Ce rapport traite de Microsoft 365 et de son produit Defender pour le courrier électronique.
En général, Microsoft 365 est un service très sécurisé. C'est le résultat d'un investissement massif et continu de Microsoft. En fait, c'est l'un des services SaaS les plus sécurisés du marché. Ce rapport n'indique pas le contraire.
Ce que ce rapport note, c'est le défi que Microsoft a. En tant que sécurité par défaut pour la plupart des organisations, de nombreux pirates considèrent le courrier électronique et Microsoft 365 comme leurs points de compromis initiaux. Un bon exemple de la façon dont les pirates se concentrent sur Microsoft 365vient dans une série de blogs de Microsoft qui détaille les tentatives d'un groupe parrainé par l'État pour compromettre leurs services.
Tour d'horizons de la Sécurité Mobile en 2015 et prédictions 2016
AGILLY-sécurisez vos emails, qui le fait le mieux ?(1).pdf
1. VOUS MÉRITEZ LA MEILLEURE SÉCURITÉ
GARDEZ VOS E-MAILS SÉCURISÉS :
QUI LE FAIT LE MIEUX ?
UNE ANALYSE SPÉCIALE
Traduit de Anglais vers Français - www.onlinedoctranslator.com
2. GARDEZ VOS E-MAILS SÉCURISÉS :
QUI LE FAIT LE MIEUX ?
2
À propos de ce rapport
Ce rapport traite de Microsoft 365 et de son produit Defender pour le courrier électronique.
En général, Microsoft 365 est un service très sécurisé. C'est le résultat d'un
investissement massif et continu de Microsoft. En fait, c'est l'un des services SaaS les
plus sécurisés du marché. Ce rapport n'indique pas le contraire.
Ce que ce rapport note, c'est le défi que Microsoft a. En tant que sécurité par défaut pour la plupart des
organisations, de nombreux pirates considèrent le courrier électronique et Microsoft 365 comme leurs points de
compromis initiaux. Un bon exemple de la façon dont les pirates se concentrent sur Microsoft 365vient dans une
série de blogs de Microsoft qui détaille les tentatives d'un groupe parrainé par l'État pour compromettre leurs
services.
Avant de déclencher une attaque, les pirates testeront et vérifieront qu'ils sont capables de contourner la
sécurité par défaut de Microsoft. En d'autres termes, ils élaborent des attaques spécialement conçues pour
tirer parti du contournement de Microsoft et atterrir dans la boîte de réception de l'utilisateur. C'est
probablement la raison pour laquelle nous constatons un pourcentage plus élevé d'attaques contournant la
sécurité de Microsoft. En fait, Check Point ne voit pas les attaques que Microsoft bloques. Nous ne voyons que
les attaques qui contournent la sécurité de Microsoft.
Dans ce contexte, lorsque notre analyse démontre qu'un pourcentage plus élevé d'attaques contournent la
sécurité de Microsoft, il est important de noter que cela ne signifie pas que la sécurité de Microsoft s'est
détériorée. Cela signifie que les pirates sont devenus meilleurs, plus rapides et ont appris plus de
méthodes pour obscurcir et contourner la sécurité par défaut.
Pour cette raison, Check Point a choisi une architecture pour la sécurité des e-mails dans le cloud qui ajoute une
couche au-dessus de la sécurité de Microsoft, plutôt que de la remplacer. C'est pourquoi nos experts en sécurité
recommandent à nos clients d'ajouter une couche de sécurité supplémentaire en plus de leur service de messagerie
cloud par défaut.
3. GARDEZ VOS E-MAILS SÉCURISÉS :
QUI LE FAIT LE MIEUX ?
3
Les résultats
Check Point a constaté que18,8 % des e-mails de phishinga contourné à la fois Microsoft Exchange Online Protection
(EOP) et Defender et a atteint la boîte de réception d'un utilisateur.
Cette augmentation peut être due à plusieurs facteurs. D'une part, nous avons effectué notre analyse précédente avant
COVID-19. Depuis lors, le nombre d'attaques a augmenté de près de 100 %, avec un accent particulier sur les campagnes
de phishing sophistiquées qui contournent la sécurité intégrée.
De plus, l'architecture unique de Check Point lui permet d'apprendre des e-mails spécifiques que Microsoft manque. Il s'agit
souvent d'attaques très ciblées conçues spécifiquement pour contourner les protections de Microsoft. Cette augmentation est
due en partie aux pirates ciblant agressivement Microsoft avec des attaques spécifiques et sophistiquées. Étant donné que
Microsoft est la valeur par défaut pour tant de personnes, les pirates savent qu'ils peuvent cibler le plus grand nombre
d'utilisateurs en pointant leurs armes sur Microsoft. Le volume et la sophistication sont inégalés. Ainsi, le nombre plus élevé
d'e-mails contournés reflète un effort concret et ciblé des pirates du monde entier pour développer des outils qui se
présenteront aux utilisateurs de Microsoft. Les e-mails qui contournent Microsoft sont donc incroyablement sophistiqués et
évasifs.
Par exemple, Microsoft Defender a publié l'e-mail du monde réel illustré ci-dessous et l'a envoyé dans la boîte de réception d'un
utilisateur final. Il décrit une proposition commerciale. Bien que cet e-mail ne ressemble pas à une attaque de phishing
traditionnelle, le fichier joint au document est un document Excel infesté de macros. L'analyse du fichier infecté par Check Point
Research montre qu'il est malveillant et qu'il représente un risque critique pour la sécurité.
4. GARDEZ VOS E-MAILS SÉCURISÉS :
QUI LE FAIT LE MIEUX ?
4
Dans le reste de ce rapport, nous offrirons des données sur l'efficacité de Defender et explorerons comment Defender se
comporte dans des organisations de différentes tailles. Nous examinerons de près comment le phénomène "Dumpster
Diving" continue de nuire aux organisations et montrerons comment Defender se comporte contre divers types de phishing.
Et enfin, nous résumerons comment ces chiffres affectent votre SOC et votre entreprise.
Ce rapport n'est pas nécessairement représentatif de tous les environnements Defender car il est issu de l'analyse des clients qui
disposent également de la solution de sécurité des e-mails Check Point. Nous pensons que l'ensemble de données est un échantillon
statistiquement significatif de clients Microsoft 365 avec une certaine variance dans les résultats pour différentes organisations. Les
résultats doivent être considérés comme un guide général de l'efficacité de Microsoft.
Comment nous avons analysé les données
Check Point a analysé près de 3 000 000 d'e-mails scannés par les produits de sécurité Microsoft et Check Point en une
semaine. Les organisations de notre échantillon variaient en taille de 500 à 20 000 utilisateurs. Ces organisations
appartenaient à différentes industries et étaient situées dans toutes les régions des États-Unis.
Nous avons choisi ces organisations car elles exécutent à la fois Microsoft Defender et Check Point Email and Collaboration
Security. De nombreuses entreprises choisissent ce modèle de déploiement avec Check Point Email and Collaboration Security
comme dernière couche avant la boîte de réception de l'utilisateur final. Étant donné que Check Point s'exécute en ligne derrière
Defender et se connecte via l'API, nous pouvons examiner les éléments suivants pour faciliter les classifications :
5. GARDEZ VOS E-MAILS SÉCURISÉS :
QUI LE FAIT LE MIEUX ?
5
• En-têtes d'e-mail ajoutés par Defender après l'analyse des fichiers mais avant qu'ils ne soient mis en quarantaine, indésirables ou dans les
boîtes de réception des utilisateurs
• Journaux d'événements Defender
Nous avons ensuite examiné les messages que Check Point classait comme hameçonnage, mais pas Microsoft Defender. Sans Check
Point, ces e-mails auraient été déposés dans la boîte de réception ou dans le dossier de courrier indésirable. Le nombre d'e-mails
classés comme hameçonnage par Check Point divisé par le volume total d'e-mails nous donne le pourcentage d'e-mails de phishing
manqués.
Lale taux de phishing manqué pour Microsoft Defender est de 18,8 %. Dans la dernière analyse de Check Point en 2020, nous avons
constaté que 10,8 % des e-mails malveillants atteignent la boîte de réception de l'utilisateur. Depuis 2020, les taux de phishing manqués de
Defender ontjeaugmenté de 74%.
Le taux d'hameçonnage manqué de Defender est plus élevé dans
les grandes organisations
Notre analyse a révélé que Microsoft Defender manquait plus d'e-mails de phishing lorsqu'il était déployé dans de plus grandes
organisations. Le taux d'hameçonnage manqué pour deux grandes organisations dans notre recherche était de 50 à 70 %.
Il s'agit d'un changement par rapport à notre analyse de 2020. En 2020, nous n'avons trouvé aucune corrélation entre la taille de l'entreprise et
le taux d'hameçonnage manqué. Dans l'analyse de 2020, une organisation comptant 53 000 utilisateurs avait un taux d'échec de 2,6 %. Une
autre entreprise avec 279 utilisateurs avait un taux de 17,4 %.
Plusieurs facteurs peuvent jouer ici. Nous avons effectué notre analyse de 2020 juste avant la pandémie de COVID-19.
Aujourd'hui, de plus en plus d'employés travaillent à domicile, le volume d'attaques a augmenté et les demandes de
compromission des e-mails professionnels (BEC) et de rançongiciels font la une des journaux dans le monde entier.
Pour des raisons que nous aborderons plus loin dans le rapport, le type d'attaques utilisées par les acteurs malveillants évolue. Notre analyse a révélé
que les attaques financières ciblées sont spécifiquement conçues pour contourner Defender. Les attaques de phishing basées sur la finance font
référence à de nombreux types d'e-mails, notamment les escroqueries aux fausses factures, les transferts frauduleux de Bitcoin, les fausses propositions
commerciales, les fausses demandes de virement bancaire, etc. Le défenseur rate 42 % de ces types d'attaques.
En général, les grandes organisations sont inondées d'attaques financières. Selon leDonnées Verizon BAtteindre le
rapport d'enquête , les attaques à motivation financière sont les plus courantes. Les deux termes les plus courants liés à
la cybercriminalité sur les forums criminels sont « compte bancaire » et « carte de crédit ».
6. GARDEZ VOS E-MAILS SÉCURISÉS :
QUI LE FAIT LE MIEUX ?
6
Les problèmes de plongée dans la benne
Une autre partie de notre analyse comprenait les e-mails que Defender a transmis au dossier de courrier indésirable d'un utilisateur.
En mai 2020 Point de contrôlea inventé le terme Dumpster Diving . Cela fait référence à la pratique selon laquelle les e-mails
marketing, les abonnements et les attaques de phishing ciblées sont mélangés dans le dossier Junk, ce qui les rend immédiatement
accessibles à l'utilisateur final. De nombreuses organisations envoient toutes les détections Defender dans le dossier Junk. Ils jugent
cela préférable à l'envoi de détections Defender en quarantaine car cela réduit le risque de bloquer des e-mails légitimes.
Nous avons constaté qu'en moyenne, Defender envoie 7 % des messages de phishing dans le dossier Junk. Les utilisateurs finaux
s'habituent à plonger dans la benne à ordures dans le dossier Junk pour les messages légitimes. Les utilisateurs peuvent agir sur
un e-mail de phishing par erreur avec de nombreux e-mails à parcourir dans le dossier indésirable sans distinction entre le trésor et
la corbeille.
Comment Defender se comporte face à différentes menaces
Chaque message de phishing appartient à une catégorie. Certains sont purement de l'ingénierie sociale. D'autres essaient d'obtenir
des informations financières. Check Point peut classer et voir comment Defender fonctionne contre différents types de phishing.
Catégories de Phish qui Deffinirratés
7. GARDEZ VOS E-MAILS SÉCURISÉS :
QUI LE FAIT LE MIEUX ?
sept
En guise de bref aperçu, voici de brèves définitions de ces types de phishing :
• Finance:Cette catégorie fait référence aux attaques ayant à faireavecde l'argent, allant des escroqueries au bitcoin à la fraude sur facture, en
passant par les faux virements électroniques et plus encore
• Usurpation d'identité :Cette catégorie fait référence aux e-mails de phishing qui semblent provenir d'une
marque populaire et légitime
• Collecte des identifiants :Il s'agit d'une vaste catégorie qui fait référence aux types d'e-mails de phishing dans le but général de
voler des noms d'utilisateur et des mots de passe.
• Ingénierie sociale:Il s'agit d'une autre grande catégorie qui fait référence à l'idée que des pirates incitent un utilisateur à
faire quelque chose qu'il ne veut pas faire.
• Compromis des e-mails professionnels :Business Email Compromise (BEC) est une forme d'attaque populaire qui voit un
pirate se faire passer pour un dirigeant, demandant à un subalterne une action urgente
• Taxes :Il s'agit d'un sous-ensemble de phishing qui profite des craintes fiscales pour extraire de l'argent
Comme indiqué précédemment, les attaques financières ciblées réussissent souvent contre Defender. Cette vaste catégorie
comprend tout ce qui implique de l'argent - fausses factures, transferts de bitcoins, etc. Ces escroqueries ont tendance à toucher
l'espace de l'entreprise en plus grande quantité.
L'e-mail ci-dessous montre un exemple d'arnaque financière manquée par Defender. Si un utilisateur clique sur le prétendu
lien de la proposition commerciale, il le redirige vers un faux portail Microsoft 365. Il y a quelques 'tells' dans l'e-mail. Dans le
corps, notez comment un zéro est utilisé à la place de la lettre « o » dans le sujet. Par exemple:
8. Après avoir cliqué, les utilisateurs sont dirigés vers cette page. Faites attention à l'URL et au texte décentré.
Remarquez comment cette usurpation d'une page de connexion Microsoft a une URL aléatoire.
9. GARDEZ VOS E-MAILS SÉCURISÉS :
QUI LE FAIT LE MIEUX ?
9
L'usurpation d'identité de marque est une autre méthode choisie par les pirates pour contourner Defender. Ce sont des e-mails
qui prétendent provenir d'une marque bien connue mais qui sont un pirate essayant d'obtenir des informations. Dans cette
attaque, les pirates usurpent Best Buy. Cependant, l'adresse de réponse offre quelques indices quant à sa légitimité.
Enfin, les attaques de collecte d'informations d'identification ont été couronnées de succès contre Defender. L'idée est de voler quelque chose
à l'utilisateur final. Ces attaques vont des tentatives de récolte des identifiants de connexion Microsoft 365 à quelque chose de plus
sophistiqué, comme l'attaque vue ci-dessous.
Dans cette attaque, l'utilisateur final voit un e-mail de ce qui semble être PayPal. Il montre un achat de 509,49 $. En bas, il
incite les destinataires à appeler un numéro de téléphone s'ils ne reconnaissent pas la transaction. Lorsqu'ils appellent le
numéro, il est acheminé vers un « représentant de l'assistance » qui demande des informations bancaires.
10. GARDEZ VOS E-MAILS SÉCURISÉS :
QUI LE FAIT LE MIEUX ?
dix
L'impact sur le SOC
La plate-forme Email and Collaboration Security de Check Point est la seule solution de sécurité capable d'empêcher le contenu malveillant
d'atteindre la boîte de réception d'un utilisateur. Check Point fonctionne "Inline", ce qui signifie que la plate-forme analyse tous les e-mails
et pièces jointes avant qu'ils n'atteignent le compte d'un utilisateur. La plate-forme analyse les contenus potentiellement malveillants à
l'aide d'algorithmes d'intelligence artificielle et d'apprentissage automatique, alerte le personnel du SOC lorsqu'un problème est détecté et
met en quarantaine le contenu nuisible.
Comme l'a noté ce rapport, les trois millions d'e-mails analysés par notre équipe de recherche ont utilisé Check Point Inline
avec Microsoft Defender pour détecter ce que Defender a manqué. 95 % des clients de Check Point utilisent le mode en
ligne, ce qui nous donne une visibilité unique sur Microsoft Defender.
Pour évaluer l'impact sur le SOC, nous avons examiné les entreprises utilisant le mode Monitor Only. Dans Monitor Only, le
personnel du SOC sera alerté des problèmes, mais les problèmes devront être évalués et résolus manuellement. La recherche de
Check Point a révélé que manuellementla gestion des problèmes de messagerie prend jusqu'à 23 % du temps du personnel . Ce
travail implique de remédier aux menaces par e-mail, de répondre aux demandes des utilisateurs finaux et plus encore. Dans
certains environnements, ce nombre est encore plus élevé.
Dans les grandes entreprises, le personnel du SOC consacre un pourcentage encore plus important de son temps aux problèmes de
messagerie. Une grande entreprise a vu 910 e-mails de phishing signalés en une semaine. L'équipe informatique n'a pu résoudre que 59
d'entre eux, soit moins de 7 %. Cette organisation a déclaré qu'elle aurait besoin de 16 employés à temps plein pour faire face au problème de
phishing signalé par les utilisateurs.
Au cours de l'année écoulée, nous avons constaté d'énormes problèmes pour le personnel informatique. Une organisation
consacre 879 heures ou 36 jours complets. Une autre organisation consacre 2 500 heures par an à l'examen des rapports
d'e-mails suspects provenant delautilisateur final. C'est l'équivalent de 104 jours. Ce drainage du temps conduit à négliger
d'autres priorités et à épuiser massivement le personnel informatique et d'ingénierie. Et avec des utilisateurs signalant à la
fois des e-mails de phishing réels et imaginaires, le SOC passe beaucoup trop de temps à passer au crible la fumée,
incapable de localiser l'incendie.
Quel défenseur fait bien
En plus des sections décrites ci-dessous, nous avons observé que Defender fait du bon travail avec les logiciels malveillants. Point de
contrôlea trouvé que , avec des logiciels malveillants inconnus, Microsoft attrape 90 %. De plus, Microsoft Defender inclut la
réécriture d'URL, une fonctionnalité clé pour empêcher les attaques au moment du clic. Dans notre analyse, nous avons observé
que, dans les environnements échantillonnés, Defender limitait la quantité de phishing dans les catégories suivantes :
11. GARDEZ VOS E-MAILS SÉCURISÉS :
QUI LE FAIT LE MIEUX ?
11
Usurpation DMARC
DMARC, ou Domain-based Message Authentication, Reporting & Conformance, est une norme de messagerie utilisée pour
authentifier un e-mail. C'est un moyen pour les opérateurs d'identifier les e-mails légitimes. L'idée est d'empêcher les
pirates d'usurper une organisation. Cependant, dans notre analyse, nous avons trouvécedans 2,5 % des cas, lorsque
Defender trouve un cas d'e-mail usurpé et que DMARC a échoué, il l'envoie toujours au dossier de courrier indésirable.
E-mail professionnel compromis
Business Email Compromise (BEC) est l'un des vecteurs d'attaque les plus dynamiques et les plus efficaces. Bien que de
nature simple, cela fonctionne car il utilise une vaste ingénierie sociale et n'inclut aucun logiciel malveillant ou lien
malveillant. En général, l'idée est d'usurper un dirigeant, en demandant à un sous-fifre une faveur urgente. Il peut s'agir
de l'achat de cartes-cadeaux ou d'autres transactions financières. Depuis 2016, les pertes liées au BEC ont totalisé plus de
43 milliards de dollars. Malgré cela, dans notre analyse, Microsoft a réussi à empêcher ces attaques d'atteindre la boîte
de réception, permettant à seulement 2,0 % de ces attaques d'atteindre la boîte de réception.
Defender vs passerelles de messagerie sécurisées
Dans une étude analysant 300 millions d'e-mails, nous avons constaté que Microsoft se situe au milieu du peloton par
rapport au reste de la concurrence, dans ce cas, Secure Email Gateways.
12. GARDEZ VOS E-MAILS SÉCURISÉS :
QUI LE FAIT LE MIEUX ?
12
Pour 100 000 e-mails, le taux de capture des e-mails de phishing de Microsoft est meilleur que certaines passerelles de messagerie
sécurisée et pire que d'autres. Là où Microsoft brille, comme mentionné ci-dessus, ce sont les logiciels malveillants. Après avoir
analysé 360 échantillons de fichiers PDF, DOC, XLS et autres fichiers exécutables malveillants connus et inconnus, nous avons pu
déterminer le taux de capture pour tous les types de fichiers malveillants :
En décomposant encore plus cela, pour les documents Office et PDF malveillants inconnus, l'efficacité de Microsoft est encore plus
élevée :
Lors de l'examen des options de sécurité des e-mails, il est important de prendre en compte l'intégralité de l'offre
d'une solution.