Gartner® Market Guide for Email Security——Gartner对邮件安全市场的洞察
https://www.gartner.com/doc/reprints?id=1-2DVHQRLR&ct=230531&st=sb
看最关键的,邮件安全厂商,三大类:
A companion tool is also available that includes a larger set of 42 representative vendors and their capabilities (see Tool: Vendor Identification for Email Security).
Table 1: Representative SEG Vendors--邮件安全网关
Vendor
|
Product Names
|
Barracuda Email Protection Advanced
Barracuda Email Protection Premium
Barracuda Email Protection Premium Plus
Barracuda Email Gateway Defense
Barracuda Impersonation Protection
Barracuda Incident Response
Barracuda Security Awareness Training
|
|
Symantec Email Security.cloud
Symantec Email Threat Detection and Response
Symantec Messaging Gateway
|
|
Cisco Secure Email Threat Defense
Cisco Secure Email Cloud Gateway
Cisco Secure Email Gateway
Cisco Secure Email Domain Protection
Cisco Secure Email Encryption Service
Cisco Secure Awareness Training
|
|
SaaS — FortiMail Cloud — Gateway
SaaS — FortiMail Cloud — Gateway Premium
Physical Appliances — FortiMail
|
|
Exchange Online Protection
Microsoft Defender for Office 365 Plan 1
Microsoft Defender for Office 365 Plan 2
|
|
Email Security, Cloud Gateway
Email Security, Cloud Integrated
|
|
P0 Core Threat Protection
P1 Advanced Threat Protection
P1+ Complete Threat Protection
PX Microsoft 365 Protection
Proofpoint Enterprise Data Loss Prevention
Proofpoint Managed Service for Email Security
|
|
Sophos Email
|
|
Trellix Email Security
|
|
Trend Micro Cloud App Security
Trend Micro Email Security
Trend Micro Smart Protection for Office 365
Trend Micro XDR for Users
Deep Discovery Email Inspector
|
|
Source: Gartner (February 2023)
Table 2: Representative ICES Vendors——云电子邮件安全(ICES),通常通过邮件服务器的开放API来访问邮件数据,以实现其安全功能
Vendor
|
Product Names
|
Abnormal Cloud Email Security Platform
|
|
Inbound Email Protection
Outbound Email Protection
|
|
Secure Microsoft Office 365
Secure On-Premises Email Platform
|
|
Anti-Phishing Software
Anti-Malware and Ransomware Software
Full-Suite Protection
|
|
Cloudflare Area 1 Email Security (formerly Area 1 Horizon)
|
|
Cofense Reporter
Cofense PhishMe
Cofense Intelligence
Cofense Triage
|
|
Darktrace Antigena Email
|
|
Egress Defend
Egress Prevent
Egress Protect
|
|
Agari Phishing Defense
Agari Phishing Response
Agari Brand Protection
Agari Active Defense
|
|
GreatHorn Cloud Email Security Platform
GreatHorn Account Takeover Protection
GreatHorn Mailbox Intelligence
GreatHorn Extended Monitoring Managed Services
|
|
INKY Phish Fence
INKY Internal Mail Protection
|
|
Ultimate
IRONSCALES email security
|
|
Advanced Email Security
Advanced Internal Email Security
Advanced Collaboration Security
|
|
Tessian Cloud Email Security Platform
Tessian Defender
Tessian Guardian
Tessian Enforcer
Tessian Architect
|
|
Vade for M365
|
|
Source: Gartner (February 2023)
Table 3: Representative EDP Vendors——电子邮件数据保护 (EDP),通常是在SEG里,为DLP额外功能
Vendor
|
Product or Service Names
|
Echoworx Email Encryption Platform
|
|
Trustifi Outbound Shield
Trustifi Inbound Shield
Trustifi Account Compromise Detection
|
|
Zivver Secure Email
Zivver Secure File Transfer |
|
Secure Cloud
|
|
Source: Gartner (February 2023)
随着网络钓鱼攻击数量的显着增加,向云电子邮件平台的迁移仍在继续。安全和风险管理领导者应评估云电子邮件系统提供的本机功能,并确保它们足以防止复杂的攻击。
概述
主要发现
-
随着组织继续采用云电子邮件系统,通信方式已从电子邮件转向其他协作平台,从而引入了现有电子邮件安全工具可能无法保护的威胁。
-
通过商业电子邮件泄露 (BEC) 进行的冒充和帐户接管攻击正在增加,并造成直接的财务损失,因为用户过于信任与电子邮件相关的身份,而电子邮件本身很容易受到欺骗和社会工程的影响。
-
供应商将电子邮件安全与其他安全工具(例如安全服务边缘 [SSE] 和端点检测和响应 [EDR])进行整合和集成,作为扩展检测和响应 (XDR) 的一部分,可以改进安全威胁的检测和响应能力。==》在EDR上做邮件安全相关的特性,目前看,不是主流的方案。
建议
作为负责电子邮件安全的安全和风险管理领导者,您应该:
-
使用第三方安全解决方案补充现有云电子邮件解决方案的本机功能,为协作工具提供网络钓鱼防护,并解决移动和 BEC 类型的网络钓鱼场景。
-
使用电子邮件安全解决方案,其中包括用于有针对性的 BEC 保护的反网络钓鱼技术,该保护使用AI 来检测通信模式和对话式异常,以及用于检查可疑URL 的计算机视觉。选择能够提供强大的供应链和人工智能驱动的联系链分析以进行更深入检查的产品,并能够检测社会工程、假冒或 BEC 攻击。
-
优先考虑电子邮件安全解决方案 API 的集成,以便将电子邮件事件集成到更广泛的 XDR 或安全信息和事件管理 (SIEM)/安全编排、分析和报告 (SOAR) 策略中。
战略规划假设
到 2025 年,20% 的反网络钓鱼解决方案将通过 API 与电子邮件平台集成来提供,而目前这一比例还不到 5%。
到 2026 年,凭证丢失将成为网络钓鱼攻击的第一大影响。==》在网络钓鱼攻击事件中,最严重的后果通常是用户的登录凭证(如用户名和密码)被盗取。网络钓鱼攻击是指攻击者通过伪造看似合法的电子邮件、短信、网站等,欺骗用户输入个人信息,如登录凭证、银行账户信息等,从而达到盗取个人信息、资金等不法目的的一种网络攻击手段。
市场定义
本文档于 2023 年 12 月 20 日进行了修订。有关更多信息,请参阅gartner.com 上的更正页面。
电子邮件安全统指用于为电子邮件提供攻击防护和访问保护的预测、预防、检测和响应框架。电子邮件安全涵盖网关、电子邮件系统、用户行为、内容安全以及各种支持流程、服务和相邻安全架构。有效的电子邮件安全不仅需要选择具有所需功能和配置的正确产品,还需要制定正确的操作程序。
市场描述
电子邮件安全解决方案通过阻止网络钓鱼攻击和防止数据泄露来提供入站和出站电子邮件安全。电子邮件安全解决方案的核心能力包括垃圾邮件防护、恶意软件防护、恶意链接和附件防护以及BEC防护。许多人还可以通过电子邮件数据丢失防护 (DLP) 和电子邮件加密功能来解决出站电子邮件安全用例。其他功能包括安全意识培训、基于域的消息身份验证报告和一致性 (DMARC) 以及电子邮件加密。
本市场指南重点关注三种主要类型的电子邮件安全解决方案(见图1 ):
-
安全电子邮件网关 (SEG) —入站和出站电子邮件的电子邮件安全传统上由SEG解决方案作为本地设备、虚拟设备或云服务提供。SEG 处理和过滤 SMTP 流量,并要求组织更改其邮件交换 (MX) 记录以指向SEG 。
-
集成云电子邮件安全 (ICES) —提供内置电子邮件安全卫生功能的云电子邮件提供商(例如Microsoft和Google )的采用率正在不断增长。补充这些本机功能的高级电子邮件安全功能越来越多地部署为集成云电子邮件安全解决方案,而不是网关。这些解决方案使用对云电子邮件提供商的 API 访问来分析电子邮件内容,而无需更改MX记录。集成解决方案不仅仅是阻止已知的不良内容,还向用户提供内联提示,帮助加强安全意识培训,并提供对受损内部帐户的检测。最初,这些解决方案被部署为现有网关解决方案的补充,但云电子邮件提供商的本机功能和 ICES 的组合越来越多地取代了传统的 SEG。
-
电子邮件数据保护 (EDP) —电子邮件数据保护解决方案添加加密功能,以在电子邮件内容发送之前或之后跟踪并防止未经授权的访问。EDP 还可以帮助防止由于收件人错误而导致的意外数据丢失。
通常与电子邮件安全重叠且本市场指南未涵盖的相邻市场包括:
-
安全意识培训
-
信息归档
-
电子邮件连续性服务
市场方向
电子邮件仍然是恶意软件和通过网络钓鱼窃取凭证的重要攻击媒介。据估计,40% 的勒索软件攻击是通过电子邮件发起的。1云的采用仍在继续,估计有 70% 的组织使用云电子邮件解决方案(请参阅注释 1 )。微软和谷歌继续主导市场,它们提供的功能不错,但不足以应对某些复杂的攻击。
尤其是Microsoft ,继续在提高保护有效性和提供更好的配置指导方面进行大量投资。这使得 SEG 供应商更难区分,尤其是比较检测率既困难又耗时,而且独立有效性测试很少。可以将Microsoft Defender for Office 365与其他现有的第三方解决方案进行评估。但这只是评估的一半,因为它没有确定现有解决方案阻止了哪些Microsoft不会阻止的内容。
使用 API 检查电子邮件的集成解决方案正在获得发展势头,增强了现有的 SEG 产品或内置保护。其中许多解决方案都使用复杂的异常检测技术,例如自然语言理解 ( NLU)、自然语言处理 (NLP) 和图像识别。直接集成使这些解决方案易于评估和证明价值,并且由于它们位于现有控制的后面,因此可以快速看到价值(参见注释2 )。该解决方案还受益于内部流量的可见性,并且可以使用历史电子邮件历史记录来快速构建机器学习 (ML) 基线以改进检测。最近, Proofpoint 、Mimecast等一些SEG厂商也开始提供ICES解决方案,并声称提供增强的人工智能(AI)/ML能力。然而,与其他核心 ICES 供应商相比,这些供应商没有提供额外的功能。IBM的 2022 年数据泄露成本报告强调,总数据泄露中有 19% 是由于凭证泄露和被盗造成的,平均造成 450 万美元的损失。2因此,大多数 ICES 供应商也关注账户接管检测和修复。
越来越多的邮件安全编排自动化和响应 (MSOAR)功能被提供来快速分类用户报告的网络钓鱼消息作为托管服务,直接来自供应商或通过托管安全服务提供商 (MSSP)。此外,现在大多数解决方案都包含条件横幅,通知用户以帮助他们做出决策。这加强了安全意识培训并简化了跨所有设备类型报告可疑消息的过程。
随着向远程和混合工作的转变,与组织外部用户的沟通不再仅限于电子邮件,还包括LinkedIn、Microsoft Teams 、Slack等协作工具。攻击者可能会利用这些进行网络钓鱼和恶意软件分发。尽管电子邮件仍然是最常见的攻击媒介,但许多攻击者使用电子邮件开始通信,然后将其转移到 Slack、Teams或任何其他协作平台。一些供应商的解决方案可以使用其 API 集成到协作平台中来过滤恶意内容或可疑交互。其中许多解决方案使用 ML 和 NLU 功能来分析多个渠道的通信并防止攻击。
入站威胁是实施电子邮件安全的主要驱动力,但出站数据丢失,尤其是意外数据丢失(误导的电子邮件)越来越令人担忧。事实上,人为错误仍然是电子邮件数据泄露的最常见原因。合规性和隐私问题不仅仅是阻止出站个人身份信息 (PII),还可能包括因知识产权 (IP) 分发不慎而造成的声誉损害。使用机器学习分析通信模式以防止入站网络钓鱼的解决方案也用于检测潜在的误导电子邮件。
如今,大多数电子邮件在邮件系统之间使用传输级加密,但随着越来越多的敏感信息被共享,保护消息存储中的通信安全的需求变得越来越重要。电子邮件加密工具已经存在很长时间了,但由于可用性问题,仅被大约 40% 的组织采用。SEG 通常包括加密,但可用性差异很大。提供端到端加密的较新解决方案优先考虑可用性。
市场分析
将现有功能与Google和Microsoft提供的本机功能进行比较
Google和Microsoft都提供基本的电子邮件安全功能,包括:
-
阻止来自已知不良发件人的电子邮件
-
使用防病毒软件扫描附件
-
阻止含有已知不良 URL 的电子邮件
-
内容分析以识别垃圾邮件
Google Workspace 提供了简单的三层模型,这对于许多选择 Google Workspace 作为协作平台的组织来说非常有吸引力。Microsoft 的许可可能很复杂,并且包含Microsoft Defender for Office 365 的E5 许可证价格昂贵。但是,有各种不同的捆绑包和附加组件可用于添加高级功能。Exchange Online Protection (EOP) 包含在所有计划中,并提供基本的反垃圾邮件、反网络钓鱼和反恶意软件功能。
Microsoft 继续投资 Microsoft Defender for Office 365,其中包括更高级的保护功能,包括安全链接和安全附件,以及与 Microsoft 的其他安全工具的集成。它还涵盖 Microsoft SharePoint、Teams 和其他 Office 客户端。80% 的组织正在寻求整合安全供应商,Microsoft 365、Microsoft Azure Active Directory (Azure AD)、Microsoft Purview 信息保护和 Microsoft Defender for Endpoint 之间的紧密集成可以提供改进的整体可见性和安全性,构成 Microsoft XDR 的一部分战略。
其他安全供应商也在电子邮件安全功能方面进行投资,作为其自己的 XDR 战略的一部分。Cisco 、WithSecure ( F-Secure) 、Trend Micro和其他公司最近都更新或添加了电子邮件安全组件。通常,这些是基于 API 的 ICES 解决方案。
SEG
SEG 仍然是最常见的电子邮件安全部署。SEG 部署为设备或虚拟设备,但最常见的是作为云服务。SEG 解决方案提供基本的电子邮件卫生功能以及更高级的保护功能,例如:
-
网址重写
-
多重防病毒 (AV) 扫描
-
沙盒集成
-
垃圾邮件隔离与最终用户摘要
-
灰色邮件处理
-
BEC保护
-
交货后回拨
SEG 还提供出站功能,例如:
-
防止数据泄露以确保合规性,阻止或报告发送的 PII
-
电子邮件加密、传输层安全 (TLS) 或推式或拉式加密
-
通过安全门户发送大消息,通常与加密相关
DMARC可防止针对员工、合作伙伴和客户的精确域名欺骗,但部署、配置和维护可能具有挑战性,具体取决于组织中域的大小和数量。通常需要专业服务来协助 DMARC 的实施和持续监控。一些供应商还提供相关服务,例如电子邮件存档、连续性服务和安全意识培训。
许多 SEG 供应商添加了基于 API 的集成,作为现有解决方案的替代方案或增强功能,从而可以更好地了解内部电子邮件、添加上下文感知横幅的能力以及创建关系图和 ML 模型以改进检测。
集成云电子邮件安全
随着微软和谷歌内置安全性的提高,威胁行为者也变得越来越复杂,通常使用虚假登录页面作为获取凭据的方式来针对最终用户。复杂的电子邮件威胁包括受损的网站和用于部署恶意软件的武器化文档。许多勒索软件即服务团伙使用电子邮件作为初始入口点。除了恶意软件之外,企业电子邮件泄露和帐户接管威胁持续上升,从而造成重大财务损失。这些通常很难检测,因为它们不包含链接或附件,并且依靠社会工程来欺骗收件人。在帐户被盗用的情况下,邮件标题中甚至没有任何指示,因此,无论出于何种意图和目的,它都是合法的电子邮件。
为了解决这些问题,电子邮件安全解决方案使用了各种更先进的检测技术,包括 NLU、NLP、社交图分析(电子邮件通信模式)和图像识别。ICES 解决方案还提供帐户接管保护,分析用户行为和各种其他因素,如登录行为、位置、身份验证方法等。它们检测并警告哪个帐户已被盗用,并在需要时采取补救措施。补救措施可能包括阻止帐户、重置密码或其他客户定义的操作手册等。
ICES 产品可以是预交付或后交付的,具体取决于使用的 API。预递送通常作为连接器实现,并在电子邮件到达用户收件箱之前拦截电子邮件。投递后会在电子邮件投递后对其进行分析,某些产品会有效地“隐藏”邮件,以防止用户在扫描邮件之前将其打开。其他人只是依赖于能够在用户阅读电子邮件之前对其进行扫描。交付后可以单独使用 API 来实现,也可以结合使用 API 和日志记录来实现。
ICES 解决方案不仅仅是阻止电子邮件,还添加了上下文感知横幅警告用户。这意味着误报的门槛可以更高,也可以加强安全意识培训。通常,包含报告网络钓鱼的机制,作为电子邮件客户端的一部分或作为插入电子邮件正文的另一个横幅。然后, MSOAR工具可以处理用户报告的电子邮件,以帮助自动重新分类电子邮件并将其从收件箱中删除。尽管这简化了报告电子邮件的处理,但仍然会给不堪重负的 IT 安全团队带来负担。许多供应商现在将这种 MSOAR 功能作为托管服务提供,并将其集成到其他 SOAR 工具中。我们也看到中国大陆对安全产品有隐私和立法的要求(见注3)。
ICES 工具能够将邮件移动到内置分类邮箱中,例如“促销”或“垃圾”文件夹。有些能够根据用户是否将邮件从一个文件夹移动到另一个文件夹来学习或修改分类,从而消除了复杂的策略管理的需要。
电子邮件数据保护
数据泄露预防规则多年来一直是 SEG 的一部分:可以根据对其内容的分析来阻止、重定向或加密电子邮件。这些功能通常是更广泛的 DLP 产品组合的一部分。保护、跟踪和可能编辑与合作伙伴、客户和/或客户在电子邮件中共享的敏感数据的能力变得很重要,特别是考虑到持续的法规和隐私法。
尽管电子邮件加密已经存在多年,但工作流程通常很差,这意味着加密电子邮件的打开率历来较低。验证收件人身份一直是一个挑战,要求用户在消息门户上创建新帐户,导致打开率非常低。随着云电子邮件的广泛采用,对同一平台(例如Microsoft 365 )上的用户进行身份验证简化了流程,但一旦收件人位于不同的平台上,问题仍然存在。一些专注于电子邮件数据保护的供应商正在寻求通过简化的工作流程和第二因素身份验证来解决这个问题。将敏感信息与电子邮件分开存储的安全消息传递门户是一种解决方案,但这引发了有关数据驻留和密钥存储位置的问题。
电子邮件仍然是最常见的数据泄露媒介,尤其是意外数据丢失。误导收件人是主要原因。目前几乎没有专门解决此问题的解决方案,但随着用于分析 BEC 电子邮件的AI /ML模型的发展,相同的技术也被应用于检测和警告用户误发的电子邮件。这些警告要么在用户撰写电子邮件时出现在电子邮件客户端中,要么作为“退回”消息发送,要求用户确认预期收件人是否正确。退回邮件并不那么用户友好,但它们不需要部署和管理电子邮件客户端的插件,并且移动设备上存在相同的工作流程。
另一个常见风险是电子邮件存储库中存储的敏感信息。攻击者和恶意内部人员可以直接利用存储在微软和谷歌电子邮件服务器中的电子邮件。Material Security 等供应商通过识别和编辑邮箱中包含敏感数据的邮件来解决此问题。此外,用户可以在身份验证步骤后按需访问经过编辑的电子邮件。这有助于管理存储的电子邮件数据丢失的风险。
代表厂商
本市场指南中列出的供应商并不意味着详尽的列表。本节旨在提供对市场及其产品的更多了解。
市场介绍
根据以下一项或两项选择代表性供应商:
-
通过在 Gartner.com 上进行搜索以及客户对电子邮件安全供应商的询问来了解客户的兴趣
-
供应商以独特、创新和/或具有前瞻性产品策略的方式提供电子邮件安全功能
下面描述的类别中提供了代表性供应商的列表(参见表 1、表 2 和表 3)。这不是,也无意成为该市场中所有供应商或产品的列表。它也不是、也无意对所讨论的供应商进行竞争分析。
还提供了一个配套工具,其中包括 42 个代表性供应商及其功能(请参阅工具:电子邮件安全供应商识别)。
见上
市场建议
负责电子邮件安全的SRM领导者应该:
-
寻找使用基于 ML 和 AI 的反网络钓鱼技术进行 BEC 保护的电子邮件安全解决方案,以分析对话历史记录以检测异常情况。
-
评估云电子邮件系统提供的内置电子邮件安全功能,并通过第三方解决方案对其进行增强,以处理复杂的攻击。
-
确保解决方案具有针对凭据盗窃的多方面保护,以及用于分析模拟常见登录页面的 URL 的计算机视觉功能。
-
评估电子邮件安全解决方案时包括基于 API 的 ICES 解决方案。评估的简单性以及对内部流量和其他通信渠道的额外可见性可以降低风险,因为这些解决方案可以创建通信图和基线用户活动来检测可疑行为。
-
投资可将 API 集成到协作平台中来过滤恶意内容或可疑交互的解决方案。
-
投资于用户教育,特别关注无有效负载的 BEC 类型攻击,并实施标准操作程序来处理通常成为假冒攻击目标的财务和敏感数据交易。
-
通过情境感知横幅和内联提示加强培训,以帮助教育用户。
-
确保集成的MSOAR功能自动解决用户报告的不需要的电子邮件。
-
通过选择与这些安全工具集成的供应商,将电子邮件事件集成到更广泛的 XDR 或 SIEM/SOAR 策略中。
-
通过实施 DMARC 来保护企业品牌,防止针对合作伙伴和客户的精确域欺骗攻击。寻找可以监控 DMARC 拒绝并托管发件人策略框架 ( SPF ) 记录的提供商。
-
考虑该解决方案在数据安全治理框架中的作用,以通过 DLP、加密和存储数据发现来保护敏感数据共享。
证据
这项研究的结果和建议来自 2021 年 10 月至 2022 年 12 月期间 1,500 多个 Gartner 客户的互动。
随着勒索软件成为国家安全重点,第二季度赎金支付金额下降,Coveware。
补充: