوان مثال ممکن است یک تجارت بتواند نرخ منفی کاذب نسبتاً بالا را تحمل کند تا به یک نرخ مثبت کاذب بسیار پایین دست یابد.
آیا پیام ها یا پیوست های ایمیل در سیستم خارجی پردازش یا ذخیره می شوند؟
برخی از درگاه های امنیتی ایمیل سرویس های مبتنی بر ابر هستند . با استفاده از این محصولات ، ایمیل های سازمان از طریق یک سیستم خارجی عبور می کنند. برخی از دروازه های امنیت ایمیل در محل ، سخت افزار و لوازم مجازی ، ممکن است پیام های مشکوک را برای تجزیه و تحلیل بیشتر به سرور کنترل شده توسط فروشنده دروازه هدایت کنند.
انتقال ایمیل به سرور خارجی برای پردازش یا ذخیره سازی ممکن است برای برخی از سازمان ها یک خطر غیرقابل قبول باشد ، به خصوص اگر دروازه ها در حال تجزیه و تحلیل پیام های ایمیل داخلی هستند. این می تواند باعث شود که فروشنده دروازه امنیتی ایمیل به داده های حساس دسترسی پیدا کند و سهواً یا عمداً آنها را در معرض نقض قرار دهد. به همین ترتیب ، اگر سرور فروشنده به خطر بیفتد ، داده های حساس نیز می توانند به خطر بیفتند.
ممکن است سازمانهایی که نیاز ویژه آنها برای محافظت از محرمانه بودن ایمیلهایشان که رمزگذاری نشده اند ، محافظت کنند ، ممکن است بخواهند به جای خدمات مبتنی بر ابر ، درگاههای امنیتی ایمیل در سایت را در نظر بگیرند.
یکی دیگر از موارد استفاده از سیستم های خارجی این است که قوانین امنیت و حریم خصوصی و سایر الزامات ممکن است در حوزه های قضایی متفاوت باشد.
فرض کنید سازمانی از یک ارائه دهنده دروازه امنیت ایمیل مبتنی بر ابر خدمات خریداری می کند. اگر این ارائه دهنده دارای امکانات ابری باشد که در چندین حوزه قضایی قانونی ، به ویژه کشورهای مختلف تنظیم شده است ، ممکن است پیام های ایمیل تحت قوانین مختلفی باشد ، که ممکن است استفاده از کنترل های امنیتی و حریم خصوصی اضافی یا متفاوت را ضروری کند. همچنین ممکن است خطرات مختلفی را به همراه داشته باشد – به عنوان مثال ، یک دولت خارجی ممکن است اختیار دسترسی به ایمیل سازمان را در سرورهای فروشنده در آن کشور داشته باشد.
تکالیف خود را انجام دهید و ارزیابی کنید
تلاش برای ارزیابی محصولات و خدمات دروازه امنیت ایمیل در صورت وجود گزینه های بسیار زیاد ، طاقت فرسا است. تعریف معیارهای اساسی برای ارزیابی ، گام مفیدی در تحلیل احتمالات است. هیچ محصول مناسبی برای همه سازمانها وجود ندارد. هرکدام دارای شرایط امنیتی خاص خود ، زیرساخت ایمیل و محیط IT و همچنین ترکیبی متفاوت از تهدیدات علیه خود هستند.
این موضوع تأکید می کند که چرا انجام هر ارزیابی از دروازه امنیت ایمیل خود برای هر سازمانی بسیار مهم است. اتکا به ارزیابی های شخص ثالث برای انجام بهترین انتخاب کافی نیست ، اگرچه چنین ارزیابی هایی می توانند ورودی ارزشمندی را فراهم کنند.
این مقاله معیارهای مختلفی را ارائه می کند که به عنوان نقطه شروع یک سازمان برای تهیه لیست جامع تری از معیارهای خود در نظر گرفته شده است. هر سازمانی باید کلیه الزامات منحصر به فرد خود از جمله قوانین قابل اجرا ، مقررات و سایر نیازهای انطباق را در نظر بگیرد.
What secure email gateways can do for your enterprise
5 best practices to choose the right email security software
Examine the five best practices and most important criteria for evaluating email security software products and deploying them in your enterprise.
Email security gateways monitor an organization’s inbound and outbound email traffic for unwanted or malicious messages. These products block or quarantine malware, phishing attacks and spam as their core functionality, but many also offer data loss prevention and email encryption capabilities for outbound email. Many email security gateway products and services available meet the needs of virtually every organization. Trying to select one product or service from the many available options, however, can be a daunting task. As part of an email security gateway evaluation, an organization should develop a set of criteria, such as a list of questions, to answer for each evaluated product through research, vendor discussions, product testing or other means.
This article provides several potential criteria that should be included in an email security gateway evaluation.
How advanced are basic security functions?
Every email security gateway should protect the organization from bad email: those that contain malware, phishing attempts and spam. However, this doesn’t mean that an email security gateway product should just offer basic antivirus, antispam and antiphishing capabilities. Technologies based on this old generation of antimalware controls are not very effective against current threats.
Instead, an organization should look for more advanced antivirus, antispam and antiphishing technologies. For example, malware detection should use sandboxing and other advanced techniques to evaluate files for possible malicious behavior. Simply using signature-based techniques for malware detection, such as antivirus signatures, is not sufficient anymore.
Providers of email security gateways generally offer sandboxing and other advanced techniques through subscriptions to other products.
Barracuda Networks Inc., for example, offers sandboxing for its email security gateway with a separate subscription to its Advanced Threat Protection (ATP) product. ATP protects against advanced malware, zero-day exploits and targeted attacks not detected by the virus scanning features of the Barracuda Email Security Gateway.
Ideally, basic security functions should also utilize up-to-date threat intelligence. Threat intelligence is information collected by a security vendor about current and recent threats, such as the IP addresses of hosts performing attacks or the URLs of malicious domains.
By incorporating threat intelligence services and advanced detection techniques, an email security gateway can be much more effective at detecting malicious emails, assuming that the threat intelligence is kept current at all times — e.g., updated every few minutes.
Mimecast Services claims that its email security gateway, which is built on a single cloud platform, offers better security and system performance through constantly updated threat intelligence.
What other security features do email security gateways offer?
Some gateways only offer the basic security functions discussed above. However, gateways are increasingly offering additional email-related security functions, particularly data loss prevention (DLP) and email encryption capabilities for outbound emails.
For many organizations, especially larger enterprises, these additional functions are irrelevant, because the organization already has enterprise DLP and email encryption capabilities. But for organizations without these capabilities, adding DLP and email encryption options to an email security gateway — often for an additional fee — can be a cost-effective and streamlined way to add these capabilities to the enterprise.
How usable and customizable are the management features?
Usability is an obvious plus for email security gateway management. The easier a gateway is to manage on a daily basis, the more likely that admins can manage it properly and — therefore — the more effective it will be. However, the importance of customizability shouldn’t be overlooked.
Although organizations may not want to spend significant time customizing their email security gateways, doing so can improve detection capabilities, as well as enhance the management process itself by customizing administrator dashboards, gateway reports and other aspects of the gateway.
The needs for usability and customizability of gateway management vary widely among organizations. High-risk organizations require a high degree of customizability in order to make detection as advanced as possible — even if it negatively affects usability.
What are the typical false positive and negative rates?
A false positive rate is the percentage of benign emails that are incorrectly classified as malicious. Similarly, a false negative rate is the percentage of malicious emails that are incorrectly classified as benign. Ideally, false positive and negative rates should be as low as possible, but it is impossible to get these rates all the way down to zero. No detection technology is perfect, and something that lowers one rate often causes the other rate to increase.
Since each email security gateway uses several detection techniques in parallel with each other, it’s not generally helpful to report overall false positive and negative rates for the entire gateway. Instead, vendors provide typical rates for each threat type — spam detection, malware detection and phishing detection, among others.
An organization should be able to “tune” the gateway’s detection methodologies to raise or lower the rates so the gateway has the desired balance of rates. One business might be able to tolerate a relatively high false negative rate in order to achieve a very low false positive rate, for example.
Are email messages or attachments processed or stored in an external system?
Some email security gateways are cloud-based services. With these products, the organization’s emails will pass through an external system. Some on-site email security gateways, hardware and virtual appliances, may route suspicious messages to a server controlled by the gateway vendor for additional analysis.
Transferring email to an external server for processing or storage may be an unacceptable risk for some organizations, particularly if gateways are analyzing internal email messages. This could cause the email security gateway vendor to access sensitive data and inadvertently or intentionally expose it to breach. Similarly, if the vendor’s server is compromised, the sensitive data could be compromised as well.
Organizations with particularly high needs to protect the confidentiality of their emails that aren’t encrypted may want to consider acquiring on-site email security gateways instead of cloud-based services.
Another consideration for the use of external systems is that security and privacy laws and other requirements may differ among jurisdictions.
Suppose an organization purchases services from a cloud-based email security gateway provider. If this provider has cloud facilities set up in multiple legal jurisdictions, particularly different countries, the email messages may be subject to different laws, which may necessitate the use of additional or different security and privacy controls. It may also pose different risks — for example, a foreign government might have the authority to access the organization’s email on the vendor’s servers within that country.
Do your homework and evaluate
It can be overwhelming to try to evaluate email security gateway products and services when so many options are available. Defining basic criteria for evaluation is a helpful step in analyzing the possibilities. There is no right product for all organizations. Each has its own security requirements, email infrastructure and IT environment, as well as a different combination of threats against it.
This underscores why it is so important for each organization to do its own email security gateway evaluation. Simply relying on third-party evaluations is not sufficient to make the best selection, although such evaluations can provide valuable input.
This article presents several criteria, which are meant as a starting point for an organization to develop its own more comprehensive list of criteria. Each organization should consider all of its unique requirements, including applicable laws, regulations and other compliance needs