Kritische Analyse von Microsoft E-Mail Security

Microsoft motiviert die Kunden nach und nach in die Cloud zu gehen, bzw. Microsoft 365 einzusetzen. Da ist die Nutzung von Exchange Online fast zwingend notwendig. Rasch denken anschliessend viele Unternehmen, dass man auch bei der E-Mail Security auf Microsoft setzen könnte.

Als langjähriger Security Experte bin ich da ein wenig skeptisch und lasse am besten namhafte Security Anbieter zu Wort kommen. Sie bieten teilweise schon seit über 15 Jahren tolle Lösungen, um den E-Mail Bereich abzusichern und so die Angriffe, welche auf das «schwächste» Glied der IT-Security zielen – den Menschen bzw. den Mitarbeiter, der auf die Phishing Links klickt oder Attachments mit Malware öffnet.

Microsoft bietet mit Exchange Online Protection (EOP), das schon in allen Microsoft Bundles inkludiert ist, einen sogenannten Basis-Schutz an. Es beinhaltet Schutz vor bekannten Spam- und Phishing E-Mails sowie vor bekannter Malware (siehe hier: Microsoft Defender for Office 365 Datenblatt, abgerufen am 20.03.2023).

Dies ist aber heutzutage nicht mehr ein zeitgemässer Schutz vor neuen, unbekannten Zero-Day-Attacken. Diese kann man nur mittels einer Detonation in einer Sandbox erkennen und abwehren. Zudem ist nicht mehr SPAM das grosse Problem bei der E-Mail Security, sondern die ausgeklügelten Phishing- und sogenannten Business Email Compromise (BEC) Angriffe. Microsoft bietet dafür eine kostenpflichtige Erweiterung der EOP-Lösung mittels Defender for Office 365 Plan 1 (Kosten 24 CHF pro Jahr) mit zusätzlichen Features, wie Safe Attachments, Safe Links, Anti-Phishing sowie Malwareschutz für SharePoint Online, Teams und OneDrive for Business. Diese Lizenz ist auch in den teuren E5- oder Premium-Bundles vorhanden.

Für Unternehmen, die noch mehr Sensibilisierung, sowie eine höhere Sicherheits-Maturität benötigen, bietet Microsoft den Defender for Office 365 Plan 2 (Kosten 60 CHF pro Jahr) an. Dieser beinhaltet keine zusätzlichen Abwehrmassnahmen, sondern vor allem Tools für die Analyse der Angriffe sowie die Automatisierung der Abwehrmassnahmen. Auch ist eine Attack Simulation- und Trainingsfunktion vorhanden, um die Benutzer gegen Phishing und Malware E-Mail Angriffe zu sensibilisieren.

Der Vollständigkeit halber sind noch die Microsoft 365 Defender Lösungen zu erwähnen, welche folgende Lösungen umfasst:

• • Microsoft Defender for Office 365
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps

Es handelt sich dabei um ein Portal, d.h. eine zentrale Ansicht für alle Lösungen und bietet EDR/XDR Funktionen mit produktübergreifenden Automatisierungen an. Das Microsoft 365 Defender Portal ist mit einer E5 Lizenz oder mit dem Defender for Office 365 Plan 2 kostenlos nutzbar.

Gartner hat am 13. Februar 2023 ihren “Market Guide for Email Security” aktualisiert. Sie stellen fest, dass sich Microsoft Mühe gebe, aber für aktuelle Bedrohungen nicht mehr genügend sei. Somit empfehlen sie, weitere E-Mail Sicherheitslösungen einzusetzen. Sie unterscheiden zwischen den folgenden drei Gruppen:

• • Secure Email Gateway (SEG), welche vorgeschaltet sind, d.h. der klassische SMTP Mailgateway
  • Integrated Cloud Email Security (ICES) Lösungen, welche sich via API Calls in Exchange Online einklinken und die E-Mail «abgreifen».
  • Email Data Protection, d.h. z.B. Mailverschlüsselungslösungen wie SEPPmail oder DLP Anbieter

Aktuell setzen 5% der Unternehmen ICES ein, aber bis 2025 sollen es schon 20% sein.

Cisco Security

Gemäss Cisco Security ist die Microsoft Lösung nicht gerade kostengünstig und man vermisst im laufenden Betrieb rasch Funktionen, die man bisher zur Verfügung hatte. Man nutzt bei EOP eine geteilte IP-Adresse und dies hat womöglich Auswirkungen auf den SPF-Record. Detaillierte Regeln in Anti-SPAM existieren dabei nicht. Trotz der aktivierten Sicherheitsfunktionen merken die Kunden häufig ein erhöhtes SPAM Aufkommen. Das Message Tracking ist nur rudimentär (ev. nur als CSV Datei) vorhanden und nur sehr verzögert aufrufbar.

Ein sehr differenzierter englischsprachiger Blog Artikel von Cisco „Do I really need additional email security when using Office 365?“ geht der Frage nach, ob man wirklich weiterhin zusätzliche Email Security Lösungen benötigt.

Das Fazit ist, dass nicht jeder Kunde zusätzliche Sicherheit für M365 benötigt, da jedes Unternehmen unterschiedliche Anforderungen an die Cyber-Sicherheit hat. Man sollte jedoch den aktuellen Bedarf und auch zukünftige Anforderungen berücksichtigen. Die Entscheidung sollte alle Bereiche berücksichtigen, einschliesslich Management und Berichterstellung/Reporting, anstatt nur die Sicherheitsfeatures zu vergleichen.

xorlab

xorlab hat 2021 eine Angriffs-Simulation durchgeführt und gesehen, dass Microsoft Defender for Office 365 fast die Hälfte der Phishing E-Mails in die User Mailbox weitergeleitet hat.

xorlab ActiveGuard bietet nebst der Verwendung von Verhaltensanalyse, Beobachtung der E-Mail Beziehungen sowie Maschinelles Lernen, auch mehr Möglichkeiten, um das Phishing-Management effizienter zu machen und durch Interaktion mit den Usern zu automatisieren.

Auch hat xorlab einen interessanten Artikel zu Microsoft Defender for Office 365 auf tec-bite.ch geschrieben. Die 5 Hauptkritikpunkte sind wie folgt zusammengefasst:

Phishing-Abwehr ist voller Lücken
Microsoft scheint im Bereich Phishing-Abwehr nicht den Erwartungen der Kunden gerecht zu werden. Nur eine nicht erkannte bzw. blockierte Phishing E-Mail kann zu schwerwiegenden Vorfällen führen, auch wenn nur ein Benutzer auf die Phishing E-Mail hereinfällt.

Gezielte Angriffe können ZAP umgehen
Mit Zero-hour auto purge (ZAP) versucht Microsoft, das Problem der falsch negativen Erkennung von bösartigen E-Mails nachträglich zu beheben, indem die E-Mails aus den Postfächern der User gelöscht werden. Doch ZAP hat auch seine Grenzen: es funktioniert nur mit Exchange Online und auch nur innerhalb von 48 Stunden nach der Zustellung des E-Mails. Hybride Umgebungen sowie der bereits infizierte «Patient Zero» können nicht von ZAP profitieren.

Safe Links funktioniert nur mit Office-Dokumenten
Die «Safe Links»-Funktion im Microsoft Defender for Office 365 Plan 1 kann nur Links in Office Dateien analysieren und schützen. PDF Dateien und andere Nicht-Microsoft-Dokumente bleiben aussen vor.

Eingeschränkte Sichtbarkeit und Kontrolle
Angriffe werden zweifellos immer wie raffinierter und setzen die Security Teams zunehmen unter Druck, die Sicherheitsfilter so effizient wie möglich zu konfigurieren, zu verwalten und zu aktualisieren. Allerdings ist es schwierig, EOP neu strikter einzustellen, da Filterrichtlinien nicht an die individuellen Bedürfnisse angepasst werden können. EOP ist eine «Blackbox», über deren interne Funktionen nur begrenzte Informationen verfügbar sind.

Ineffiziente Benutzeroberfläche
Eine integrierte Ansicht auf einem Bildschirm, um erkannte E-Mail-Bedrohungen zu bestätigen und zu priorisieren, ist nicht vorhanden. Analysten müssen daher Zeit investieren um die Informationen zu sammeln, die zur Bestätigung und Priorisierung von Bedrohungen erforderlich sind. Weder Scores noch eine Sortierung der Bedrohungen nach Schweregrad ist vorgesehen, was die tägliche Arbeit erschwert.

Check Point

Check Point Harmony Email & Collaboration Lösung erkennt gemäss Check Point 93x mehr Phishing E-Mails als Microsoft.

Check Point Harmony Email & Collaboration (ehemals Avanan) hat von April 2021 bis Oktober 2021 eine Studie zur Phishing Erkennung durchgeführt und die Anzahl Phishing E-Mails pro 100’000 E-Mails ausgewertet.

Check Point kritisiert auch noch folgende Punkte bei der Microsoft Defender for Office 365 Lösung:

Fehlender Fokus auf Sicherheit
Microsoft ist auf das Cloud-E-Mail-Hosting spezialisiert und nicht auf E-Mail-Sicherheit. Infolgedessen sind ihre E-Mail-Sicherheitslösungen weniger umfassend als eine dedizierte E-Mail-Sicherheitslösung.

Eingeschränkte Sandbox-Erkennung
Integriertes Sandboxing ist nicht in der Lage, fortschrittliche Umgehungstechniken zu erkennen, die von modernen Angriffen verwendet werden.

Nur Dateivorschau mit Dynamic Delivery
Microsofts Dynamic Delivery bietet eine risikofreie Vorschau von Dateien, aber keinen permanenten Zugriff auf ein risikofreies Dokument, das per Content Disarm and Reconstruction (CDR) erstellt wurde.

«Safe Links» bietet nur eine eingeschränkte Abdeckung
Fehlender Schutz innerhalb von Dateien sowie innerhalb von Dynamic Delivery. Darüber hinaus entsteht eine gewisse Latenz, wenn der User auf legitime Webseiten zugreifen will.

Schlechte Benutzererfahrung
Komplexe Richtlinienkontrollen, begrenzte Informationen zu Vorfällen, mehrere Verwaltungsansichten und begrenzte forensische Funktionen für Dateien, die als bösartig identifiziert wurden, führen zu zusätzlichem Ressourcenverbrauch und Arbeitsstunden für die Forensik.

Umgehung von Safe Links durch fehlerhafte URLs
Safe Links kann, gemäss Check Point, durch absichtlich fehlerhafte URLs umgangen werden, da Outlook auf dem Client diese Links automatisch wieder zusammenfügt und so klickbar macht.

Microsoft ist bestrebt, ihre Onlineplattformen, ihre Lösungen und die Daten ihrer Kunden so gut wie möglich abzusichern. Aber IT-Security ist nun mal nicht deren Kerngeschäft und so kann ein Microsoft-Security Kunde nicht mehr erwarten als einen «Basis-Schutz» mit einzelnen Erweiterungen.

Meiner Ansicht nach reicht dies in der heutigen Zeit nicht aus, um ausreichend vor gut gemachten und gezielten Angriffen über E-Mail geschützt zu sein. Moderne Bedrohungen agieren zunehmend komplex, dynamisch, intelligent und sogar KI-gestützt.

Ich empfehle allen deshalb auf die erprobten IT-Security Prinzipien zu setzen:

• • “Best-of-Breed”-Technologien bieten besseren Schutz
  • Secure Email Gateway (SEG) getrennt vom Mailserver (Exchange Online) betreiben
  • Für mehr Security, zusätzlich zu Microsoft eine Integrated Cloud Email Security (ICES) Lösung verwenden
  • Mailsignierung und -verschlüsselung einsetzen

AVANTECs E-Mail Security Portfolio: www.avantec.ch/themen/e-mail-security/