E-mailbeveiliging eindigt niet met je wachtwoord

E-mail is een cruciaal onderdeel van het dagelijkse leven van de meeste mensen, maar er zijn slechts enkele mensen die nadenken over hoe het beveiligd is, behalve dat ze een wachtwoord invoeren om toegang te krijgen tot hun accounts. Welke opties zijn er beschikbaar of zelfs raadzaam om te gebruiken voor het beveiligen van e-mail?

Wat is e-mailbeveiliging?

Voor de doeleinden van dit bericht, definiëren we e-mailbeveiliging met betrekking tot zowel de inhoud van berichten als de accounts die mensen gebruiken voor toegang tot hun e-mails.

E-mailbeveiliging eindigt niet met enkel authenticatie voor toegang tot onze accounts: berichtinhoud kan worden gevalideerd en beveiligd, de identiteit van de verzender kan worden geverifieerd, autorisatie van e-mailafzenders kan worden gehandhaafd en de integriteit en functionaliteit van de e-mailapp zelf kan beter worden beveiligd.

Als je de beheerder van je e-mailaccount bent, heb je uiteraard een andere subgroep met opties dan wanneer je account door iemand anders wordt beheerd. Afhankelijk van je dreigingsmodel, kunnen de opties enigszins verschillen, maar de meesten van ons zouden baat kunnen hebben bij het toevoegen van meer beveiligingsmethoden.

Berichtinhoud beveiligen

Weinig mensen lijken zich ervan bewust te zijn dat het verzenden van een e-mail net zo gevoelig is voor het onderscheppen als het verzenden van een bericht op een ansichtkaart. Gelukkig zijn er verschillende manieren om beveiligingslagen toe te voegen aan het verzenden van een bericht. Eén methode is vergelijkbaar met het plaatsen van een bericht in een envelop; mensen kunnen nog steeds zien waar het bericht vandaan is gekomen en waar het naar toe is gestuurd, evenals de inhoud van het bericht als een indringer het op een bepaald moment in het proces kan onderscheppen (vooral nadat de envelop is geopend). Dit wordt beschouwd als beveiliging op "transportniveau", omdat het de boodschap ten tijde van verzending over het internet helpt te beschermen.

Het is ook mogelijk om het bericht "end-to-end" te beveiligen, wat betekent dat het bericht wordt versleuteld door de verzender voordat het in het netwerk van de ontvanger komt en wordt ontsleuteld. Dit verkort de tijd dat een bericht door een indringer wordt gelezen omdat het niet kan worden gelezen bij verzending of totdat de inhoud wordt ontsleuteld. De indringer moet dan ook beschikken over de decoderingssleutel en de e-mail om toegang te krijgen tot de gegevens in het onderschept bericht.

Beheerders kiezen er vaak voor om beveiliging op transportniveau te implementeren, omdat dit type het meest transparant is voor gebruikers en omdat het meestal geen directe interactie vereist. Als end-to-end codering nodig is, is het een goed idee om technologieën te kiezen die dit proces eenvoudig maken en daarbij beleidsregels te maken die bepalen wanneer dit type codering moet worden gebruikt.

Zorgen voor geldige, passende content

Het is een feit van het moderne leven dat veel van de mails die we in onze inbox ontvangen, bestaat uit content waar we niet op zitten te wachten. Wanneer je de hoeveelheid spam, phishing en malware die wordt verzonden erbij optelt, is er ontzettend veel verkeer dat onwelkom is. De meeste organisaties en e-mailserviceproviders hebben een manier om ongewenst verkeer te filteren en de doorstroming van mails beter te laten verlopen. Afhankelijk van hoeveel risico we willen nemen, zijn er verschillende manieren waarop dit kan worden gedaan.              

De meeste e-mailproviders hanteren een eenvoudige zwarte lijst met bekende spam, phishing en malware om de hoeveelheid ongewenste en kwaadwillende e-mail die hun klanten bereikt, te verminderen. Maar veel organisaties zouden er verstandig aan doen om proactiever te zijn met het filteren van ongewenste content. Je zou ook berichten kunnen beperken op type bijlagen; ofwel toestaan dat alleen die bestanden van een goedgekeurde lijst van veiligere of gebruikelijkere bestandstypen of exclusief ongebruikelijke of risicovolle bestandstypen worden uitgesloten.

Houd er rekening mee dat hoewel veel populaire bestandstypen veiliger lijken, ze nog steeds krachtige macrocode of kwaadwillende bestanden kunnen bevatten. Geen enkel bestandstype kan als volkomen veilig worden beschouwd. Het kan handiger zijn om bestandstypen minder te bekijken in termen van hun potentiële gevaar en meer in termen van hun risiconiveau op de werkstroom. Hoewel veel mensen zaken zoals documenten, spreadsheets of presentaties sturen, hebben maar weinig mensen geldige werkgeschikte redenen om uitvoerbare bestandstypes per e-mail te verzenden of te ontvangen, zodat deze met een minimum aan moeite in de meeste organisaties kunnen worden uitgesloten.

Sommige organisaties kiezen er ook voor om e-mails te screenen of met andere woorden, op onbetrouwbaarheid te controleren, voordat ze ook van hun netwerk worden verzonden, voor malware en/of vertrouwelijke bedrijfsgegevens. De meeste bedrijven houden gevoelige bestanden of informatie bij zoals betaal- of identiteitskaartgegevens, gezondheidsinformatie of vertrouwelijke bedrijfsgegevens en doen er goed aan om de verblijfplaats te loggen. Het kan handig zijn om gateway anti-malwarescanners in te stellen op meer "achterdochtige" instellingen, omdat een mogelijk langzamere scan van bestanden via e-mail minder opvallend of storend zal zijn.

E-mail autorisatie en authenticatie

Het is voor oplichters heel eenvoudig om gebruikers te misleiden via e-mail en hoewel er manieren zijn om dit te beperken, worden de beschikbare opties nog niet veel gebruikt. Deze technieken helpen bij het verifiëren van de berichtinhoud, geven aan welke gebruikers en accounts gemachtigd zijn om vanuit je domein te verzenden en kunnen helpen controleren of e-mailheaders intern consistent zijn.

E-mail autorisatie en authenticatie

Omdat deze autorisatie- en authenticatietechnieken niet vaak worden geïmplementeerd, is de beste toepassing voor de meeste bedrijven om deze methoden te gebruiken om je merkintegriteit te helpen beschermen of bepaalde soorten Zakelijke E-Mail Compromissen (BEC) te voorkomen. Je kunt ze ook gebruiken voor het bijhouden van e-mails die niet goed worden geverifieerd, voor forensische doeleinden.

Gebruik van e-mail autorisatie en authenticatie moet worden beschouwd als onderdeel van een goede administratiehygiëne, zoals het onmiddellijk verwijderen (of tenminste wijzigen van de wachtwoorden) van accounts die niet meer in gebruik zijn (zoals die voorheen tot werknemers behoren die niet langer bij het bedrijf werkzaam zijn).

Accountbeveiliging

De meesten van ons zijn op de hoogte van verificatie voor onze e-mailaccounts, omdat dit het type e-mailbeveiliging is dat de meesten van ons hebben. Een aantal van de andere typen e-mailbeveiliging die we in de vorige paragrafen hebben besproken, zijn deels bedoeld om de schade te verminderen die wordt veroorzaakt door gestolen inloggegevens, wat betekent dat het een enorm probleem is dat een zee aan andere ellende veroorzaakt. Maar multi-factor authenticatie is een ander zeer effectief beschermingsniveau voor toegang tot onze e-mailaccounts.

In plaats van alleen een gebruikersnaam en wachtwoord te verstrekken, wat een enkele "factor" is om te verifiëren dat je bent wie je zegt dat je bent, combineert multi-factor authenticatie deze inloggegevens met een andere methode. Het meest gebruikelijke voorbeeld van een tweede methode is een eenmalige sleutel – vaak verzonden per e-mail of sms of aangemaakt door een app of dongle – die wordt ingevoerd nadat je jouw gebruikersnaam en wachtwoord hebt ingevoerd. Multi-factor authenticatie kan direct gekoppeld worden aan het inlogproces voor een e-mail app, of aan een netwerk-aanmeldproces, afhankelijk van je specifieke behoeften en bedreigingen.

Softwarebeveiliging

Ten slotte is het ook belangrijk om je e-mail te beschermen door regelmatig de software die je gebruikt te updaten, inclusief je besturingssysteem en de app of browser die je gebruikt om toegang te krijgen tot e-mail. Dit zal helpen om kwetsbaarheden op te lossen waarmee aanvallers toegang tot je e-mails kunnen krijgen. Mogelijk wil je dit doen met automatische updatemogelijkheden in de software zelf of in je besturingssysteem, of door direct naar de website van de leverancier te gaan voor downloads.

Een keuze maken

Welke methode je ook kiest om te implementeren, of het nu voor e-mail of computerbeveiliging in het algemeen is, het is belangrijk dat het zaken zijn die mensen in je organisatie kunnen en zullen gebruiken. Dit betekent het observeren van de werkstroom van de mensen die deze technologieën zullen gebruiken, opties kiezen die automatisch worden toegepast of gemakkelijk te gebruiken zijn en vervolgens gebruikers trainen over hoe en wanneer beveiligingsmethoden moeten worden gebruikt.