Интервью с Каем Михайловым (iTPROTECT) про защиту от спама

Редакция CISOCLUB пообщалась с Каем Михайловым, руководителем направления информационной безопасности iTPROTECT, и узнала как защититься от спама. Эксперт подробно рассказал о распространенных видах спама и почему они представляют серьезную опасность для бизнеса. Кай не только поделился информацией об организационных и технических мерах защиты и дал практические рекомендации, но и подробно описал, какие меры могут предпринять организации для повышения уровня безопасности.

1. Какие виды спама сейчас наиболее актуальны, и на какие из них пользователи чаще всего ведутся?

В контексте ИБ, выделить можно две основные категории спама. Фишинговый спам, когда мошенники присылают сообщение, в котором есть ссылка на поддельный сайт, где нужно ввести свои персональные данные. Пользователь заполняет данные, мошенник их ворует для дальнейшего использования.

Вредоносные программы, которые через письмо заражают вирусами устройство пользователя. Таким образом, злоумышленник получает удаленный доступ к личным данным.

Как и всегда, пользователи с гораздо большей вероятностью обращают внимание на сообщения, которые лично им кажутся похожими на настоящее и полезное письмо.

2. Кто обычно занимается рассылкой спама, и какие цели они преследуют?

Обычно это компании, которые занимаются рассылкой рекламы на заказ. Отправка сообщения в расчёте на одно письмо стоит мизерных денег, основную часть стоимости составляет аренда серверов. Даже при очень низкой эффективности такой рекламы, в конечном счете подход окупается.

3. В чем ключевые отличия между спамом и фишингом, и можно ли их считать одной и той же угрозой?

Фишинговые письма отличаются от простых информационных сообщений тем, что содержат уловки той или иной степени сложности. В основном, фишинговые сообщения содержат элемент обмана и несмотря на то, что они так же являются бесполезными сообщениями для пользователя, как и спам, вреда от них значительно больше.

4. Как организации могут защититься от спама с помощью штатных средств, уже доступных в их инфраструктуре?

Почтовые серверы поддерживают общепринятые проверки DMARC, DKIM и SPF. Эти технологии хоть и не являются стандартами, но поддерживаются крупнейшими корпорациями, такими как Яндекс, Mail, и вносят хоть какой-то порядок в первоначальную проверки адресата. Разумеется, эти же технологии нужно настроить и для собственного домена, чтобы получатели ваших сообщений могли производить ответную проверку. От сложных атак такой защиты недостаточно, но если цель – сократить поток, то штатных средств хватит. Если компания использует облачные сервисы почты, то в них обычно доступны дополнительные услуги фильтрации сообщений. В качестве следующего шага можно использовать опенсорсные антивирусы и антиспам системы (например, такие связки как SpamAssasin+ ClamAV). Они имеют недостатки по отношению к коммерческим компаниям, в них отсутствует поддержка производителя, но вполне годятся для небольших компаний.

5. Какие организационные меры необходимо предпринять для снижения рисков, связанных со спамом?

Первое – это необходимость настроить технологии DMARC, DKIM, SPF. Настройка почтового сервера в соответствии с bestpractice, в сети много инструкций по настройке. Также, нужно работать с пользователями, обучая кибергигиене. Для всех этих действий не требуется значительных компетенций. В настоящее время, процесс обучения рядовых сотрудников без специальных IT-навыков уже достаточно проработан. Существует множество подготовленных обучающих программ, которые в лёгкой и игровой форме преподносят навыки поведения в сети и, в частности, безопасной работы с электронной почтой. Для коммерческих организаций, которые готовы выделять бюджет, возможности более широкие – автоматические платформы обучения и проверки знаний сотрудников. Подобные платформы не только содержат обучающие материалы, но и могут учитывать контекст ситуации, например, отрасль и размер компании, навыки человека, его род деятельности и многое другое, но самой интересной возможностью, которой пользуемся так же, и мы в своих тестированиях, является отправка тестовых фишинговых писем. Среди подобных платформ можно выделить, например, Kaspersky ASAP, Phishman, Secure-T Awareness Platform и Start AWR.

6. Как работают специализированные СЗИ от спама, и на что обратить внимание при их выборе?

Коммерческие системы «под капотом» зачастую используют те же самые opensource инструменты, но их сила в регулярном обновлении баз и техник определения, за которыми стоят research-отделы производители, а также поддеркжа вендора и значительное коммьюнити, которое придёт на помощь в сложных ситуациях. Отличие таких систем от свободных аналогов заметно на уровне более сложных и продвинутых атак, именно их они распознают значительно лучше бесплатных конкурентов. Для нас внедрение и настройка комплексных антиспам-систем является стандартным проектом в разрезе построения AntiAPT-систем, которые защищают от сложных целенаправленных атак, решение проблемы фильтрации почты является только одним из звеньев в защите.

7. Как оценить эффективность специализированных средств защиты от спама и какие показатели при этом важны?

Организовать подобные тесты достаточно сложно, так как в идеале необходимо проверить средства защиты на каких-то новых угрозах. Разработать подобные вещи рядовой заказчик не в состоянии. Основным способом является сравнение решений на пилотном проекте – тестирование функций фильтрации разных решений в течение нескольких недель или месяцев на «живом» трафике. Мы часто тестируем средства защиты во время проведения тестов на проникновение, антифишинг играет важнейшую роль в защите от социальной инженерии. Именно в ходе тестирования и попыток проникнуть с помощью вредоносных сообщений внутрь инфраструктуры обученными специалистами-пентестерами задействуются все возможности антиспам-систем. В некоторых наших кейсах после прохождения защиты мы предоставляем заказчикам рекомендации по перенастройке защиты в целом, так как слабым местом общей безопасности могут быть, например, некорректная настройка смежных систем. Типовой ошибкой, например, является настройка почтовых серверов как open-relay, при этом администраторы могут долгое время не замечать проблему – новые спам и фишинг письма пользователям не приходят, при этом злоумышленники получают возможность отсылать сообщения от имени организации. Обычно это приводит к тому, что почтовые сервера компании через некоторое время попадают в чёрные списки поставщиков антивирусных баз.

8. Какие преимущества и недостатки есть у облачных и on-prem СЗИ от спама?

Облачные средства защиты имеют много преимуществ для компаний, которые не специализируются на сфере информационных технологий, либо не имеют сильного ИТ/ИБ штата. Нет необходимости поддерживать и следить за серверами, за срабатываниями системы – поставщик услуги берёт риски на себя. Разумеется, это дороже на дистанции чем собственная система. Если говорить об on-prem инсталляциях, то вы получаете полный контроль как над почтовым потоком, так и получаете возможность полноценно следить за срабатываниями, сможете выстроить процесс ИБ, а также произвести тонкую настройку. Такие задачи обязательно встанут при повышении уровня зрелости ИБ. Под тонкой настройкой имеется в виду предоставление пользователям некой автономии в виде доступа к порталам самообслуживания и привилегий для просмотра заблокированных сообщений. Также многие администраторы безопасности хотели бы получать более поработанные отчёты безопасности, в отличие от тех, что предоставляют системы по умолчанию. В таких случаях мы донастраиваем функции систем, в этом помогает именно наличие в основе тех самых opensource инструментов (таких как postfix или exim) и возможность их доработки.

9. Какие метрики и KPI следует использовать для оценки эффективности защиты от спама в организации в целом?

Лучше проводить тестирование именно на почтовом трафике, характерном для данной организации – например, отправлять копию всей почты на тестируемый антиспам и сверять результаты фильтрации с текущей системой. Метрики появляются только при сравнении нескольких систем и подключении рядовых пользователей, которые будут помечать неправильный срабатывание системы. Важны такие показатели, как ошибки обработки (спам был пропущен), ложноположительные срабатывания (чистое письмо было помечено как спам и не дошло до пользователя). Также имеет смысл обратить внимание на дополнительные функции, их могут быть десятки. Самые полезные – это удобство отчётности, наличие портала самообслуживания для почты, работа под нагрузкой, возможность построения экосистемы, SLA поддержки вендора и многое другое.