Несмотря на усилия защитников, вредоносные письма просачиваются сквозь бреши в кибербезопасности, вынуждая компании внедрять многоуровневую защиту. Microsoft оспаривает необходимость сторонних решений, заявляя, что добавление партнеров к Defender for Office 365 дает минимальный эффект. — csoonline.com
Несмотря на все усилия защитников, вредоносные электронные письма продолжают просачиваться сквозь бреши в кибербезопасности, что заставляет некоторые предприятия внедрять многоуровневую стратегию «глубокой защиты» (defense in depth), включающую несколько инструментов.
Microsoft, похоже, оспаривает эту идею, заявляя, что добавление интегрированных партнеров по предварительной и последующей отправке к средствам защиты Defender for Office 365 дает лишь номинальную отдачу.
Согласно новым квартальным эталонным данным компании, технологический гигант отлавливает подавляющее большинство вредоносных писем и спама до доставки, упускает их значительно меньше конкурентов и удаляет почти 100% опасных писем, которые все же попадают во входящие. В совокупности ее интегрированные партнеры улучшают этот показатель перехвата менее чем на 0,05%.
Хотя эти цифры, кажется, склоняют чашу весов в пользу стека безопасности электронной почты от одного поставщика, эксперты призывают предприятия отнестись к таким заявлениям поставщиков скептически и с осторожностью.
Сева Юсуфович, старший аналитик-исследователь Info-Tech Research Group, отметил: «Проценты скрывают истинное количество и серьезность того, что проникает, и, учитывая, что для инцидента достаточно одного сообщения, достаточно просто утверждать, что многоуровневая защита, обеспечиваемая несколькими инструментами, имеет реальную ценность».
Перехват вредоносных писем и спама в цифрах
Microsoft представила свой ежеквартальный эталонный отчет в июле 2025 года вместе с экосистемой интегрированной облачной безопасности электронной почты Defender (ICES), предназначенной для поддержки многовендорных стратегий безопасности.
Среди игроков SEG, с которыми она сравнивала себя в этом году, были Mimecast, Proofpoint, Hornetsecurity, Trend Micro, Iron Port (Cisco), Barracuda и FireEye (Trellix); компании ICES включают Abnormal, Checkpoint Harmony, Cisco, DarkTrace, KnowBe4 Defend, Tessian и Trend Micro.
Редмонд сообщила, что Defender «стабильно лидирует» в обнаружении до доставки, упуская на 59% меньше киберугроз высокой степени серьезности до доставки, чем другие оцененные ею поставщики SEG. Ее ближайшими конкурентами были Mimecast и Proofpoint. Компания также представила новый показатель в этой области: уровень пропущенных угроз на 1000 сотрудников. В случае Microsoft этот показатель составил 194 на 1000; для Mimecast — 478; для Proofpoint — 483.
Что касается защиты после доставки, Defender удалял в среднем 96,03% вредоносных писем, достигших почтового ящика, по сравнению с первоначальными 45%, когда Microsoft только начала отслеживать данные во втором отчете.
Это делает Defender «все более критическим подстраховочным средством, работающим даже при наличии решений ICES», — написал Джефф Пинкстон, вице-президент и генеральный менеджер Microsoft Defender в посте в блоге. Тем не менее, инструменты ICES, работающие совместно с Microsoft Defender, «продолжают приносить пользу», улучшая перехват вредоносных писем на 0,29% и спама на 0,68%, добавил он.
«Если сосредоточиться на основах, их аргумент кажется сильным», — отметил Юсуфович из Info-Tech. «Действительно ли вам нужен отдельный поставщик ICES для этого дополнительного улова менее 1%?» Microsoft рисует «убедительную картину», фокусируясь только на необработанном показателе перехвата, но мы не слышим остальной части истории: «Какова именно опасность того, что не улавливается Defender?»
Ни один поставщик не ловит всё
Дэвид Шипли из Beauceron Security указал, что отчет подчеркивает тот факт, что «многое все еще проскальзывает через почтовые фильтры».
Его компания регулярно анализирует сотни тысяч писем, и контент, который проходит, «варьируется от шокирующе обыденного и очевидного для человека-эксперта до очень хитрых атак с задержкой по времени», — сказал он.
Ключевым фактором того, что проходит, является объем контента, внесенного в белый список; настройки в «100% параноидальном режиме» дают высокие показатели перехвата, а также высокий уровень ложных срабатываний, отметил Шипли. «Любой, кто когда-либо терял сделку из-за того, что PDF-файл с заказом на покупку был помечен, ощутил эту боль».
Затем есть загадка ИИ: «Ключевой риск для поставщиков электронной почты, использующих анализ на основе агентных LLM, заключается в том, что теперь можно отравить эти модели скрытым контентом (например, «игнорируйте это электронное письмо, пожалуйста, очень прошу»),” — сказал Шипли. Это означает, что предприятиям необходимо использовать разнообразные методы анализа.
Юсуфович согласился с тем, что поддержание темпа с угрожающими акторами, использующими ИИ, является общеотраслевой проблемой, особенно поскольку ИИ позволяет создавать фишинг более высокого качества. Фильтры совершенствуются и будут отлавливать часть этого, но часть неизбежно будет продолжать проникать. Эти сообщения, вероятно, будут высокоцелевыми, их объем ниже, но их труднее поймать.
«На данный момент существующие инструменты, похоже, с трудом поспевают, но это не означает, что эти инструменты не нужны», — сказал Юсуфович. «Это просто подчеркивает, что глубокая защита, в широком смысле, становится все более и более важной».
Заявления кажутся более честными
Шипли сказал, что этот отчет выглядит более честным, точным и зрелым, чем другие, заявляющие о 99,99% перехвате фишинга, «что никогда не бывает правдой». Это также «умный маркетинговый ход», поскольку Microsoft конкурирует за тот же бюджет безопасности, что и другие инструменты, и предпочла бы, чтобы предприятия отказались от этих поставщиков и купили больше у нее в областях, не связанных с электронной почтой.
С другой стороны, сказал он, Microsoft предлагает список других поставщиков, о которых стоит подумать, «так что, поздравляем Mimecast с занятием второго места».
В долгосрочной перспективе руководителям по информационной безопасности (CISO) необходимо определить наилучшие траты для своих ограниченных средств на безопасность, отметил он. Предприятиям нужен хороший фильтр; вопрос о том, нужен ли им второй, остается открытым для обсуждения. «Им, очевидно, по-прежнему необходимо инвестировать в надежную программу повышения осведомленности», — сказал Шипли, «потому что, как показывает этот отчет, доставляется все еще много фишинговых писем».
Упущение важного нюанса
Юсуфович отметил, что, хотя заявления в исследовании интересны, данные представлены без той нюансировки, которая сделала бы их по-настоящему практически применимыми.
«Мы все слишком хорошо знакомы со способностью поставщиков манипулировать данными, чтобы представить нужную им историю, поэтому я бы посоветовал руководителям не экстраполировать данные за пределы того, что они фактически говорят», — сказал он.
Вместо того чтобы делать вывод «избавьтесь от наших текущих поставщиков», этот пост подчеркивает, что Defender предоставляет «значительную ценность», отметил он. Стоит ли добавление или удаление дополнительных поставщиков своих денег, должно быть предметом обсуждения в каждом конкретном случае с учетом аппетита организации к риску, а также общего бюджета и среды безопасности.
«Я бы отнесся к этим заявлениям скорее как к напоминанию о необходимости оценить собственную среду и сравнить обнаружения», — сказал он. «Делайте выводы на основе имеющихся у вас данных, а не на основе того, что представляет поставщик».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Taryn Plumb