Threat Response Auto-Pull

Nachträgliche E-Mail-Quarantäne für schädliche und unerwünschte Nachrichten

Unerwünschte E-Mails können verschiedene Formen annehmen. Schädliche E-Mails können Phishing-Links enthalten, die nach der Zustellung „vergiftet“ werden, oder Verschleierungstechniken nutzen, die zu False-Negatives führen und damit die Zustellung ermöglichen. Unerwünschte E-Mails enthalten zum Beispiel unangemessene Scherze oder Compliance-Verstöße. E-Mail-Sicherheitsteams haben häufig die Aufgabe, Nachrichten zu analysieren und zu bereinigen, um Gefahren zu reduzieren und mögliche Schäden zu vermeiden. Auch wenn das Verschieben einer E-Mail in die Quarantäne wenig Aufwand bedeutet und innerhalb weniger Minuten erledigt ist, summiert er sich bei zehn oder mehr E-Mails spürbar.

Weiterleitungsverfolgung und Erweiterung der Verteilerlisten

Da schädliche und unerwünschte E-Mails an andere Personen, Abteilungen oder Verteilerlisten weitergeleitet werden können, ist das bloße Zurückziehen solcher Nachrichten nach der Zustellung ein kritischer Punkt für viele Administratoren. Threat Response Auto-Pull (TRAP) trägt dem mit integrierter Geschäftslogik und Bedrohungsdaten Rechnung. Die Lösung erkennt, wenn Nachrichten weitergeleitet oder an Verteilerlisten gesendet werden, und überprüft automatisch die Empfänger, um diese Nachrichten zu finden und zurückzuziehen. Das spart Zeitaufwand und Ärger. Und da TRAP den „Gelesen“-Status der Nachrichten anzeigt, wird die Priorisierung der zu überprüfenden Anwender und Endgeräte erleichtert.

Out-of-Band-Verwaltung von E-Mails

TRAP greift auch auf CSV-Dateien, PPS SmartSearch und Abuse-Postfächer zurück. Anwender können SmartSearch-Ergebnisse und CSV-Dateien hochladen oder manuelle Zwischenfälle mit wichtigen Informationen nutzen, um eine oder tausende Nachrichten in die E-Mail-Quarantäne zu verschieben. Innerhalb weniger Augenblicke können gegen Richtlinien verstoßende E-Mails sowie Sicherheitsbedrohungen aus Postfächern zurückgezogen werden. Eine Aktivitätenliste zeigt, wer die E-Mails gelesen hat sowie den Erfolg bzw. Misserfolg des Zurückziehens.

An Abuse-Postfächer gesendete Nachrichten können auf die gleiche Weise überwacht und verarbeitet werden. Sie werden automatisch in ihre Bestandteile zerlegt und anschließend mithilfe mehrerer Bedrohungsdaten- und Reputationssysteme weiter analysiert. Dadurch soll festgestellt werden, ob die Inhalte mit schädlichen Markern übereinstimmen. E-Mails mit Vorlagen für Anmeldedaten-Phishing, Malware-Links und Anhängen können durch den automatischen Abgleich mit den branchenweit führenden Proofpoint-Reputations- und Bedrohungsdatensystemen aufgedeckt werden. E-Mail-Administratoren können anschließend das automatische Zurückziehen dieser Nachrichten initiieren, um sie aus dem Absenderpostfach zu entfernen. Falls die E-Mail an weitere Anwender oder Verteilerlisten weitergeleitet wurde, wird das Versandprotokoll abgearbeitet, um alle Nachrichten zurückzuziehen und in die E-Mail-Quarantäne zu verschieben.

Hervorragende Übersicht und Erkenntnisse zu Bedrohungen

Threat Response Auto-Pull (TRAP) erweitert auch E-Mail-Warnungen, stellt Zusammenhänge zwischen Empfängern und Anwenderidentitäten her, legt damit zugehörige Kampagnen offen und kann sogar für den Angriff verwendete IP-Adressen und Domänen auf Reputations- und Bedrohungsdatenlisten aufdecken. Dabei ist TRAP intelligent genug, um automatisierte Aktionen basierend auf dem angegriffenen Anwender durchzuführen, d. h. basierend darauf, ob er zu bestimmten Abteilungen oder Gruppen mit besonderen Berechtigungen gehört. Da die Lösung weitergeleiteten E-Mails folgt, versucht sie diesen Nachrichten im Falle einer Weiterleitung an einen bzw. mehrere Anwender oder eine Verteilerliste zu folgen und sie ebenfalls in die Quarantäne zu verschieben. Für jede Nachricht wird der Quarantäne- und Lesestatus angezeigt.

TRAP stellt auch grafische Berichte und Daten zum Herunterladen bereit. Anwender können Diagramme mit E-Mail-Warnungen, E-Mail-Quarantäneversuchen nach der Zustellung und den Erfolg bzw. Misserfolg dieser Aktionen anzeigen. Diese Anzeige sowie der Lesestatus werden auch für Nachrichten angezeigt, die ein- oder mehrmals weitergeleitet oder an Verteilerlisten gesendet wurden. Angriffe auf interne Anwender werden offengelegt, wobei auch Verlaufsereignisse ausgewertet werden, um die am häufigsten angegriffenen Anwender innerhalb eines einstellbaren Zeitraums hervorzuheben. Auch Angriffe auf Abteilungen, Gruppen oder geografische Regionen sind als Berichte verfügbar.

Verbesserte Triage-Untersuchungen

Mit Proofpoint TRAP können SOC-Analysten bei Zwischenfällen, die URLs beinhalten, genauere Triage-Untersuchungen durchführen. Dank der Proofpoint Browser Isolation-Technologie lassen sich URLs auf sichere Weise untersuchen.

Dadurch können Analysten den Inhalt der URL einschätzen, ohne das Unternehmen zu gefährden.

Flexible Bereitstellungsoptionen

Durch die Cloud-basierte Architektur kann TRAP Proofpoint Cloud Admin für Single Sign On (SSO) und die Anwenderverwaltung nutzen. Wir entwickeln außerdem kontinuierlich stärkere Integrationen mit anderen Proofpoint-Produkten. Die Einrichtung erfolgt schnell und einfach und erfordert dank automatisierter Software-Updates nur wenig Verwaltungsaufwand. TRAP kann über Microsoft 365 oder Google Workspace bzw. lokal über Microsoft Exchange bereitgestellt werden.