Articles

Resan för ett okrypterat e-postmeddelande

så när du skickar ett okrypterat e-postmeddelande, hur sårbar är du ändå? Vi har redan skrivit om resan ett krypterat e-postmeddelande går igenom, från att skriva ett utkast i din e-postklient till landning i mottagarens inkorg. Medan sökvägen ser lite annorlunda ut beroende på vilken typ av kryptering du använder, är en sak säker: att använda e-postkryptering på klientsidan hjälper till att låsa ner alla olika möjligheter som en hackare har för att komma åt dina data.

antalet stopp som din e-post gör efter att den lämnar din inkorg kan överraska dig, så låt oss dra tillbaka lagren och se vad som händer när du skickar ett okrypterat e — postmeddelande-och, från en hacker eller cyberspys synvinkel, hur många platser du kan fånga upp det e-postmeddelandet och stjäla innehållet.

okrypterad e-post: vad kan gå fel

” resan för ett okrypterat e-postmeddelande är verkligen inversen av resan för ett krypterat e-postmeddelande. Varje litet steg på vägen har du attackvektorer som helt enkelt inte kan vara ett problem om du hade skickat ett krypterat e-postmeddelande”, säger Will Ackerly, medgrundare och Chief Technology Officer för Virtru.

det är lätt att tänka på e-post som en direkt resa från punkt a (avsändarens dator) till punkt B (mottagarens eller mottagarnas datorer). Men även innan ett okrypterat e-postmeddelande lämnar din inkorg, utgör det ett hot mot din datasäkerhet och integritet — och när den lämnar, passerar den genom några gropstopp innan den når sin slutdestination.

”det finns tre hopp varje e-post går igenom på väg till en mottagare”, säger Ackerly. ”Med varje hopp kan det finnas en krypterad anslutning, och den enda du kan vara säker på är den första hoppen (om du använder webmail-klient som Gmail, som använder SSL/TLS för att kryptera e-post.) ”

1. Stoppa en: din e-postserver. ”Om jag skickar ett e-postmeddelande med Gmail finns det en anslutning från mig till Google”, säger Ackerly. ”Det är det första hoppet, och du kan se om den anslutningen är krypterad. Allt du behöver göra är att titta i adressfältet för det gröna låset.”

2. Stoppa två: mottagarens e-postserver. Sedan kommunicerar Google med, säg, Yahoo (om jag skickar e-post till en Yahoo-användare),” säger Ackerly. ”Det är det andra hoppet.”Och det är den andra platsen din e-post kan avlyssnas, om Mottagarens e-postklient inte använder e-postkryptering.

”det här andra hoppet är där slutanvändarna inte har någon synlighet i processen”, säger Ackerly. ”Det är nästan omöjligt att säga om anslutningen mellan din e-postleverantör och mottagarens e-postleverantör är krypterad eller inte. Google kan göra allt de vill kryptera Gmail, men om mottagarens leverantör inte stöder en krypterad anslutning har Google inget annat val än att släppa ut det i klartext. Och det är standard e-post tillstånd, faktiskt. Det är oskyddat och läsbart för alla som får tag i det meddelandet.”

3. Stopp tre: mottagarens dator. ”Slutligen går e-postmeddelandet från Yahoo till din mottagare, och det är det tredje hoppet”, säger Ackerly, ”och det är en annan plats som din e-post kan äventyras.”När din mottagare öppnar e-postmeddelandet kan de vidarebefordra det till vem de vill och skapa en kedja av sårbara punkter.

”det är livet för ett okrypterat e-postmeddelande”, säger Ackerly. ”Det kan, som med Gmail, krypteras från ett hopp till ett annat, men i de andra humlen kan det existera i ett oskyddat tillstånd. Och om någon av de fyra enheterna som är kopplade till dessa tre humle gör ett misstag, kan dina data äventyras.”

Med så många potentiella platser kan din okrypterade e-post motverkas, antingen av hackare som vill stjäla dina data, cyberthieves efter din immateriella egendom eller helt enkelt någon snooping, utsikterna att inte skydda dina e-postmeddelanden och bilagor ser ganska skrämmande ut.

och för varje företag som motsvarade Sony Pictures runt tiden för deras 2014-hack blev den rädslan lite för verklig.

din e-post destination kan vara din viktigaste punkten av svaghet

”något jag tror var verkligen ointuitive tills Sony hacka är att det största hotet mot företagets e-postsäkerhet är vad som händer med e-post på mottagarens slut,” säger Ackerly. ”Det inkluderar både mottagarens dator och mottagarens företag, om du skickar ett e-postmeddelande till ett annat företagssystem.”

Sonys slappa sekretess — och säkerhetsvanor som ledde fram till det ökända hacket satte inte bara Sony i fara-Snapchat hamnade också i hackarnas korsstolar, på grund av att ha utbytt okrypterad e-post med Sony.

”Sony Hack verkligen sätta en spotlight på sårbarheten i din e-post destination. VD för Snapchat skickade e-post till en rådgivare på Sony, och när Sonys e-postservrar hackades satte det alla de hade utbytt okrypterad e-post med risk”, säger Ackerly. ”Och det inkluderade SnapChat.”

några av dessa e-postmeddelanden inkluderade privata konversationer mellan Snapchat och Sony Entertainment VD Michael Lynton, som också fungerar som Snapchat-styrelseledamot och beskriver Snapchats affärsambitioner. Planer på att expandera till nya marknader, hemliga förvärv och ideer för nya funktioner och funktionalitet läckte allt till följd av Sony-hacket.

”detta massiva brott hände inte eftersom någon på SnapChat inte gjorde ett bra jobb”, säger Ackerly. ”Det beror på att med okrypterad e-post finns det bara en hel del inneboende risk. Det finns flera parter som har förvaring av e-postmeddelandet som du skickar. Du litar på dem att göra sin due diligence för att skydda deras innehåll. Om de förstör, Är du fast i nätet.”

sårbarheten hos mottagarens dator, liksom deras e-postserver (oavsett om den är värd på lokaler, i molnet eller som en del av en tjänst som Gmail eller Yahoo) kan vara din e — postsäkerhets undergång-men din egen enhet är inte heller immun.

hur din egen dator är ett hot mot din e-postsäkerhet

ett av de största problemen som företag uttrycker när de migrerar sin lokala e-postlösning (Exchange, till exempel) till molnet är säkerhet. Och Outlook, Apple Mail och andra skrivbordsklienter är fortfarande mycket populära lösningar för företag. Finns det inte något i sig mindre säkert med att vara värd för din e-post i molnet?

inte nödvändigtvis. För det första innebär migrering till Gmail (via Google Apps for Work — nu känt som G Suite) som din e-postlösning för företag att du får åtminstone lite skydd via e-postkryptering, eftersom Google bakar SSL/TLS-kryptering i sin e-postprodukt. Det kan vara en ofullständig lösning jämfört med kryptering på klientsidan-och det kommer inte att flyga i samband med vissa reglerings — och efterlevnadsregimer, som HIPAA eller CJIS — men det är verkligen bättre än ingenting alls.

det finns också problemet med din dator. Om du använder en stationär e-postklient, vad händer om, säg, din bärbara dator är stulen?

” Om du använder webbmail, särskilt Gmail, har du en liten mängd skydd. Du är faktiskt ganska säker när det gäller att skapa känsliga data på din dator,” säger Ackerly. ”Om din dator är stulen och du använder en stationär e — postklient som Apple Mail, är alla dessa e — postmeddelanden-inte bara de du har skickat, men också de du har fått-sårbara för stöld. De är inte skyddade eller krypterade på något sätt.”

i det avseendet är det faktiskt mycket meningsfullt att använda en webbmailtjänst som Gmail, som lagrar dina data på distans på servrar med hög säkerhet. ”Dessutom laddar stationära e-postprogram ofta hela din inkorg, vilket kan utgöra en stor del av antingen ditt privata eller ditt företags/yrkesliv, till din enhet.”

Om inte din dator är krypterad kan det leda till kostsamma överträdelser. ”Det har varit exempel på var en enda läkare publicerar data från en dator på Internet, vanligtvis av misstag, och det resulterar i miljoner och miljoner dollar i HIPAA-överträdelsestraff och andra kostnader. Det kan också hända med stationär e-post”, säger Ackerly. ”Men med webbmailklienter som Gmail, när du skapar ett utkast eller skickar ut ett e-postmeddelande, skapar du inte en kopia på din dator som sedan kan gå vilse eller läckas. Det finns fortfarande många kopior som kan brytas — när du skapar ett utkast, innehållet kvarstår nu på en backend — server-men du kommer inte nödvändigtvis ha en kopia på enheten som kan läckas eller ’förlorade.'”

hotet om användarfel (och vikten av Dataförlustskydd)

men hacking, övervakning/spionage och Bärbar datorstöld är inte de enda anledningarna till att det är osäkert att skicka okrypterad e-post. Många gånger är den största fienden i din organisations e-postsekretess och säkerhet din organisation själv.

”ett av de största faktiska hoten i företagets e-postsäkerhet är helt enkelt användarfel”, säger Ackerly. ”Vi pratar mycket om den ”medvetna skådespelaren”, oavsett om det är en skadlig insider eller en extern hacker, som utgör ett hot, men massor av säkerhetsincidenter beror på misstag.”

det misstaget kan vara att skriva fel persons adress i raden” till”. Det kan vidarebefordra ett e-postmeddelande utan att inse att det finns känsliga data begravda längst ner i kedjan, under det relevanta e-postmeddelandet du ville vidarebefordra. Förmågan att upptäcka det och reagera på det är avgörande för att förhindra stora e-postsäkerhetsincidenter i företaget.

”detta talar om vikten av Dataförlustskydd (DLP), och varför Virtru inkluderar DLP i sin e-postkrypteringslösning”, säger Ackerly. ”E-postadministratören kan säga i förväg,” det här är orden som kommer att orsaka oss ett säkerhetsproblem om vi inkluderar dem i e-post.’Utöver det uppenbara, som orden ’top secret’ eller ’for your eyes only’, finns det också mönster som programvaran letar efter i din e-post innan du skickar den.”

till exempel, om din e-post innehåller ett nummer som skrivs i Socialförsäkringsnummermönstret (xxx-xx-xxxx) eller ett 16-siffrigt nummer som ser ut som ett kreditkortsnummer, kommer Virtru faktiskt att markera det när du trycker på” Skicka ” och sedan fråga om du vill skicka meddelandet som ett krypterat e-postmeddelande.

”detta utgör Virtru-tillägget som intelligent skannar ditt innehåll för dessa potentiella säkerhetsrisker, men allt detta händer i ditt plugin — ingen tredje part har faktiskt tillgång till ditt innehåll., ”förklarar Ackerly. ”Funktionen är ungefär som en stavningskontrollfunktion, men för dataförlust. Konceptet att leta efter mycket känsliga data och sedan tillämpa policyn är en förmåga som väldigt få företag har just nu, eftersom data lagras på en server någonstans. Men förmågan att genomdriva dessa DLP-skydd är något vi har sett mycket företag börja be om.”

med DLP litar du inte längre på användaren att veta om du ska kryptera eller inte, och förhindrar många ”oops” – ögonblick som kan leda till dataöverträdelser.

vad händer med krypterad e-post som skickas med Portalsystem

medan okrypterad e-post passerar genom de tre humlen i ett e-posts resa oskyddad, vad händer om du använder ett portalsystem för att skicka krypterad e-post? Du får fortfarande ett begränsat slags skydd, förklarar Ackerly. ”Portalen lagrar en okrypterad version av e-postmeddelandet. Många företag kallar dessa portalsystem ’krypterad e-post’, men verkligheten är att det verkligen inte är mer krypterat än ett e-postmeddelande krypterat med SSL/TLS (som Gmail).”

vilket betyder att din e-post inte är säker över varje hopp. ”Den e-postleverantören håller fast vid e-postmeddelandet och tillåter bara det okrypterade innehållet att gå över en krypterad punkt-till-punkt-anslutning till mottagaren. Verkligen vad du köper det finns en garanti för att den sista hopp är över en punkt-till-punkt krypterad anslutning.”

dessutom ger företag upp viss äganderätt till sitt eget e-postinnehåll när de väljer en portallösning. ”Här är avvägningen: du ger upp en annan okrypterad version av din e-post till en annan leverantör. Istället för att Google får e-postmeddelandet och skickar det, ger du det till portalleverantören,” säger Ackerly. ”Nackdelen är att de kan se innehållet — till skillnad från e-postkryptering på klientsidan har dessa portalleverantörer tillgång till underliggande data.”

för verkligt skydd över varje stopp som din e-post går igenom, liksom fullständigt integritetsägande av organisationens innehåll, behöver du en e-postkrypteringstjänst på klientsidan som Virtru.

Virtru: Client-Side Encryption & DLP för att skydda din e-post varje steg på vägen

det är uppenbart att resan ett e-postmeddelande går igenom, från utkast till mottagarens inkorg (och bortom), ser mycket annorlunda ut beroende på om du använder ingen kryptering, begränsad kryptering (som med SSL/TLS eller portaler) eller klientsidan e-postkryptering.

Virtru Pro tillhandahåller inte bara e-postkryptering på klientsidan och dataförlustskydd för att hålla din krypterade e-post säker och privat från början till slut, men det ger dig detaljerad kontroll över din inkorg. Med vidarebefordringskontroll kan du se till att din avsedda mottagare är den enda mottagaren av e-postmeddelandet du skickar. Med e-post minns, du kan ta tillbaka ett meddelande som du kan ha skickat av misstag. Du kan också ställa in utgångsdatum på din e-post.

Virtru fungerar sömlöst med webbmailleverantören du redan använder för att skydda dina meddelanden och bilagor, allt med en enkel knapptryckning. Ta äganderätten till dina data idag och ladda ner Virtru för att skicka krypterad e-post.