Secure email gateway что это
Secure Email Gateway — фильтрация почтового трафика
Основы информационной безопасности для сотрудников при работе из дома
Безопасный шлюз электронной почты
Электронная почта, пожалуй, самый важный рабочий инструмент, поэтому защита и бесперебойная работа почтового сервера крайне важна. И вы сможете защитить конфиденциальные данные от просмотра посторонними лицами с помощью решений по защите почтового трафика.
Безопасный шлюз электронной почты (Secure Email Gateway, SEG) — это устройство или программное обеспечение, используемое для отслеживания отправляемых и получаемых электронных писем.
Безопасные шлюзы электронной почты предлагают отличную защиту от вредоносных сообщений и вложений. Используя надежные решения для защиты электронной почты, вы сможете значительно сократить количество успешных и попыток атак на ваш бизнес.
Благодаря им обеспечивается непрерывность бизнеса. То есть все операции с электронной почтой будут проходить даже при выходе из строя почтового клиента организации. Все потому, что поставщик шлюза электронной почты будет предоставлять пользователям доступ к облачной службе электронной почты в случае недоступности почтового клиента (такого как Office 365).
Обзор шлюзов безопасности электронной почты (Email Security Gateway)
Электронная почта — один из важнейших компонентов нормального функционирования бизнеса. Количество писем, проходящих через корпоративные сервера, может исчисляться и сотнями, и десятками тысяч. Тут все зависит только от размеров компании. Поэтому обеспечение информационной безопасности в этом сегменте — важная часть корпоративной стратегии ИБ в целом. В этом обзоре мы расскажем вам о ведущих инструментах защиты электронной почты — Email Security Gateway — и предоставим удобный инструмент для выбора оптимального варианта.
Для тех, кто сомневается, что электронная почта может стать серьезным источником угроз, приведем один простой пример. Многие известные вирусы-вымогатели, например WannaCry, Petya и NotPetya, которые нанесли по всему миру убытков на миллиарды долларов, распространялись в том числе и через e-mail. Шлюзы безопасности и электронной почты в том частности, как раз и призваны бороться с подобными угрозами, а также более прозаическими вещами, например, спамом, интернет-мошенничеством (фишингом) и т.д. Они анализируют электронные письма и блокируют действия тех из них, которые содержат нежелательный контент: вредоносные вложения, фишинговые (ведущие на поддельные сайты) ссылки, назойливую рекламу. Некоторые из них также умеют блокировать передачу приватной и конфиденциальной корпоративной информации.
Еще одна проблема, которую решают такие шлюзы — обилие личных устройств (смартфонов, планшетов, ноутбуков), которыми сотрудники пользуются в служебных целях. Такой формат работы называется BYOD (от англ. bring your own device — принеси собственное устройство). Но он также несет дополнительные риски для ИБ.
С ростом количества устройств, спама и атак через электронную почту, ситуация будет только усугубляться. Поэтому надежный шлюз безопасности электронной почты — это важное звено в информационной безопасности предприятия.
На сегодняшний день шлюзы безопасности электронной почты бывают нескольких видов: публичный облачный сервис, аппаратное обеспечение, виртуальные устройства, а также их гибриды. Но как выбрать именно то решение, которое необходимо предприятию? Для этого нужно ответить на ряд вопросов.
Например, насколько у решения продвинутые базовые функции безопасности? Чем больше возможностей предоставляет продукт, тем, конечно, лучше. Если одно решение предлагает только базовую защиту от вирусов на основе сигнатурного анализа, а другое еще и проверку в песочнице, то следует обратить внимание именно на второй вариант. Там защита от вирусов будет более надежной.
Точно такой же подход нужен и для защиты от спама. Некоторые решения позволяют самостоятельно формировать списки и политики блокировки. Другие умеют удерживать нежелательную почту на карантине. Если вдруг туда по ошибке попадет нужное письмо, всегда будет возможность его восстановить на протяжении определенного периода времени.
Еще один вопрос — какую дополнительную функциональность предлагает продукт и нужна ли она? Например, многие решения дают возможность шифровать почтовые сообщения. Если для компании это важный момент, то стоит обратить внимание на такие продукты. Если нет, возможно, не стоит переплачивать.
Вопросы хранения информации тоже важны. Главный можно сформулировать так — где будут храниться письма? Во многих компаниях корпоративная политика ИБ требует, чтобы почта находилась на внутренних серверах. В таком случае облачные решения неприемлемы, которые предусматривают хранение почты на серверах поставщика услуг.
Подобных вопросов можно задавать еще много, поэтому к выбору нужно подходить вдумчиво. Мы поможем вам в этом, рассказав о ведущих решениях, присутствующих сегодня на рынке, и об их основных возможностях. Все они имеют высокий рейтинг на Gartner, а многие регулярно попадают в «магические квадраты» этой аналитической организации в качестве лидеров рынка и перспективных продуктов.
Barracuda Email Security Gateway
Защита от вредоносных программ: есть
Защита от продвинутых угроз: есть
Пробный период: есть
Решение компании Barracuda — это мощный и функциональный инструмент для мониторинга всей входящей и исходящей почты организации. Barracuda Email Security Gateway поставляется в виде как аппаратного, так и виртуального решения, а также в качестве облачного сервиса на платформе Amazon Web Services или MS Azure. Продукт защищает от атак, вирусов, DoS-атак и утечек конфиденциальных данных через письма. Он позволяет шифровать сообщения и использовать облако для отправки электронной почты. Это может пригодиться, если почтовые серверы становятся недоступными в результате атаки или поломки.
Защита почты происходит несколькими способами. Для фильтрации писем можно использовать ряд предустановленных политик. В соответствии с ними нежелательные письма будут отсеиваться. От фишинговых атак в режиме реального времени защищает облачный компонент Barracuda Sentinel. В нем применяются элементы машинного обучения и искусственного интеллекта. Интеграция с облачными сервисами также позволяет снизить нагрузку на аппаратное обеспечение компании, так как дополнительные проверки входящей и исходящей почты осуществляются в облаке.
Cisco Email Security
Защита от вредоносных программ: есть
Защита от продвинутых угроз: есть
Пробный период: есть, 45 дней
Решение от одного из ведущих вендоров в сфере ИТ, которое поставляется как в аппаратном, так и в облачном варианте. В зависимости от типа подписки, Cisco Email Security защищает электронную почту организации от спама, вирусов и целенаправленных атак (базовый вариант), а также предоставляет простые в использовании решения в области шифрования и предотвращения потери данных (DLP) для обеспечения информационной безопасности.
Одна из самых важных функций продукта — борьба с угрозами нового поколения, которые в первые часы и дни своего существования очень трудно обнаружить. От них защищает механизм блокирования целенаправленных атак Cisco Outbreak Filters. В нем используются три основных элемента — эвристика целенаправленных атак, динамический карантин и облачное сетевое перенаправление.
Кроме этого, продукт обладает всеми необходимыми функциями для подобного рода решений: в наличии политики безопасности, антиспам, обнаружение фишинга и др. В работе Cisco Email Security используется интеллектуальная платформа для анализа угроз
Cisco Talos, а также имеется тесная интеграция с Office 365.
Microsoft Exchange Online Protection
Защита от вредоносных программ: есть
Защита от продвинутых угроз: нет
Пробный период: есть
Это решение рассчитано исключительно на облачную модель использования. Не смотря на то что это продукт Microsoft, ориентированный в первую очередь на работу с Microsoft Exchange Server, он также совместим с любым локальным решением электронной почты. Exchange Online Protection предназначен для борьбы со спамом и вредоносными программами, а также для управления политиками сообщений.
Exchange Online Protection предусматривает три варианта работы. В изолированном сценарии он обеспечивает облачную защиту электронной почты для локальной среды. В гибридном варианте продукт можно настроить для защиты среды обмена сообщениями и управления маршрутизацией почты, когда имеется набор локальных и облачных почтовых ящиков. А как часть продукта Microsoft Exchange Online он включен по умолчанию и также обеспечивает защиту облачных почтовых ящиков этого сервиса.
Защита от вредоносных программ: есть
Защита от продвинутых угроз: есть
Пробный период: есть
Защитный продукт для электронной почты от Fortinet поставляется в виде физических и виртуальных устройств, а также в качестве облачного сервиса. Он может работать как самостоятельное решение, но также является частью Fortinet Advanced Threat Protection (Fortinet ATP). Этот комплекс обеспечивает защиту от сложных угроз и целенаправленных атак. У FortiMail есть продвинутые инструменты для блокировки спама, фильтрации вредоносных ссылок и файлов из фишинговых писем. Также он умеет предотвращать утечки информации и шифровать корреспонденцию на основе идентификационных данных.
В борьбе с вредоносными программами FortiMail использует комбинацию из сигнатурных, эвристических и поведенческих методов обнаружения. Аэффективность блокировки спама составляет 99,997% — это результаты независимого тестирования Virus Bulletin, состоявшегося летом 2017 года. Данный показатель — один из лучших на рынке.
Proofpoint Email Protection
Защита от вредоносных программ: есть
Защита от продвинутых угроз: частично
Пробный период: есть, 45 дней
Proofpoint— это американская компания, деятельность которой в основном направлена как раз на разработку решений почтовой безопасности. Один из ее флагманских продуктов — облачное решение Proofpoint Email Protection. Оно предлагает средства защиты от фишинговых писем и пересылаемых вредоносных файлов, блокировку спама и подозрительных ссылок, а также защиту от почтовых вирусов. При работе со входящей и исходящей почтой используются гибкие политики. Они дают возможность применять несколько уровней правил: глобальные, групповые и пользовательские, что позволяет удобно настраивать работу системы.
Proofpoint Email Protection проверяет входящую почту по сотням параметров, в том числе по адресу отправителя, заголовкам, содержанию, вложениям и т. д. Это защищает компанию от набирающей обороты угрозы — писем от самозванцев, которые маскируются под доверенных адресантов, например, руководство компании или деловых партнеров.
SonicWALL Email Security
Защита от вредоносных программ: есть
Защита от продвинутых угроз: да
Пробный период: есть
Почтовая защита от компании SonicWALL поставляется в трех вариантах: в виде аппаратного обеспечения, облачного сервиса, а также программного продукта. Их можно комбинировать, а можно использовать по отдельности. Тут все зависит от потребностей организации и модели работы.
По функциональности эти решения предлагают стандартный набор из комплексной защиты входящих и исходящих сообщений, блокировки спама, защиты от фишинга, шифрования почты, защиты от потери данных, набора политик для фильтрации писем и т. д. В продукте есть модуль Capture Advanced Threat Protection service, который позволяет эффективно бороться с угрозами нулевого дня. Ас фишинговыми угрозами SonicWALL Email Security справляется при помощи эвристического анализа, машинного обучения, анализа контента и репутации отправителя.
Защита от вредоносных программ: есть
Защита от продвинутых угроз: частично
Пробный период: есть
Этот облачный сервис предлагает полный спектр защиты электронной почты от всех видов современных угроз. Проходя через облака службы, письма проверяются на пяти уровнях: это поведенческий анализ, проверка репутации, содержимого, сканирование антивирусом и применение пользовательских настроек. В последнем случае это может быть работа с белыми и черными списками, блокировка любого заданного контента и т. д.
Одна из главных функций продукта — борьба с поддельными письмами. По отзывам клиентов, The Email Laundry легко справляется с такими угрозами. В дополнение к этому средство предоставляет блокировщик спама с заявленной надежностью 99.99%.
Symantec Email Security.cloud
Защита от вредоносных программ: есть
Защита от продвинутых угроз: да
Пробный период: есть
Symantec — известный производитель антивирусного ПО — также имеет облачное решение для защиты электронной почты. В нем стандартный набор для подобного рода инструментов: антифишинг, антиспам, защита от вредоносных программ и ссылок, шифрование и обеспечение конфиденциальности.
Так как у Symantec есть целый арсенал средств для обеспечения информационной безопасности, множество из них используются и в этом продукте. Один из них — технология проверки ссылок в реальном времени. Она отслеживает полные, а также сокращенные ссылки в письмах и анализирует содержимое веб-сайтов, на которые они ведут. Если ссылки не соответствуют критериям безопасности, письма с ними блокируются. Для борьбы со спамом используется эвристический анализ, проверка получателей, списки запрещенных адресов, а также сканирование входящих и исходящих сообщений. По заявлению разработчиков, это позволяет заблокировать 99 % несанкционированных рассылок.
Symantec Email Security.cloud также умеет защищать и шифровать пересылаемые данные при помощи набора специальных политик, что помогает снизить риск утечки информации. Технология защиты данных анализирует различные компоненты электронной почты, в том числе текст сообщения, заголовки, содержимое документов Microsoft Office и PDF, встроенных в сообщение или отправленных в виде вложения.
Шлюзы безопасности электронной почты — это не панацея от всех бед, но важная составляющая комплексного подхода к информационной безопасности. Использование этих продуктов существенно снижает риск применения фишинга и социальной инженерии, а также распространения опасных вирусов в корпоративной сети. Большинство из них обладают схожей функциональностью. Но отличия, как видно из нашего обзора, все же есть.
Чтобы проще ориентироваться в этих тонкостях, вы можете воспользоваться таблицей сравненияИз нее вы узнаете о наличии или отсутствии тех или иных функций в каждом рассмотренном шлюзе и увидите все необходимые данные о продуктах. Это поможет вам сделать осознанный выбор решения в соответствии с вашими потребностями максимально комфортно.
Secure email gateway что это
Решение Kaspersky Secure Mail Gateway позволяет развернуть виртуальный почтовый шлюз и интегрировать его в существующую почтовую инфраструктуру организации. На виртуальном почтовом шлюзе предустановлены: операционная система, почтовый сервер и антивирусная программа «Лаборатории Касперского».
Kaspersky Secure Mail Gateway обеспечивает защиту входящей и исходящей почты от вредоносных объектов и спама, выполняет контентную фильтрацию сообщений, а также, при интеграции с программой Kaspersky Anti Targeted Attack Platform (далее также «KATA»), обеспечивает защиту почты от целевых атак на IT-инфраструктуру организации.
Kaspersky Secure Mail Gateway позволяет:
Атака, направленная на конкретного человека или организацию. В отличие от массовых атак компьютерными вирусами, направленных на заражение максимального количества компьютеров, целевые атаки могут быть направлены на заражение сети определенной организации или даже одного сервера в IT-инфраструктуре организации. Для каждой целевой атаки может быть написана специальная троянская программа.
Вид интернет-мошенничества, целью которого является получение неправомерного доступа к конфиденциальным данным пользователей.
Несанкционированная массовая рассылка сообщений электронной почты, чаще всего рекламного характера.
Чтобы увеличить скорость реакции на новые угрозы, компоненты защиты Kaspersky Secure Mail Gateway могут использовать информацию из Kaspersky Security Network.
Инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний «Лаборатории Касперского» о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции программ «Лаборатории Касперского» на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний.
Решение, позволяющее пользователям антивирусных программ «Лаборатории Касперского» получать доступ к данным Kaspersky Security Network, не отправляя информацию на серверы Kaspersky Security Network «Лаборатории Касперского» со своей стороны.
После интеграции с KPSN Kaspersky Secure Mail Gateway может использовать репутационные базы KSN, проверка по которым будет выполняться внутри инфраструктуры организации.
По вопросам приобретения программы Kaspersky Private Security Network вы можете связаться со специалистами компании – партнера «Лаборатории Касперского» в вашем регионе.
Сложная целевая атака на IT-инфраструктуру организации с одновременным использованием различных методов проникновения в сеть, закрепления в сети и получения регулярного доступа к конфиденциальным данным.
Атака на IT-инфраструктуру организации, использующая уязвимости «нулевого дня» в программном обеспечении, которые становятся известны злоумышленникам до момента выпуска производителем программного обеспечения обновления, содержащего исправления.
Решение, предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как, например, атаки «нулевого дня», целевые атаки и сложные целевые атаки advanced persistent threats (далее также » APT«).
После интеграции с KATA Kaspersky Secure Mail Gateway может отправлять копии сообщений на проверку KATA. По результатам проверки KATA Kaspersky Secure Mail Gateway может блокировать отдельные сообщения.
По вопросам приобретения программы Kaspersky Anti Targeted Attack Platform вы можете связаться со специалистами отдела продаж «Лаборатории Касперского».
Фильтрация сообщений электронной почты по размеру сообщения, маскам имен вложенных файлов и форматам вложенных файлов. По результатам контентной фильтрации можно ограничить пересылку сообщений почтовым сервером.
Компонент Kaspersky Secure Mail Gateway, предназначенный для обнаружения сообщений, которые классифицируются как фишинг.
Компонент Kaspersky Secure Mail Gateway, предназначенный для обнаружения сообщений, которые классифицируются как спам.
Компонент Kaspersky Secure Mail Gateway, предназначенный для обнаружения вирусов в сообщениях электронной почты и вложениях в сообщения электронной почты.
Проверка, определяющая политику и действия над сообщениями по результатам SPF- и DKIM-проверок подлинности отправителей сообщений.
Проверка цифровой подписи к сообщениям.
Сопоставление IP-адресов отправителей сообщений со списком возможных источников сообщений, созданным администратором почтового сервера.
Kaspersky Secure Mail Gateway распространяется в формате шаблона виртуальной машины OVA (Open Virtual Appliance) или ISO-образа виртуальной машины, предназначенного для развертывания в гипервизоре Microsoft Hyper-V®.
В результате развертывания образа создается виртуальная машина с предустановленной операционной системой CentOS 6.10, почтовым сервером и программой Kaspersky Security для Linux® Mail Server (далее также «Kaspersky Security»). После развертывания вы можете настроить виртуальную машину с помощью мастера первоначальной настройки.
Secure email gateway что это
В справку включены следующие разделы:
Этот раздел содержит описание источников информации о программе.
Этот раздел содержит краткий обзор и функциональные возможности решения Kaspersky Secure Mail Gateway. Из раздела вы узнаете о режимах работы Kaspersky Secure Mail Gateway, аппаратных и программных требованиях.
Этот раздел содержит информацию об основных понятиях, связанных с лицензированием программы.
Этот раздел содержит информацию о том, как проверить уровень защиты почтового сервера и наличие проблем в защите.
Этот раздел содержит информацию об участии в Kaspersky Security Network.
Этот раздел содержит пошаговые инструкции по развертыванию образа виртуальной машины Kaspersky Secure Mail Gateway на VMware ESXi-хосте.
Этот раздел содержит пошаговые инструкции по первоначальной настройке Kaspersky Secure Mail Gateway, которую нужно выполнить после развертывания образа виртуальной машины Kaspersky Secure Mail Gateway.
Этот раздел содержит информацию о запуске виртуальной машины Kaspersky Secure Mail Gateway.
Этот раздел содержит инструкцию по подключению к веб-интерфейсу Kaspersky Secure Mail Gateway.
Этот раздел содержит инструкции по интеграции Kaspersky Secure Mail Gateway в почтовую инфраструктуру организации.
Этот раздел содержит информацию о настройке основных параметров MTA.
Этот раздел содержит информацию о мониторинге почтового трафика, последних обнаруженных угроз и ресурсов системы.
Этот раздел содержит информацию об обновлении антивирусных баз, баз модулей Анти-Спам и Анти-Фишинг.
Этот раздел содержит информацию об обновлении Kaspersky Secure Mail Gateway через веб-интерфейс.
Этот раздел содержит информацию об антивирусной защите сообщений и настройке ее параметров.
Этот раздел содержит информацию о защите сообщений от спама и настройке ее параметров.
Этот раздел содержит информацию о защите сообщений от фишинга и настройке ее параметров.
Этот раздел содержит информацию о контентной фильтрации сообщений и настройке ее параметров.
Этот раздел содержит информацию о правилах обработки сообщений, настройке их параметров и настройке параметров Kaspersky Secure Mail Gateway для каждого правила обработки сообщений.
Этот раздел содержит информацию о соединении Kaspersky Secure Mail Gateway с LDAP-сервером и о настройке параметров и фильтров соединения с LDAP-сервером.
Этот раздел содержит информацию о почтовых уведомлениях Kaspersky Secure Mail Gateway и настройке их параметров.
Этот раздел содержит информацию о примечаниях и предупреждениях Kaspersky Secure Mail Gateway и настройке их параметров.
Этот раздел содержит информацию о резервном хранилище и работе с ним.
Этот раздел содержит информацию о технологиях проверки подлинности отправителей сообщений, используемых в Kaspersky Secure Mail Gateway, и настройке параметров проверки подлинности отправителей сообщений.
Этот раздел содержит информацию об SMTP-проверке подлинности получателей сообщений и о настройке ее параметров.
Этот раздел содержит информацию о добавлении DKIM-подписи к исходящим сообщениям.
Этот раздел содержит информацию о работе с программой по протоколу SNMP, а также о настройке ловушек событий, возникающих во время работы Kaspersky Secure Mail Gateway.
Этот раздел содержит информацию о журнале событий программы и настройке его параметров.
Этот раздел содержит информацию о том, как создавать и просматривать отчеты о работе Kaspersky Secure Mail Gateway.
Этот раздел содержит информацию о черных и белых списках адресов электронной почты, которые можно создавать и редактировать в Kaspersky Secure Mail Gateway.
Этот раздел содержит информацию об использовании протокола TLS в работе Kaspersky Secure Mail Gateway и о настройке параметров использования протокола.
Этот раздел содержит информацию об очередях сообщений Kaspersky Secure Mail Gateway.
Этот раздел содержит информацию о журнале трассировки Kaspersky Secure Mail Gateway.
Этот раздел содержит информацию о способах и условиях получения технической поддержки.
Этот раздел содержит список терминов, которые встречаются в тексте документа, а также определения этих терминов.
Этот раздел содержит информацию о АО «Лаборатория Касперского».
Этот раздел содержит информацию о стороннем коде, используемом в программе.
В этом разделе перечислены товарные знаки сторонних правообладателей, использованные в документе.
Этот раздел позволяет быстро найти необходимые сведения в документе.
Больше чем антиспам: как выжать максимум из Security Email Gateway
Пока большой Enterprise выстраивает эшелонированные редуты от потенциальных внутренних злоумышленников и хакеров, для компаний попроще головной болью остаются фишинговые и спам-рассылки. Если бы Марти Макфлай знал, что в 2015 году (а уж тем более в 2020) люди не то что не изобретут ховерборды, но даже не научатся полностью избавляться от нежелательной почты, он бы, наверное, потерял веру в человечество. Более того, спам сегодня не просто назойлив, но часто и вредоносен. Примерно в 70% случаев в ходе реализации killchain киберпреступники проникают в инфраструктуру с помощью вредоносного ПО, содержащегося во вложениях, или через фишинговые ссылки в электронных письмах.
Последнее время явно прослеживается тенденция к распространению социальной инженерии как способа проникнуть внутрь инфраструктуры организации. Сравнивая статистику 2017 и 2018 гг., мы наблюдаем почти 50-процентный рост числа случаев, когда вредоносное ПО доставлялось на компьютеры сотрудников именно через вложения или фишинговые ссылки в теле письма.
В целом весь спектр угроз, которые могут быть реализованы при помощи электронной почты, можно разделить на несколько категорий:
2 часа на разбор почты — это многовато
С подобной ситуацией к нам обратился один из ритейлеров. Системы учета рабочего времени показывали, что каждый день его сотрудники тратили около 25% рабочего времени (2 часа!) на разбор почтового ящика.
Подключив сервер почты заказчика, мы настроили инстанс SEG`а как двусторонний шлюз и для входящей, и для исходящей почты. Запустили фильтрацию по заранее установленным политикам. Blacklist мы составили на основе анализа предоставленных заказчиком данных и наших собственных списков потенциально опасных адресов, полученных экспертами Solar JSOC в рамках других сервисов — например, мониторинга инцидентов ИБ. После этого вся почта доставлялась адресатам только после очистки, и разные спам-рассылки про «грандиозные скидки» перестали тоннами сыпаться на почтовые серверы заказчика, освобождая пространство для других нужд.
Но бывали ситуации, когда легитимное письмо ошибочно было отнесено к спаму, например, как полученное от не доверенного отправителя. В этом случае право решения мы предоставили заказчику. Вариантов, что делать, не так много: сразу удалять либо отправлять на карантин. Выбрали второй путь, при котором такая нежелательная почта сохраняется на самом SEG. Сисадмину мы предоставили доступ к веб-консоли, в которой он мог в любое время найти важное письмо, например, от контрагента, и пропустить его к пользователю.
Избавляемся от паразитов
В состав сервиса защиты электронной почты входят аналитические отчёты, целью которых является контроль защищенности инфраструктуры и эффективности применяемых настроек. Кроме того, эти отчеты позволяют прогнозировать тренды. Например, находим в отчёте соответствующий раздел «Spam by Recipient» или «Spam by Sender» и смотрим, на чей адрес поступает самое большое число блокируемых сообщений.
Как раз при анализе такого отчёта нам показалось подозрительным резко возросшее общее число писем у одного из заказчиков. Инфраструктура у него небольшая, количество писем невысокое. И вдруг после рабочего дня почти в два раза увеличилось количество блокированного спама. Решили присмотреться повнимательнее.
Видим, что увеличилось число исходящих писем, и во всех в поле «Отправитель» стоят адреса из домена, который как раз подключён к сервису защиты почты. Но есть один нюанс: среди вполне вменяемых, возможно даже существующих, адресов попадаются явно странные. Посмотрели IP, с которых отправлялись письма, и, вполне ожидаемо, оказалось, что они не принадлежат защищаемому адресному пространству. Очевидно, злоумышленник рассылал спам от имени заказчика.
Собственно, почему это важно: спам от имени никому не известной мелкой компании — это неприятно, но не критично. Совсем иначе дело обстоит, например, в банковской отрасли. По нашим наблюдениям, там уровень доверия жертвы к фишинговому письму многократно повышается, если оно отправлено якобы с домена другого банка или известного жертве контрагента. И это отличает не только банковских сотрудников, в других отраслях – той же энергетике – мы сталкиваемся с такой же тенденцией.
Убиваем вирусы
Но спуфинг не такая частая проблема, как, например, вирусные заражения. А как чаще всего борются с вирусными эпидемиями? Ставят антивирус и надеются, что «враг не пройдет». Но если бы всё было так просто, то, с учетом достаточно невысокой стоимости антивирусов, все уже давно забыли бы о проблеме вредоносного ПО. А между тем, мы постоянно получаем запросы из серии «помогите восстановить файлы, у нас всё пошифровало, работа стоит, данные утеряны». Мы не устаем повторять заказчикам, что и антивирус не панацея. Помимо того, что антивирусные базы могут недостаточно быстро обновляться, мы часто встречаем ВПО, способное обходить не только антивирусы, но и песочницы.
К сожалению, мало кто из рядовых сотрудников организаций осведомлен о фишинговых и вредоносных письмах и в состоянии отличить их от обычной переписки. В среднем каждый 7-й пользователь, который не проходит регулярное повышение осведомленности, поддается на социальную инженерию: открывает зараженный файл или отправляет свои данные злоумышленникам.
Хотя социальный вектор атак, в общем, постоянно понемногу усиливался, в прошлом году этот тренд стал особенно заметен. Фишинговые письма становились все больше похожи на привычные рассылки о промоакциях, предстоящих мероприятиях и т.д. Здесь можно вспомнить атаку Silence на финсектор – банковским сотрудникам приходило письмо якобы с промокодом на участие в популярной отраслевой конференции iFin, и процент поддавшихся на уловку был очень высок, хотя, напомним, речь о банковской сфере – самой продвинутой в вопросах информационной безопасности.
Перед прошлым Новым годом мы также наблюдали несколько достаточно курьезных ситуаций, когда сотрудники промышленных компаний получили очень качественные фишинговые письма со «списком» новогодних акций в популярных интернет-магазинах и с промокодами на скидки. Сотрудники не только сами пытались перейти по ссылке, но и пересылали письмо коллегам из смежных организаций. Поскольку ресурс, на который вела ссылка в фишинговом письме, был заблокирован, сотрудники начали массово оставлять ИТ-службе заявки на предоставление доступа к нему. В общем, успех рассылки, должно быть, превзошел все ожидания злоумышленников.
А недавно к нам обратилась за помощью компания, которую «пошифровало». Началось всё с того, что сотрудники бухгалтерии получили письмо якобы от ЦБ РФ. Бухгалтер кликнул по ссылке в письме – и скачал себе на машину майнер WannaMine, который, как и известный WannaCry, эксплуатировал уязвимость EternalBlue. Самое интересное, что большинство антивирусов умеют детектировать его сигнатуры ещё с начала 2018 года. Но, то ли антивирус был отключен, то ли базы не обновлены, то ли вообще его там не было, — в любом случае майнер уже был на компьютере, и ничто ему не помешало распространяться дальше по сети, загружая ЦПУ серверов и АРМ на 100%.
Этот заказчик, получив отчёт нашей группы форензики, увидел, что изначально вирус проник к нему через почту, и запустил пилотный проект по подключению сервиса по защите электронной почты. Первым, что мы настроили, был почтовый антивирус. При этом сканирование на вредоносы осуществляется постоянно, а обновления сигнатур сначала производилось каждый час, а затем заказчик перешел на режим дважды в день.
Полноценная защита от вирусных заражений должна быть эшелонированной. Если говорить о передаче вирусов через электронную почту, то необходимо отсеивать такие письма на входе, обучать пользователей распознавать социальную инженерию, а потом уже рассчитывать на антивирусы и песочницы.
вSEGда на страже
Конечно, мы не утверждаем, что решения класса Secure Email Gateway — это панацея. Таргетированные атаки, в том числе и целевой фишинг, крайне трудно предотвратить, т.к. каждая такая атака «затачивается» под конкретного получателя (организацию или человека). Но для компании, пытающейся обеспечивать базовый уровень безопасности, это немало, особенно с правильно приложенными к задаче опытом и экспертизой.
Чаще всего при реализации целевого фишинга в тело писем не включают вредоносные вложения, иначе система антиспама сразу заблокирует такое письмо на пути к получателю. Зато включают в текст письма ссылки на заранее подготовленный веб-ресурс, и тогда уже дело за малым. Пользователь переходит по ссылке, а затем через несколько редиректов за считанные секунды оказывается на последнем из всей цепочки, открытие которого подгрузит на его компьютер вредонос.
Даже изощрённее: в момент получения письма ссылка может быть безобидна и только по прошествии некоторого времени, когда она уже отсканирована и пропущена, начнёт редиректить на вредонос. К сожалению, специалисты Solar JSOC, даже с учётом их компетенций, не смогут настроить почтовый шлюз так, чтобы «видеть» вредоносы через всю цепочку (хотя в качестве защиты можно использовать автоматическую подмену всех ссылок в письмах на SEG, чтобы последний сканировал ссылку не только в момент доставки письма, а при каждом переходе).
Между тем, даже с типичным редиректом помогает справляться агрегация нескольких видов экспертиз, в том числе данных, получаемых нашим JSOC CERT, и OSINT. Это позволяет формировать расширенные черные списки, на основании которых даже письмо со множественной переадресацией будет заблокировано.
Использование SEG — это только маленький кирпичик в той стене, которую хочет выстроить любая организация для защиты своих активов. Но и это звено необходимо правильно укладывать в общую картину, потому что даже SEG при грамотной настройке можно сделать полноценным средством защиты.
Ксения Садунина, консультант отдела экспертного пресейла продуктов и сервисов Solar JSOC