Rejsen til en ukrypteret e-mail
så når du sender en ukrypteret e-mail, hvor sårbar er du alligevel? Vi har allerede skrevet om rejsen en krypteret e-mail går igennem, fra at komponere et udkast i din e-mail-klient til landing i modtagerens indbakke. Mens stien ser lidt anderledes ud afhængigt af hvilken type kryptering du bruger, er en ting helt sikkert: brug af e-mail-kryptering på klientsiden hjælper med at låse alle de forskellige muligheder, en hacker har for at få adgang til dine data.
antallet af stop, din e — mail gør, når den forlader din indbakke, kan overraske dig, så lad os skrælle lagene tilbage og se, hvad der sker, når du sender en ukrypteret e-mail-og fra en hacker eller cyberspys synspunkt, hvor mange steder du kan opfange den e-mail og stjæle indholdet.
ukrypteret e-mail: hvad kan gå galt
“rejsen til en ukrypteret e-mail er virkelig den omvendte af rejsen til en krypteret e-mail. Hvert lille skridt på vejen har du angrebsvektorer, der måske simpelthen ikke er et problem, hvis du havde sendt en krypteret e-mail,” siger vil Ackerly, medstifter og Chief Technology Officer for Virtru.
det er nemt at tænke på e-mail som en direkte rejse fra punkt A (afsenderens computer) til punkt B (modtageren eller modtagerens computere). Men selv før en ukrypteret e — mail forlader din indbakke, udgør den en trussel mod din datasikkerhed og privatliv-og når den først forlader, passerer den gennem et par pitstop, inden den når sin endelige destination.
“der er tre humle hver e-mail går igennem på vej til en modtager,” siger Ackerly. “Med hvert hop er der måske eller måske ikke en krypteret forbindelse, og den eneste, du kan være sikker på, er det første hop (hvis du bruger e-mail-klient som Gmail, som bruger SSL/TLS til at kryptere e-mail.) “
1. Stop EN: din e-mail-server. “Hvis jeg sender en e-mail med Gmail, er der en forbindelse fra mig til Google,” siger Ackerly. “Det er det første hop, og du kan se, om den forbindelse er krypteret. Alt hvad du skal gøre er at kigge i din adresselinje efter den grønne lås.”
2. Stop to: modtagerens e-mail-server. Derefter kommunikerer Google med, siger Yahoo (hvis jeg sender e-mail til en Yahoo-bruger),” siger Ackerly. “Det er det andet hop.”Og det er det andet sted, din e-mail kan opfanges, hvis din modtagers mailklient ikke bruger e-mail-kryptering.
“dette andet hop er, hvor slutbrugerne ikke har nogen synlighed i processen,” siger Ackerly. “Det er næsten umuligt at se, om forbindelsen mellem din e-mail-udbyder og din modtagers e-mail-udbyder er krypteret eller ej. Google kan gøre alt, hvad de vil kryptere Gmail, men hvis din modtagers udbyder ikke understøtter en krypteret forbindelse, har Google intet andet valg end at slippe det ud i klar tekst. Og det er standard e-mail-tilstand, faktisk. Det er ubeskyttet og læsbart for alle, der får fat i den besked.”
3. Stop Tre: din modtagers computer. “Endelig går e-mailen fra Yahoo korrekt til din modtager, og det er det tredje hop,” siger Ackerly, “og det er et andet sted, din e-mail kan blive kompromitteret.”Når din modtager åbner e-mailen, kan de videresende den til hvem de vil, og skabe en kæde af sårbare punkter.
“det er livet for en ukrypteret e-mail,” siger Ackerly. “Det kan, som med Gmail, krypteres fra et hop til et andet, men i det andet humle kan det eksistere i en ubeskyttet tilstand. Og hvis nogen af de fire enheder, der er forbundet med disse tre humle, begår en fejl, kan dine data blive kompromitteret.”
med så mange potentielle steder kan din ukrypterede e-mail modvirkes, enten af hackere, der ønsker at stjæle dine data, cyberthieves efter din intellektuelle ejendom eller blot nogen snooping, udsigten til ikke at beskytte dine e-mail-meddelelser og vedhæftede filer ser ret skræmmende ud.
og for enhver virksomhed, der svarede til Sony Pictures omkring tidspunktet for deres 2014-hack, blev denne frygt lidt for reel.
din e-mail destination kunne være din vigtigste punkt i svaghed
“noget jeg tror var virkelig unintuitive indtil Sony hack er, at den største trussel mod virksomhedens e-mail sikkerhed er, hvad der sker med e-mail på modtagerens ende,” siger Ackerly. “Det inkluderer både modtagerens computer og modtagervirksomheden, hvis du sender en e-mail til et andet virksomhedssystem.”
Sonys slappe privatlivs — og sikkerhedsvaner, der førte op til det berygtede hack, satte ikke bare Sony i fare-Snapchat endte også i hackernes trådkors i kraft af at have udvekslet ukrypteret e-mail med Sony.”Sony Hack virkelig sætte fokus på sårbarheden af din e-mail destination. CEO for Snapchat sendte e-mail til en rådgiver hos Sony, og da Sonys e-mail-servere blev hacket, satte det alle, de havde udvekslet ukrypteret e-mail, i fare,” siger Ackerly. “Det gælder også SnapChat.”
nogle af disse e-mails omfattede private samtaler mellem Snapchat og Sony Entertainment CEO Michael Lynton, der også fungerer som Snapchat-bestyrelsesmedlem og beskriver Snapchats forretningsambitioner. Planer om at udvide til nye markeder, hemmelige opkøb og ideer til nye funktioner og funktionalitet alle lækket som følge af Sony hack.
“dette massive brud skete ikke, fordi nogen på SnapChat ikke gjorde et godt stykke arbejde,” siger Ackerly. “Det er fordi med ukrypteret e-mail, der er bare en stor iboende risiko. Der er flere parter, der har forældremyndighed over den e-mail, du sender. Du stoler på dem til at gøre deres due diligence for at beskytte deres indhold. Hvis de rod op, du er fanget i nettet.”
sårbarheden på din modtagers computer såvel som deres e — mail-server (hvad enten det er hostet i lokaler, i skyen eller som en del af en tjeneste som Gmail eller Yahoo) kan være din e-mail-sikkerheds undergang-men din egen enhed er heller ikke immun.
hvordan din egen Computer er en trussel mod din e-mail-sikkerhed
en af de største bekymringer virksomheder udtrykker, når de migrerer deres lokale e-mail-løsning (f.eks. Og Outlook, Apple Mail og andre desktop-klienter er stadig meget populære løsninger for virksomheder. Er der ikke noget iboende mindre sikkert ved at være vært for din e-mail i skyen?
ikke nødvendigvis. For det første betyder migrering til Gmail (via Google Apps til arbejde — nu kendt som G Suite) som din virksomheds e-mail-løsning, at du får mindst en smule beskyttelse via e-mail-kryptering, da Google bager SSL/TLS-kryptering i sit e-mail-produkt. Det kan være en ufuldstændig løsning i forhold til klientsiden kryptering-og det vil ikke flyve i forbindelse med visse regulerings — og overholdelsesordninger, som HIPAA eller CJIS — men det er bestemt bedre end ingenting overhovedet.
der er også spørgsmålet om din computer. Hvis du bruger en desktop-e-mail-klient, hvad sker der, hvis din bærbare computer bliver stjålet?
“Hvis du bruger e-mail, især Gmail, har du en lille mængde beskyttelse. Du er faktisk ret sikker med hensyn til at skabe følsomme data på din computer,” siger Ackerly. “Hvis din computer bliver stjålet, og du bruger en desktop — e — mail-klient som Apple Mail, er alle disse e-mail-meddelelser-ikke kun dem, du har sendt, men også dem, du har modtaget-sårbare over for tyveri. De er ikke beskyttet eller krypteret på nogen måde.”
i den forbindelse giver det faktisk meget mening at bruge en e-mail-tjeneste som Gmail, der gemmer dine data eksternt på servere med høj sikkerhed. “Derudover henter desktop-e-mail-programmer ofte hele din indbakke, som kan udgøre en stor del af enten din private eller din virksomheds/professionelle liv, til din enhed.”
medmindre din computer er krypteret, kan det resultere i dyre brud. “Der har været eksempler på, hvor en enkelt læge offentliggør data fra en computer på Internettet, som regel ved en fejltagelse, og det resulterer i millioner og millioner af dollars i HIPAA overtrædelse sanktioner og andre omkostninger. Det kan også ske med desktop-e-mail,” siger Ackerly. “Men med Gmail, når du opretter et udkast eller sender en e-mail, opretter du ikke en kopi på din computer, der derefter kan gå tabt eller lækket. Der er stadig mange kopier, der kan overtrædes — når du først har oprettet et Kladde, fortsætter indholdet nu på en backend — server-men du har ikke nødvendigvis en kopi på din enhed, der kan lækkes eller ‘tabt.”
truslen om brugerfejl (og vigtigheden af beskyttelse mod datatab)
men hacking, overvågning/spionage og tyveri af bærbare computere er ikke de eneste grunde til, at det er usikkert at sende ukrypteret e-mail. Mange gange er den største fjende af din organisations e-mail-privatliv og sikkerhed din organisation selv.
“en af de største faktiske trusler i virksomhedens e-mail-sikkerhed er simpelthen brugerfejl,” siger Ackerly. “Vi taler meget om den’ bevidste skuespiller’, hvad enten det er en ondsindet insider eller en ekstern hacker, der udgør en trussel, men masser af sikkerhedshændelser skyldes fejl.”
den fejl kunne være at skrive den forkerte persons adresse i linjen” til”. Det kunne videresende en e-mail uden at indse, at der er følsomme data begravet i bunden af kæden, under den relevante e-mail, du ønskede at videresende. Evnen til at opdage det og reagere på det er afgørende for at forhindre større e-mail-sikkerhedshændelser i virksomheden.
” dette taler om vigtigheden af Data loss Protection (DLP), og hvorfor Virtru inkluderer DLP i sin e-mail-krypteringsløsning,” siger Ackerly. “E-mail-administratoren kan sige på forhånd,” dette er de ord, der vil give os et sikkerhedsproblem, hvis vi inkluderer dem i e-mail.’Ud over det åbenlyse, som ordene ‘TOP secret’ eller ‘kun for dine øjne’, er der også mønstre, som programmet ser efter i din e-mail, før du sender den.hvis din e-mail f.eks. indeholder et nummer, der er indtastet i Socialsikringsnummermønsteret, eller et 16-cifret nummer, der ligner et kreditkortnummer, vil Virtru faktisk fremhæve det, når du trykker på “Send” og derefter spørge, om du vil sende beskeden som en krypteret e-mail.
“Dette udgør Virtru — udvidelsen, der intelligent scanner dit indhold for disse potentielle sikkerhedsrisici, men alt dette sker i dit plugin-ingen tredjepart har faktisk adgang til dit indhold., “forklarer Ackerly. “Funktionen er lidt ligesom en stavekontrol funktion, men for tab af data. Konceptet med at lede efter meget følsomme data og derefter håndhæve politikken er en kapacitet, som meget få virksomheder har lige nu, fordi dataene gemmes på en server et eller andet sted. Men evnen til at håndhæve disse DLP-beskyttelser er noget, vi har set en masse virksomheder begynde at bede om.”
med DLP stoler du ikke længere på, at brugeren ved, om han skal kryptere eller ej, og forhindrer mange af de ” UPS ” øjeblikke, der kan føre til databrud.
Hvad sker der med krypteret e-mail sendt med Portalsystemer
mens ukrypteret e-mail passerer gennem de tre humle på en e-mail-rejse ubeskyttet, hvad nu hvis du bruger et portalsystem til at sende krypteret e-mail? Du får stadig en begrænset form for beskyttelse, forklarer Ackerly. “Portalen gemmer en ukrypteret version af e-mailen. Mange virksomheder kalder disse portalsystemer ‘krypteret e-mail’, men virkeligheden er, at den virkelig ikke er mere krypteret end en e-mail krypteret med SSL/TLS (som Gmail).”
hvilket betyder, at din e-mail ikke er sikker over hvert hop. “Denne e-mail-udbyder vil holde fast i e-mailen og kun tillade det ukrypterede indhold at gå over en krypteret punkt-til-punkt-forbindelse til modtageren. Virkelig hvad du køber der er en garanti for, at det sidste hop er over en punkt-til-punkt krypteret forbindelse.”
virksomheder opgiver også noget ejerskab af deres eget e-mail-indhold, når de vælger en portalløsning. “Her er afvejningen: du opgiver en anden ukrypteret version af din e-mail til en anden udbyder. I stedet for at Google får e-mailen og sender den ud, giver du den til portaludbyderen,” siger Ackerly. “Ulempen er, at de kan se indholdet — i modsætning til e-mail-kryptering på klientsiden har disse portaludbydere adgang til de underliggende data.”
for ægte beskyttelse på tværs af hvert stop, som din e-mail gennemgår, samt fuld privatlivsejerskab af din organisations indhold, har du brug for en e-mail-krypteringstjeneste på klientsiden som Virtru.
Virtru: Klientkryptering & DLP for at beskytte din e-mail hvert trin på vejen
det er klart, at den rejse, en e-mail gennemgår, fra kladde til modtagerens indbakke (og videre), ser meget anderledes ud, afhængigt af om du ikke bruger nogen kryptering, begrænset kryptering (som med SSL / TLS eller portaler) eller e-mail-kryptering på klientsiden.Virtru Pro giver ikke kun e-mail-kryptering på klientsiden og beskyttelse mod datatab for at holde din krypterede e-mail sikker og privat fra start til slut, men det giver dig detaljeret kontrol over din indbakke. Med videresendelsesstyring kan du sikre dig, at din tilsigtede modtager er den eneste modtager af den e-mail, du sender. Med e-mail tilbagekaldelse, du kan tage tilbage en besked, du måske har sendt ved en fejltagelse. Du kan også indstille udløbsdatoer på din e-mail.Virtru fungerer problemfrit med den e-mail-udbyder, du allerede bruger til at beskytte dine meddelelser og vedhæftede filer, alt sammen med det enkle tryk på en kontakt. Tag ejerskab af dine data i dag og hente Virtru at sende krypteret e-mail.