Oggi più che mai, le aziende devono affrontare vincoli in termini di budget e risorse più stringenti. Gli istituti scolastici non fanno eccezione. Per molti, mantenere strumenti IT non ottimali per risparmiare non è solo una questione di prudenza, ma una necessità. Perché un’università prestigiosa affronta il lungo e complesso processo di procurement educativo solo per rafforzare le funzionalità di sicurezza dell’email di Microsoft?
Questo è quanto ha deciso di fare uno dei nostri clienti più recenti. La sua esperienza richiama quelle di migliaia clienti di ogni dimensione di Microsoft, che nell’ultimo anno hanno rafforzato la loro sicurezza Microsoft con Proofpoint per adottare un approccio di difesa in profondità. Pur preservandone l’anonimato, desideriamo condividere la sua esperienza e gli insegnamenti appresi lungo il percorso.
Ridefinire i rischi accettabili
Come parte di un accordo più ampio con Microsoft, l’università ha utilizzato per anni le loro funzionalità native di sicurezza dell’email per proteggere più di 40.000 caselle email appartenenti a studenti e personale. Per la maggior parte di questo periodo, il team della sicurezza dell’università ha dovuto affrontare diversi ostacoli. La mancanza di integrazioni di Microsoft, i suoi controlli email inflessibili e il suo processo manuale di analisi degli incidenti sono solo alcuni esempi.
Il team della sicurezza si è reso conto che, poiché gli attacchi diventavano sempre più gravi, avevano bisogno di più livelli di sicurezza per individuare le minacce non rilevate. L’università era già alle prese con un volume crescente di tentativi di violazione dell’email aziendale (BEC, Business Email Compromise). Queste email provenivano da account compromessi da email di phishing dannose consegnati nelle caselle email degli utenti.
Inoltre, gli studenti e i docenti ricevevano migliaia di attacchi avanzati ulteriori ogni settimana, di cui il team della sicurezza doveva stabilire la priorità manualmente. Le minacce erano diverse:
- Minacce di social engineering avanzate
- Messaggi di phishing multilivello
- Attacchi di elusione dell’autenticazione a più fattori (MFA)
- Attacchi tramite telefonate (TOAD, Telephone-Oriented Attack Delivery)
Senza controlli di quarantena coerenti, threat intelligence approfondita e correzione automatica, era impossibile per il team contenere la loro superficie d’attacco in continua espansione. La loro visibilità sulle minacce e produttività erano ulteriormente compromesse da report e integrazioni non all’altezza con gli altri strumenti, come le soluzioni SIEM e di protezione degli endpoint. Quando hanno fatto presente tali problematiche a Microsoft, il suo team di assistenza è stato lento nel rispondere e nel dare seguito alle richieste.
Era chiaro che Microsoft non era in grado di bloccare questi attacchi crescenti. Per questo motivo, l’università si è rivolta a Proofpoint.
Microsoft e Proofpoint a confronto
Dopo molti anni di esperienza con Microsoft, l’università aveva aspettative elevate nei confronti di Proofpoint. Voleva essere certa che Proofpoint fosse un’aggiunta interessante al suo programma di sicurezza esistente. Di seguito le tre aree principali in cui Proofpoint ha migliorato il livello di sicurezza dell’università durante il periodo di valutazione.
Rilevamento costante ed efficacia superiore: vince Proofpoint
A differenza di Proofpoint, Microsoft non è in grado di rilevare molte minacce email moderne come le minacce di phishing e gli attacchi BEC avanzati. I nostri dati mostrano che il 63% delle minacce non rilevate da Microsoft - ma intercettate da Proofpoint - sono phishing delle credenziali di accesso.
Ciò è dovuto principalmente alle limitate funzionalità di rilevamento degli URL di Microsoft, che limitano il sandboxing dei link alle minacce con payload attivato dopo la consegna. Ciò significa che un utente deve fare clic su un link per avviare l’analisi dinamica di Microsoft. Nel caso del nostro cliente, ciò mette l’università e gli studenti in pericolo e spesso porta alla violazione degli account.
I link di phishing sono una delle minacce in più rapida crescita. Per questo motivo Proofpoint offre il rilevamento continuo per le minacce basate su URL per l’intero ciclo di vita delle email. L’80% delle minacce basate su URL che blocchiamo vengono bloccate prima che gli utenti vi interagiscano.
La nostra analisi predittiva degli URL e le nuove funzioni di blocco temporaneo e sandboxing degli URL prima della consegna , novità assoluta del settore, lo rendono possibile. Insieme, riducono nettamente il rischio che un utente possa attivare una minaccia per sbaglio. Il restante 20% delle minacce basate su URL viene bloccato attraverso la protezione al momento del clic:
- Riscrittura degli URL
- Sandboxing dei link in tempo reale
- Apertura di link potenzialmente sospetti in una sessione di navigazione isolata e sterile
L’efficacia superiore di Proofpoint non si limita a URL e phishing. Blocchiamo la più ampia gamma di minacce mirate con il più elevato livello di precisione grazie al nostro stack di rilevamento multilivello basato sull’intelligenza artificiale (IA).
Per rafforzare la nostra protezione già eccezionale contro gli attacchi BEC, abbiamo aggiunto l’analisi semantica prima della consegna ai nostri modelli linguistici di grandi dimensioni (LLM). Di conseguenza, i nostri motori comportamentali possono comprendere il contesto e lo scopo del contenuto di un'email. Quando viene identificato un messaggio con intento doloso, lo rimuoviamo automaticamente prima che venga consegnato alla casella email dell’utente.
Durante i primi giorni della valutazione dell’università, Proofpoint ha intercettato diverse centinaia di messaggi BEC che Microsoft non aveva rilevato. Ciò ha risparmiato al nostro clienti sforzi consistenti di correzione manuale e ha confermato la necessità di disporre di ulteriori livelli di sicurezza.
Efficacia della gestione e della correzione: vince Proofpoint
Molti clienti dei prodotti di sicurezza di Microsoft sanno che supportare le loro soluzioni richiede tempo e lavoro. Per esempio, Microsoft fornisce opzioni molto limitate per automatizzare la correzione dei messaggi dopo la consegna. E a meno che non si sia pronti a pagare per componenti aggiuntivi come Microsoft 365 E5 con Defender, si dispone di ancor meno visibilità sulle email neutralizzate a posteriori.
Inoltre, le funzionalità di correzione di Microsoft non sono in grado di assimilare gli avvisi di altri strumenti di sicurezza né di correlare tra loro i loro dati. Le aziende mancano di visibilità e alla fine sono meno protette nei pochi casi d’uso in cui le funzioni di sicurezza di Microsoft sono veramente efficaci.
Ma non deve essere per forza così. Combinando Microsoft con le funzionalità di correzione di Proofpoint puoi alleggerire il carico di lavoro del tuo team della sicurezza già sopraffatto.
Proofpoint automatizza l’analisi e la rimozione delle minacce dalle caselle email degli utenti in tutta la tua azienda. Sono inclusi i messaggi inoltrati ad altri destinatari e gli elenchi di distribuzione, oltre a quelli segnalati dagli utenti. I nostri avvisi per le email sospette consentono agli utenti di segnalare direttamente dei messaggi in un clic. Per rafforzare le buone abitudini di sicurezza, ricevono riscontri sulla loro segnalazione, chiudendo il ciclo dell'esperienza dell’utente.
Prima di iniziare a lavorare con Proofpoint, l’università aveva bisogno di diversi collaboratori a tempo pieno dedicati per correggere manualmente le minacce non rilevate e supervisionare la gestione delle email. Si trattava di un ruolo strategico, perché questi compiti dovevano essere eseguiti 24 ore al giorno, 7 giorni su 7. Con Proofpoint, questi collaboratori sono ora liberi di lavorare su progetti a maggior valore aggiunto. Secondo i nostri dati, quando le aziende aggiungono la sicurezza dell’email di Proofpoint, il tempo necessario per correggere le email dannose si riduce in media del 90% o più.
Informazioni incentrate sulle persone: vince Proofpoint
Microsoft non può intercettare ciò che non riesce a vedere. E, sfortunatamente, questa mancanza di visibilità all’intero di Microsoft è sistemica. Va dalla segnalazione degli utenti alle integrazioni con i fornitori terzi. Microsoft offre solo dati di telemetria sulle minacce molto limitati e una frazione delle informazioni comportamentali e incentrate sulle persone fornite da Proofpoint.
I clienti di Microsoft non hanno visibilità sulle loro principali vulnerabilità, come e dove i loro collaboratori vengono attaccati. Dopo aver acquisito questo livello di comprensione grazie a Proofpoint, l’università l'ha concluso che Proofpoint era indispensabile per prevenire gli attacchi mirati contro gli utenti, che altrimenti avrebbero potuto rapidamente trasformarsi in disservizi più significativi.
La visibilità sul panorama mondiale delle minacce che condividiamo con i nostri clienti è ineguagliata. Proofpoint analizza oltre 3 miliardi di messaggi al giorno per i suoi oltre 510.000 clienti in tutto il mondo. Offriamo questi dati ai nostri clienti in numerosi report semplici da comprendere. I report sono creati per ogni tipo di utente: presentazioni per i dirigenti, dati di analisi forense specifici per un singolo o una campagna, ecc.
Per esempio, il nostro report Very Attacked People™ (VAP ovvero le persone più attaccate) non si limita al modo in cui i tuoi utenti vengono presi di mira. Indica gli utenti più vulnerabili, i motivi per cui vengono attaccati e le conseguenze che una minaccia andata a buon fine potrebbe avere sulla tua azienda. Le informazioni incluse in questo report permettono agli amministratori di rafforzare la protezione dove è più necessaria e ottimizzare l’utilizzo delle limitate risorse di sicurezza.
Desideriamo che questi dati siano il più possibile utili. Per questo motivo ci assicuriamo che siano facilmente consultabili attraverso le integrazioni con altri importanti fornitori di soluzioni di sicurezza informatica. Proofpoint permette una condivisione dei dati fluida e bidirezionale con fornitori come Microsoft, CrowdStrike, Palo Alto Networks e altri ancora. In questo modo i nostri clienti godono di diversi vantaggi:
- Avvisi di sicurezza più precisi
- Osservazioni preziose sulla sicurezza incentrate sulle persone
- Importanti informazioni di contesto per le indagini sugli incidenti
Poiché l’università non disponeva di report esaurienti né di integrazioni con altri fornitori, poteva rispondere agli attacchi solo dopo che il danno si era verificato. Combinando Proofpoint con Microsoft, ha ottenuto le informazioni aggiuntive necessarie per gestire le minacce proattivamente e comprendere il panorama delle minacce globale.
Creazione di una difesa a più livelli con Proofpoint
Dopo alcuni giorni di prova di Proofpoint, il team della sicurezza dell’università si è convinto. In effetti, aveva già iniziato a utilizzare la nostra piattaforma per gestire gli incidenti. Ha notato un cambiamento immediato della sua capacità di identificare i messaggi dannosi e rimuoverli prima che gli utenti cadessero nella trappola.
I dati a seguito dei test condotti dall’università sottolineano i vantaggi di Proofpoint. Nel giro di una settimana, abbiamo intercettato più di 14.000 minacce che Microsoft non aveva rilevato, tra cui malware e attacchi BEC e di phishing. Ciò equivale a oltre 650.000 messaggi all’anno.
Dati sulle minacce anonimizzati a seguito dei test condotti dal cliente
L’esperienza dell’università non è un caso isolato. Proofpoint offre una soluzione per la protezione contro le minacce avanzata che cattura in media il 30% in più di messaggi dannosi rispetto a Microsoft su usato da solo. Per questo motivo, 87 delle aziende della classifica Fortune 100, di cui 83 utilizzano Microsoft 365, si affidano a Proofpoint per rafforzare la loro sicurezza nativa e colmare le lacune.
Risultati mediati dei test di Proofpoint insieme a Microsoft
Il costo reale della sicurezza nativa
Una sicurezza “accettabile” implica sempre un costo concreto. Tale costo diventa chiaro quando si considerano il tempo e il carico di lavoro aggiuntivi richiesti alle risorse, il maggiore onere di gestione e la scarsa assistenza tecnica che accompagnano l’uso esclusivo delle funzionalità di sicurezza native di Microsoft. Date le minacce avanzate, come gli attacchi BEC, che prendono di mira Microsoft e generano perdite finanziarie elevate, la tua azienda non può permettersi di non aggiungere una protezione ulteriore.
Confronto tra la protezione di Microsoft 365 e quella di Proofpoint
Proofpoint è la piattaforma di sicurezza incentrata sulle persone ideale per rafforzare le difese di Microsoft. Ti offriamo gli strumenti di cui hai bisogno per creare una difesa a più livelli contro le minacce più recenti e in costante evoluzione. Il nostro rilevamento end-to-end costante blocca più attacchi contro le persone che mai, prima, durante e dopo la consegna. Rafforzando il tuo investimento Microsoft con Proofpoint, puoi ridurre i rischi a cui sei esposto, ottimizzare le tue risorse limitate e migliorare l'efficienza dei tuoi team della sicurezza.
Desideri saperne di più su come Proofpoint può rafforzare la sicurezza nativa di Microsoft 365 contro i costosi attacchi informatici? Leggi la nostra scheda sulla soluzione Microsoft e Proofpoint: insieme per una maggior sicurezza.