Киберэксперт Овчинников рассказал о подходах к созданию системы безопасности электронной почты в крупной компании
Изображение: dall-e
В отличии от небольших компаний, где почтовый сервис арендуется у стороннего провайдера или используется бесплатная почта, крупные компании имеют сеть филиалов со своей собственной инфраструктурой, местными администраторами, своими DNS-серверами, удалённым доступом к почте и прочими атрибутами современной компании. Естественно, такое обилие ИТ-активов усложняет защиту почтовых систем и накладывает свои особенности в части их защиты. На слуху у всех защита от спама и использование почтовых антивирусов, но на самом деле полноценная защита почты включает в себя множество других факторов.
Прежде всего надо начать с защиты DNS-записей и DNS-серверов. Маршрутизация почты происходит на основе MX-записей, и если в зону DNS-внести неверную информацию, то это может привести к серьёзным последствиям. Кроме того, использование технологий SPF, DKIM и DMARK основывается на DNS.
Следующим шагом должно быть использование мер защиты SPF, DKIM и DMARK. В целом для первоначальной защиты почты этого хватит, но фактически эти меры только немного повысят защищённость системы. Поэтому далее необходимо настроить антиспам-систему и использовать специализированный почтовый антивирус.
Так как мы говорим о крупной компании, то, скорее всего, в DMZ уже расположен MTA-сервер, который пересылает почту во внутреннюю инфраструктуру, поэтому самое время заняться его хардерингом. Изучите документацию на ОС и MTA и произведите корректную настройку. Например, ограничьте удалённый доступ, осуществляйте доступ только с проверенных IP-адресов по ключам, а не по паролям. Добавьте сервер в систему мониторинга. Удалите лишние учётные записи, проверьте права доступа. Подобного рода настроек очень много, и в формате данной статьи все рассмотреть не получится, но главное, чтобы была понятна сама идея — что и как защищать.
Далее надо заняться защитой удалённого доступа через web-интерфейс. Многие современные почтовые системы позволяют это сделать, а вот насколько это безопасно — вопрос для администраторов ИБ. Некоторые web-интерфейсы могут иметь уязвимости, поэтом надо внимательно следить за подобным ресурсом, который выставлен в сеть Интернет, и своевременно обновлять версионность, а также не забывать о защите веб-сервера, на котором происходит публикация.
Если у нас есть DMZ и внутренняя сеть — значит, у нас есть МЭ. Да, он относится к защите инфраструктуры, но является фундаментом для защиты сети. Выявите все информационные потоки между почтовыми серверами и проверьте, что всё лишнее (порты, протоколы) закрыто для использования.
Теперь, когда с точки зрения защиты у нас почти все готово, самое время перейти к разграничению групп пользователей. Некоторым пользователям совершенно не надо получать письма извне: это просто не предусмотрено их рабочими обязанностями. Вот таким пользователям надо ограничить возможность отправки и получения почтовых сообщений. Не надо полагаться на то, что пользователь не будет писать или получать письма извне, если он не с кем не коммуницирует. Мошенники точно найдут способ отправить ему письмо. Поэтому чем меньше площадь атаки, тем более защищена вся сеть.
Если есть возможность включить пользователям двухфакторную аутентификацию — сделайте это. Компрометация учётных записей — это только один из возможных сценариев атаки злоумышленников. Проведите аудит учётных записей администраторов, кому и куда разрешён доступ в части почтовых серверов. Оставьте минимум прав.
Для крупных компаний важно не пренебрегать комплексной защитой своих ИТ-ресурсов, и почта как часть любых бизнес-процессов компании заслуживает особого внимания. Обратите внимание на встроенные возможности ОС и почтовых систем. Зачастую их правильная настройка значительно усложнит жизнь киберпреступников с нулевыми затратами.
Регулярно проводите киберучения и обучение сотрудников. Это поможет в том случае, если защита даст сбой.
Автор: Руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников.
