Sécurité de la messagerie : vers un nouvel état de l'art ! – Episode 2

Dans la première partie de cet état de l’art de la sécurité de la messagerie j’avais évoqué les aspects les aspects de lutte contre la fraude et les mails forgés ainsi que la lutte contre les menaces avancées (APTs).

Dans ce second article je traiterai du rôle du DNS comme outil essentiel dans la sécurité de la messagerie et je développerai l’intérêt des fonctions de CASBs qui commencent à devenir essentielles dans certaines architectures. Je terminerai par la liste des fonctions essentielles que doit comporter un relais sécurisé moderne.

DNS et sécurité de la messagerie

Les fonctions de sécurité des noms de domaine est un sujet déjà ancien. Si SPF, Sender ID et DKIM sont maintenant bien connus, DMARC ne l’est pas encore assez à mon goût. Je profite donc de cet article pour rappeler combien leur implémentation est importante et repose sur les DNS.

Bien sûr tout relais sécurisé bien configurée implémente depuis longtemps une résolution inverse des noms de domaines des expéditeurs. Ce qui est plus nouveau en revanche c’est l’utilisation de plus en plus répandue de la surveillance des noms de domaines proches des noms de domaines que l’on sécurise pour tenter de détecter en amont toute tentative de fraude. Par exemple dans le cas où le relais protège le domaine tartanpion.com, les relais vont identifier et rejeter les messages provenant de noms de domaines proches du domaine légitime comme par exemple t@rtanpion.com ou tartanpi0n.com en se basant sur les informations fournies par les DNS.

Enfin l’utilisation des DNS est clef dans la détection des menaces liées au spam. En effet à partir d’un enregistrement DNS frauduleux il sera particulièrement intéressant pour les entreprises de pouvoir établir la cartographie des autres domaines utilisés par le même pirate. Ainsi en identifiant un domaine de spam il sera possible de détecter et bloquer tous les domaines déposés par la même personne ou entité et bloquer pro activement des domaines encore non signalés comme malveillants.

On ouvre ici de nouvelles perspectives de lutte contre la fraude que j’évoquais dans le précédent article en utilisant les DNS et non un algorithme interne. Les deux solutions ont bien sûr vocation à se compléter.

L’intégration de certaines fonctions des CASBs  

J’ai consacré une série d’articles aux CASBs et à leur utilisation. Dans le cadre de la messagerie deux cas d’usage de ces solutions me paraissent particulièrement intéressants par leur capacité à traiter les données at rest via les connecteurs d’APIs vers les messageries cloud.

Dans le cadre de la lutte contre les APTs, décrit dans le précédent article, les relais sécurisés sont en train d’intégrer rapidement des fonctions de CASBs pour améliorer encore la remédiation. En effet si la Sandbox liée au relais laisse passer un fichier infecté qui est repéré a posteriori par une contre analyse il est particulièrement intéressant que le relais puisse aller détruire le message infecté au moyen des APIs. Bien sûr ceci n’est valable aujourd’hui que pour les messageries cloud mais de type MS365 mais c’est déjà une grande avancée en matière de sécurité. On peut penser que des APIs apparaitront bientôt qui permettront les mêmes usages sur des messageries non cloud.

Autre fonction intéressante des CASBs : le contrôle des données enregistrées pour éviter la diffusion de fichiers confidentiels. Les CASBs vont permettre de bloquer l’envoi par mail de fichiers stockés en contrôlant la conformité des fichiers à la politique de sécurité de l’entreprise mais également les droits accordés aux utilisateurs. A mon sens fonctions de CASB et fonctions de DLP vont fusionner à plus ou moins court terme.

En résumé

Pour moi vous êtes à l’état de l’art de la sécurité de votre messagerie si vous disposez :

• D’un système de réputation multicritères allant plus loin que les RBL (Real time Block List),
• D’un anti spam capable d’analyser ce que le message cherche à vous faire faire ou, en d’autres termes, doté de capacité d’analyse comportementale ;
• D’une fonction de détection du spear-phishing par détection des adresses mails forgées,
• D’un moteur d’analyse des URLs capable de d’analyser non seulement l’URLs lors de la délivrance du message mais également lors du clic de l’utilisateur en réécrivant l’URL pour le rediriger vers un proxy cloud. Comme je l’évoquais l’an dernier, une protection email efficace est maintenant forcément adossée à un filtrage web performant ;
• D’une protection contre les menaces avancées à l’aide d’une Sandbox alliée à une capacité de contre analyse rétrospective des fichiers ayant transité par la solution ;
• De la capacité d’implémenter facilement SPF, DKIM et DMARC ;
• De fonctions de CASB qui vous permettront de contrôler à posteriori les données déjà stockées dans votre messagerie soit pour éliminer une menace soit pour contrôler la diffusion d’informations sensibles.
• De la possibilité à communiquer en TLS avec tout type de messagerie

Tout cela s’accompagne bien sûr :

• d’une interface ergonomique avec possibilité de déléguer l’administration en fonction des besoins ;
• d’un reporting configurable ;
• d’une capacité à s’interfacer avec des outils de SIEM (export des logs en Syslog ou tout format standard du marché) ;
• quarantaine multilingue
• plug in pour les principaux clients de messagerie

Et si en plus de tout cela votre relais vous permet aussi, même si c’est moins fondamental à mes yeux, de :

• lutter contre le Graymail ;
• mettre en œuvre une solution de DLP (Data Leakage Prevention) ;
• chiffrer des mails sortant ;
• parler le STIX and TAXII avec vos autres équipements de sécurité ;

Alors je dirais que votre relais sécurisé de messagerie est à l’état de l’art et que vous êtes correctement protégé !

Philippe

Pour aller plus loin

Sécurité de la messagerie : vers un nouvel état de l'art ! – Episode 1
Les cryptowares deviendront-ils le facteur majeur de pertes de données en 2016
#MobileMalware : Réfléchissez bien avant de cliquer
Cryptowares et ransomwares : quelques évolutions