Si sente parlare sempre più spesso di ICES, acronimo di Integrated Cloud E-mail Security. Ma di cosa si tratta esattamente?
Le e-mail continuano a rimanere un vettore fondamentale per gli attacchi di sicurezza informatica, sia per quanto riguarda il malware che per le minacce derivanti dal furto di credenziali attraverso il phishing. Secondo le stime di Gartner, almeno il 40% degli attacchi ransomware ai danni delle aziende sarebbe causato da problemi di sicurezza sulle e-mail.
I sistemi tradizionali non garantiscono più un adeguato livello di sicurezza, o per farlo richiedono un eccessivo dispendio di risorse. Occorrono pertanto nuovi approcci per garantire la sicurezza delle piattaforme e-mail disponibili in cloud. Il più significativo è con ogni probabilità la ICES (integrated cloud e-mail security) che promette una maggior integrazione rispetto ai sistemi tradizionali, evitando in primo luogo i cali di performance dovuti alle deviazioni di traffico necessarie per le procedure di controllo.
Con il supporto della Market Guide for E-mail Security, pubblicata da Gartner nel febbraio 2023, vediamo in cosa consiste la ICES (integrated cloud e-mail security), quali sono le differenze rispetto alle soluzioni ESG (e-mail security gateway) – più note come SEG, acronimo di Secure E-mail Gateway – e quali sono i principali argomenti che un responsabile della sicurezza delle aziende dovrebbe conoscere per assicurare una maggior robustezza alle piattaforme e-mail disponibili in cloud che utilizzano i dipendenti in uno scenario di lavoro ibrido.
ICES: cos’è quali vantaggi comporta rispetto alle tradizionali soluzioni SEG (secure e-mail gateway)
Preso atto dei rischi derivanti dalla crescente migrazione in cloud dei sistemi per l’utilizzo e la gestione della posta elettronica, i principali cloud e-mail provider, Microsoft e Google, hanno nel tempo iniziato a proporre soluzioni più avanzate, in grado di garantire funzioni di igiene informatica nativamente integrate nel software.
Tale approccio, come vedremo, garantisce una serie di vantaggi che lo rende in molti casi preferibile rispetto al gateway tradizionale, al punto che gli esperti lo vedono come il modello di sicurezza che sarà capace di imporsi sul mercato in una prospettiva di medio termine.
Tali soluzioni, note come ICES (integrated cloud e-mail security), impiegano direttamente le API per accedere al servizio del cloud e-mail provider e analizzare il contenuto delle mail, senza la necessità di variare il record MX (mail Exchange), come avviene nel caso dei tradizionali gateway.
Secondo Gartner, che ha recentemente svolto un’analisi dettagliata sul mercato della e-mail security:
“Le soluzioni integrate vanno oltre il semplice blocco dei contenuti dannosi e forniscono agli utenti prompt che possono aiutare a rafforzare la formazione sulla consapevolezza della sicurezza, oltre a fornire il rilevamento degli account interni compromessi”.
In un primo periodo, le soluzioni ICES venivano rilasciate quali servizi supplementari rispetto alle soluzioni gateway esistenti. Data la loro efficienza, oggi i principali cloud e-mail providers stanno iniziando a rimpiazzare i tradizionali servizi SEG (secure e-mail gateway).
Le soluzioni SEG vengono utilizzate sia per controllare la sicurezza delle e-mail in ingresso e in uscita, con una disponibilità on-premise e in cloud. SEG processa e filtra il traffico SMTP. Il secure e-mail gateway ha caratterizzato per moltissimo tempo lo standard di e-mail security più diffuso, ma il crescente impiego delle piattaforme cloud lo ha reso per certi versi inefficiente. Occorre infatti considerare che:
- Non è distribuito worldwide
- Devia il flusso di posta per analizzare il traffico, variando di conseguenza il record MX
- Se non viene adeguatamente ridondato, costituisce un single point of failure
- L’applicazione comporta una procedura di costante aggiornamento
- Occupa risorse infrastrutturali
Per contro, le moderne soluzioni ICES, grazie all’integrazione con le API, godono di tutti i vantaggi di una soluzione tipicamente cloud native:
- Deploy molto rapido, in quanto non è necessario variare il record MX
- Non necessitano di quarantena, pur mantenendo la possibilità di eseguirla
- Non vi sono applicazioni da aggiornare
- Elevata continuità di servizio, in quanto non avviene una deviazione del traffico della e-mail.
Cloud e-mail security: ICES contro il phishing next-gen
Secondo Gartner, il miglioramento della sicurezza offerto dalle soluzioni ICES di Microsoft e Google ha spinto i cybercriminali ad escogitare metodi sempre più efficaci, aggirando la robustezza della tecnologia per colpire l’anello più debole: gli utilizzatori del servizio, traendolo in inganno con varie tecniche di social engineering, a partire da pagine web fake attraverso cui far inserire delle credenziali di accesso ai servizi legittimi. Secondo il celebre analista, entro il 2026 il furto di credenziali diventerà la forma di phishing più diffusa.
È inoltre opportuno ricordare come il phishing sia utilizzato sia per rubare agli utenti le proprie credenziali di accesso ai servizi critici, come quelli di natura finanziaria, sia quale strumento di diffusione del malware, in particolare per quanto riguarda i sistemi utilizzati dai servizi ransomware-as-a-service.
Entrambe queste minacce puntano a generare un errore umano, pertanto sono molto difficili da rilevare con i sistemi tradizionali, in quanto non prevedono, almeno all’origine, la presenza di codice malevolo da ispezionare. Per affrontare con successo i tentativi di frode del social engineering sono dunque necessari approcci innovativi, che al di là della componente informatica, spesso assolutamente legittima, siano capaci di analizzare le anomalie nel comportamento.
Per questo motivo i moderni sistemi di e-mail security come ICES sfruttano un mix di tecniche di monitoraggio e rilevamento avanzate, basate su tecniche cognitive come NLU e NLP, social graph analysis e image recognition. Grazie a questi innovativi strumenti e altre tecniche di intelligenza artificiale, le soluzioni ICES riescono a proteggere i sistemi informativi grazie all’analisi comportamentale degli utenti, controllando le procedure di accesso in base ai luoghi e ai metodi di autenticazione, per capire se vi siano o meno possibili anomalie rispetto alle soluzioni più frequentemente utilizzate.
Secondo Gartner, i prodotti ICES possono essere categorizzati quali pre-delivery e post-delivery, a seconda della tipologia di API utilizzata.
- ICES pre-delivery: viene implementata quale connettore, con la funzione di intercettare la e-mail prima che questa raggiunga la inbox dell’utente.
- ICES post-delivery: analizza la e-mail dopo la sua consegna, con opzioni che consentono di oscurare il messaggio all’utente finale fino a quando non viene eseguita una scansione completa, ai fini di evitare accessi non sicuri.
ICES: un approccio user friendly alla e-mail security
Tra le varie funzionalità che Gartner ha evidenziato in merito alle soluzioni ICES, vi è un generale approccio ad andare oltre il semplice blocco della posta elettronica con caratteristiche sospette. Va infatti segnalata la possibilità di generare banner contestuali, capaci di avvisare l’utente nel caso in cui venga riscontrata una qualsiasi anomalia in fatto di e-mail security.
Tali funzioni, puntano sull’interazione in tempo reale con l’utente per elevare la sua consapevolezza in materia di igiene informatica. I banner, o altri sistemi di notifica integrati nel client e-mail, puntano in particolar modo a segnalare i possibili eventi di phishing, per generare allarme e attenzione da parte dell’utente.
Cosa fare per rendere più sicura la gestione della e-mail in azienda
Il report Market Guide of E-mail Security di Gartner illustra le dinamiche di questo specifico ramo della cybersecurity, individuando una serie di punti chiave, a cui fa seguire una serie di raccomandazioni per chi si occupa nello specifico di sicurezza all’interno della propria azienda.
Secondo Gartner infatti:
- Mentre le organizzazioni continuano a migrare verso sistemi di posta elettronica in cloud, vengono coinvolte altre piattaforme di collaborazione, introducendo minacce che potrebbero non essere contrastate con successo dagli strumenti di e-mail security vigenti.
- Gli attacchi mediante furto dell’account e dell’identità, a seguito di un BEC (business e-mail compromise) sono in deciso aumento e causano sempre più spesso perdite finanziarie, e sono dovute sostanzialmente all’eccessiva fiducia che gli utenti ripongono nei confronti delle identità associate alle mail, spesso violate attraverso tecniche di social engineering.
- I vendor stanno integrando soluzioni di e-mail security come ICES con altri tool di sicurezza, come SSE (security service edge) e EDR (endpoint detection and response), incrementando le capacità di rilevamento e risposta alle minacce di sicurezza informatica, quale parte della XDR (extended detection and response).
In merito alle raccomandazioni per i responsabili della cybersecurity aziendale, Gartner puntualizza soprattutto tre differenti aspetti:
- Aggiungere alla proprietà native del servizio cloud e-mail utilizzato una soluzione di terze parti, per garantire la protezione nei confronti del phishing, sia nello scenario mobile che quanto riguarda il BEC (business e-mail compromise)
- Scegliere soluzioni di sicurezza per e-mail che includono una tecnologia anti-phishing BEC che si avvale dell’intelligenza artificiale per identificare pattern e stili conversazionali anomali rispetto alla routine, oltre a tool che impiegano la computer vision per ispezionare indirizzi URL sospetti. Gartner suggerisce inoltre di analizzare l’offerta del mercato per selezionare prodotti in grado di fornire una solida supply chain, basata sull’intelligenza artificiale, in grado di correlare efficientemente una grande quantità e varietà di dati comportamentali, ai fini di rilevare con successo attività di social engineering.
- Dare priorità all’integrazione delle API della soluzione di e-mail security per consentire il coinvolgimento degli eventi relativi alle e-mail nel contesto di una strategia XDR più ampia, di un sistema di monitoraggio SIEM (security information and event management), o ancora, di una strategia basata su un SOAR (security orchestration, analytics and reporting).