I responsabili della sicurezza conoscono bene il problema: gli attacchi via e-mail sono in continua evoluzione. I meccanismi di protezione tradizionali e le fonti di dati rigide mostrano ben presto i loro limiti. Sono necessarie soluzioni che si adattino continuamente alle nuove minacce, senza che le aziende debbano riorganizzare costantemente la propria infrastruttura o addirittura cambiare fornitore. È proprio qui che entra in gioco Retarus.
Approccio multi-engine invece di una soluzione singola
Stiamo deliberatamente seguendo un percorso diverso da quello di molti fornitori convenzionali e proprietari. Invece di affidarsi a un single vendor per il filtraggio e la gestione dei dati, Retarus Email Security utilizza un gran numero di motori, componenti, meccanismi di filtraggio e fonti di dati indipendenti. Questi sono costantemente valutati in termini di prestazioni (ad es. qualità, velocità, efficienza), combinati e ottimizzati automaticamente. Le nuove minacce vengono riconosciute immediatamente, le fonti pertinenti vengono ponderate dinamicamente e integrate in una valutazione complessiva unitaria utilizzando regole personalizzate. E la cosa più importante: tutto questo avviene dietro le quinte, senza che i clienti debbano intervenire attivamente in tale ottimizzazione.
L’analisi di Retarus lo conferma: tanto più, tanto meglio
Le analisi di Retarus mostrano che, nel settore degli antivirus classici, talvolta uno solo dei motori di scansione utilizzati, che funzionano in modo indipendente, entra in azione come unico allarme in un numero di casi che può arrivare al 18,8% delle minacce. In altre parole: un solo motore riconosce pericoli che tutti gli altri semplicemente ignorano. Questo sottolinea l’importanza dell’approccio multi-vendor, anche nell’ambiente antivirus “tradizionale”. Un’e-mail che è stata filtrata in una fase iniziale non deve passare in seguito attraverso ulteriori motori di phishing AI o controlli sandbox, che richiedono tempo e costi. In questo modo, Retarus non solo consente tempi di elaborazione estremamente brevi, ma anche una protezione sempre efficiente dal punto di vista dei costi.
Minimizzazione dei tassi di falsi positivi in tutti i tipi di attacco
Naturalmente, anche la qualità deve essere all’altezza. Un indicatore chiave di qualsiasi soluzione di sicurezza per le e-mail è il tasso di falsi positivi, ovvero la percentuale di e-mail legittime che vengono bloccate per errore. Questo è ancora uno dei maggiori “pain point” per gli amministratori – dopo tutto, ogni e-mail bloccata in modo errato causa inutili ticket di assistenza, frustrazione tra gli utenti e lavoro aggiuntivo per l’help desk.
I nostri dati mostrano che il tasso di falsi positivi per tutti i tipi di attacco è compreso tra lo 0,0013% e lo 0,0056%, a seconda del profilo del cliente. Anche questo basso valore si ottiene in definitiva combinando diversi motori: gli errori di classificazione di singole fonti di dati sono compensati da altre. Oltre 30 anni di esperienza di Retarus nel campo delle e-mail fanno il resto.
Rilevamento del phishing con “doppio fondo” contro i falsi negativi
La valutazione dei falsi negativi, invece, è molto più complessa. Gli studi sul comportamento di reporting degli utenti mostrano che le segnalazioni sono spesso incoerenti e di bassa qualità. Gli utenti tendono a segnalare le e-mail che ritengono sospette o fastidiose senza che siano effettivamente pericolose.
Per valutare realisticamente la qualità dei filtri, Retarus si avvale anche di benchmark esterni e comparativi. L’analisi di presunti casi di phishing dà ragione a questo approccio: meno dello 0,3% delle e-mail di phishing segnalate dagli utenti può essere attribuito a errori di filtro. Anche in questo caso si tratta di una “rete a doppio fondo”: due motori anti-phishing che operano in modo indipendente esprimono il loro giudizio, utilizzando incidentalmente diverse soluzioni AI. Alla fine, però, è la grande esperienza degli sviluppatori di Retarus ad avere l’ultima parola.
Personalizzazione senza sforzo per il cliente
Per mantenere uno standard elevato, i nostri team monitorano continuamente ogni motore e fonte di dati. Vengono valutati i tassi di successo, viene analizzato sistematicamente il feedback dei clienti e, se necessario, viene adattata dinamicamente la combinazione di algoritmi e fonti di dati. In caso di bisogno, le fonti meno efficaci vengono sostituite, o quelle più potenti vengono ponderate maggiormente. Tutto questo avviene durante il normale esercizio e in modo completamente trasparente per i clienti e gli utenti.
