邮件安全效能透明化的必要性

当今网络攻击者资源充足、技术高超且不断创新，这意味着网络安全解决方案的有效性必须持续评估而非假设。尽管邮件安全在保护组织方面扮演关键角色，但邮件安全效能的衡量和沟通缺乏透明度和标准化，这使首席信息安全官（CISO）和安全架构师难以基于数据做出决策。

微软的透明化举措

微软认为透明是信任的基础。作为邮件平台和安全提供商，微软宣布两项举措以支持这一目标：

1. 发布面向客户的仪表板：为 Microsoft Defender for Office 365 客户提供关于其效能的丰富数据，展示跨多种威胁向量的防护效果。
2. 发布基准测试报告：设计两份比较性基准测试报告，帮助客户评估集成多个邮件安全解决方案的益处：
   • 第一份报告描述集成云邮件安全（ICES）供应商在 Microsoft Defender for Office 365 之后检测和修复威胁所增加的保护价值。
   • 第二份报告描述安全邮件网关（SEG）在邮件到达 Microsoft Defender for Office 365 之前进行过滤的价值。

这些报告基于真实威胁数据而非合成测试，提供客观的大规模比较基础。

Defender for Office 365 概述仪表板

新的客户概述仪表板允许安全团队跟踪预交付拦截的网络威胁、交付后缓解的威胁甚至“遗漏”的威胁。它包括 Microsoft Defender for Office 365 功能（如安全链接、安全附件和零小时自动清除）如何为组织提供威胁防护的详细信息。目标是帮助客户自信地回答：“我的组织用户在使用邮件和 Microsoft Teams 等协作表面时如何受到保护免受恶意内容和网络攻击？”

基准测试方法

微软的基准测试研究使用在微软生态系统中观察到的真实邮件威胁，而非依赖合成测试或人工环境。具体比较了仅受 Microsoft Defender for Office 365 保护的环境、在 Defender 前部署 SEG 的环境以及由 ICES 供应商在 Defender for Office 365 之后提供额外保护的环境。所有数据均聚合和匿名化，遵循严格的安全和隐私原则。

SEG 供应商基准测试

SEG 在许多组织的安全架构中继续发挥重要作用，提供额外的保护层。微软基准测试了七家 SEG 供应商和 Microsoft Defender for Office 365。

方法：微软分析了使用特定 SEG 与 Defender for Office 365 的环境中的聚合威胁信号，然后按每 1,000 受保护用户标准化结果以衡量遗漏威胁。

对于 SEG 供应商，如果威胁在交付前未被检测到或交付后未及时移除，则被视为“遗漏”。但对于 Microsoft Defender for Office 365，应用了更严格的标准；即使威胁在交付后被移除，也被视为遗漏。

结果：分析显示，与 Defender for Office 365 基准相比，Defender for Office 365 遗漏的威胁最少。

ICES 供应商基准测试

随着组织采用分层安全策略，ICES 产品在 Microsoft Defender for Office 365 之后执行，充当次要过滤器。这些解决方案提供额外的检测层，专注于特定威胁类型或用户行为模式。

方法：ICES 供应商使用 Microsoft Graph API 将邮件移动到垃圾邮件、促销或已删除项目等文件夹。邮件可以从任何交付位置（如收件箱甚至垃圾文件夹）移动。在此数据研究中，由 ICES 供应商移动的邮件计为捕获。在 ICES 供应商移动之前被 Microsoft Defender for Office 365 标记为垃圾邮件或恶意的邮件计为重复捕获。通常，被 Microsoft Defender for Office 365 分类为垃圾邮件的邮件交付到垃圾文件夹，恶意邮件交付到隔离区。但某些客户配置可以覆盖邮件交付。ICES 供应商捕获通过 Microsoft Defender for Office 365 的整体捕获标准化，以简化查看 ICES 供应商增加的价值。

类别定义：

• 营销和批量：来自已知发件人的促销优惠或新闻通讯（例如，外卖应用的优惠券），非恶意但可能影响生产力。
• 垃圾邮件：来自未经请求或声誉不佳发件人的骚扰邮件，非恶意但可能影响生产力。
• 恶意：包含有害内容（如钓鱼链接、恶意软件或其他安全威胁）的邮件。
• 非恶意：良性邮件，可能是误报或因客户偏好而被移动。

分析显示，将 ICES 产品与 Defender for Office 365 结合使用在增强促销或批量邮件检测方面影响最大，平均改进 20%。这些增强有助于减少收件箱杂乱以改善用户体验，特别是在关注营销噪音的环境中，并为微软考虑持续投资于受益客户的路线图功能提供宝贵见解。对于恶意邮件和垃圾邮件，所有分析供应商的平均改进为恶意捕获 0.30% 和垃圾邮件捕获 0.51。详细信息请参阅基准测试网站。

通过透明化和数据赋能安全

为坚持透明化和数据驱动的严谨性，微软邀请邮件安全测试公认专家 SE Labs 独立审查基准测试方法，确保达到最高质量标准。

“企业需要选择他们能负担的最佳安全方案。像微软这样使用真实威胁展示供应商提供的额外益处提升，有助于这一重要决策。虽然使用合成威胁的传统比较测试允许针对产品中某些功能进行定向测试，使用特定、高级或新颖的攻击技术，但真实数据暴露产品在日常遇到的全谱威胁中的表现。两种测试类型共同提供更完整的安全效能图景。希望微软的数据激发更多比较测试以改善客户决策。” —Simon Edwards, SE Labs 创始人兼首席执行官

面对日益复杂的邮件威胁和网络安全决策的深远后果，清晰度和透明性不可或缺。为支持客户的数据驱动决策，微软计划为这些基准提供季度更新，并将继续收集反馈并与生态系统合作完善方法。

微软坚定承诺不仅保护组织安全，还提供可靠工具和可操作的透明数据，帮助评估效能并保持组织安全。

了解更多

了解更多关于 Microsoft Defender for Office 365 的信息。访问微软安全解决方案网站，收藏安全博客以获取专家安全事务覆盖，并在 LinkedIn (Microsoft Security) 和 X (@MSFTSecurity) 上关注我们以获取最新网络安全新闻和更新。