Защита корпоративной почты: как избежать утечки информации и предотвратить фишинг-атаки

Защита корпоративной почты – задача, которая встает перед любой организацией, активно использующей электронную почту в рамках своих бизнес-процессов. По данным «Лаборатории Касперского», в 70% кибератак применяется социальная инженерия, главным инструментом которой является фишинг, причем большая часть фишинг-атак направлена на корпоративную почту.
Фишинговые атаки сложны для распознавания как пользователем, так и автоматизированными системами, и без должного подхода к защите почты компанию могут ждать серьезные последствия. В этой статье я расскажу, как сократить поток спам-писем и снизить вероятность успешной реализации атак.
Самый опасный способ атаки
Фишинг-атаки и спам в целом не просто так остаются самым популярным вектором вторжения в инфраструктуру компании. Причиной тому — их простота. Для фишинга не требуется большого объема технических знаний или сложного оборудования. Гораздо большую роль играют способности злоумышленника как психолога. Его цель – убедить или заставить пользователя, получившего письмо, открыть вредоносное содержимое, которое может устанавливаться автоматически. Дальше последствия могут разниться в зависимости от тактики злоумышленника. Это может быть просто вирус, а может быть программа, которая даст злоумышленнику удаленный доступ и, как следствие, точку входа в сетевой периметр компании.
Кто в группе риска?
Угрозе фишинговых атак подвергнуты абсолютно все организации, любого масштаба. Нередки случаи, когда таким способом злоумышленники «заходили» даже в надежно защищенные антиспамом крупные организации, например, через их подрядчиков. Приведу типичный пример подобной атаки: компания-цель добавила почтовый домен подрядчика в «белый список» своего антиспам-решения. Все письма с этого домена выглядели как легитимная переписка в рамках работы по совместному проекту. Поэтому пользователи в компании-цели легко открывали и письма, и вложения в них. При этом они не проверялись антивирусным модулем, что повлекло за собой получение злоумышленниками доступа к инфраструктуре компании-цели, несмотря на все ее средства защиты.
Как обезопасить себя
Направление защиты от фишинга и спама является также и самым проработанным, т. к. появилось еще на заре развития ИБ и постоянно совершенствуется. Существует широкий ассортимент антиспам-систем, способных при должной настройке работать автономно. Такие инструменты могут подойти для небольших и средних компаний. Для крупных игроков рынка, которым «есть что терять», дополнительно существуют решения класса Sandbox и AntiAPT, с которыми легко интегрируется любая корпоративная почта. Благодаря дополнительной проверке писем в таких системах резко возрастает Detection Rate при анализе сложных угроз.
Также нельзя забывать о человеческом факторе. Персонал требуется обучать тому, как распознавать вредоносные письма. В частности, для этого существуют специализированные платформы класса security awareness, позволяющие обучать пользователей основам киберграмотности и проверять знания в рамках тестирования, в том числе путем отправки тестовых фишинговых писем. Если сотрудник не распознал тестовый фишинг и прошел по ссылке, его могут направить на дополнительное обучение. Все это при минимальном участии специалистов ИБ-отдела.
Также полезными будут pentest’ы с применением социальной инженерии и имитацией фишинговых атак с помощью специально подготовленных писем. Они составляются таким образом, что пользователи с высокой вероятностью откроют ссылку или вложение в них, но с помощью определенных навыков письмо можно распознать как фишинговое. Точно так же и в любой другой компании бухгалтеру может прийти письмо о новом постановлении ЦБ, кадровику – резюме, инженеру – обновление ПО, которое он использует. Это не условный «нигерийский принц», а письма, которые сотрудники открывают в ходе работы десятками или сотнями в день. Именно поэтому они и представляют большую угрозу. С помощью тестирования персонала такими письмами можно понять, на каких аспектах и в каких отделах стоит сосредоточить меры по усилению защиты в первую очередь.
Как выбрать правильное антиспам-решение
Первое, что требуется учесть, еще до выбора антиспам-инструмента, — это правильная настройка почтовой системы компании. Если она настроена неверно, никакое антиспам-решение не поможет. Как минимум, стоит исключить наличие Open Relay и провести настройку DKIM, DMARC, SPF. В нашей практике был случай, когда в рамках ИБ-аудита у заказчика был обнаружен почтовый сервер, который работал как OpenRelay — вся почта из интернета считалась доверенной, и злоумышленники пытались отправлять спам через компанию. К счастью, антиспам все эти попытки успешно предотвращал, но сам факт того, что злоумышленники видели возможность для его отправки и создавали серьезную нагрузку на почтовую систему десятками тысяч писем в день, являлся весомой угрозой.
Что же касается выбора самого антиспам-инструмента, то все они работают примерно одинаково. Выбор конкретного продукта зависит от размера компании, а также особенностей ее ИТ-инфраструктуры. Например, у «Лаборатории Касперского» есть три антиспам-продукта, которые выполняют одну и ту же функцию, но предназначены для размещения в разных зонах. Первое из них – почтовый шлюз безопасности, который устанавливается на границе сети и проверяет почту, прежде чем отправить ее до почтового сервера. Он подходит в большинстве случаев. Второй продукт, предназначенный для пользователей Microsoft Exchange, ставится на сам почтовый сервер, и подойдет тем, кому нужен дополнительный функционал. Например, этот продукт может ретроспективно проверить почтовые ящики пользователей. Это необходимо для проверки уже имеющихся файлов в мейлбоксах (почтовых ящиках) в случае, если раньше антиспам-проверка почты не проводилась должным образом. Это решение не только защитит от нового спама, но и проверит ящики на наличие вредоносных писем, чего не сможет сделать первый продукт. Третий вариант предназначен для организаций, использующих Linux MTA (Mail Transfer Agent) и не желающих устанавливать дополнительный сервер. В этом случае возможна установка антиспам-агента на существующие MTA-серверы.
Защита от спама и вирусных атак через почту становится более эффективна при интеграции с другими системами защиты. Например, антиспам-решение может проверять потенциально вредоносные письма на предмет спама и вирусов и передавать их в Sandbox-систему. Sandbox распознает наличие вложения и не пропустит письмо дальше, пока не будет четко определено, что и оно и его вложение безопасны. Конечно, при должной сноровке, упорстве и хитрости, злоумышленник может обойти любую, даже самую сложную систему. Однако, чем более продумана защита, тем сложнее это будет сделать.
Как внедрить средства защиты почты
В рамках установки средства защиты почты необходимо подготовить инфраструктуру к внедрению промежуточного MTA, выделить серверные мощности под новый инструмент, а после установки — перенаправить почтовый трафик уже на него.
В случае замены действующего антиспам-решения (например, при уходе вендора с российского рынка) на границе сети устанавливается новое решение, письма идут через него в старое, которое уже не обновляется. Работа в таком режиме продолжается то тех пор, пока на старом антиспаме перестанут фиксироваться входящие вредоносные письма. Это будет означать, что новое решение работает корректно и старый антиспам больше не требуется, его можно выводить из эксплуатации. Такой подход поможет избежать простоев, в которых почта не проверяется ни одним из средств защиты.
На этапе внедрения большой команды не требуется, решения технически не так сложны. Однако требуется внимание специалистов, особенно при работе с внешними DNS-записями, а также SPF, DMARC и DKIM, чтобы избежать простоя почты. Помимо этого, требуется тщательно перенести правила старой системы на новую или разработать политики безопасности с нуля. Кстати, за годы работы такие правила накапливаются в любой организации, и даже при их наличии разобраться в их логике порой сложнее, чем разработать новые.
Как работать с антиспам-системами
Современные антиспам-системы достаточно хорошо работают в автоматическом режиме, и не требуют больших трудозатрат офицера ИБ. Однако ему точно стоит изучать логи срабатываний и отмечать ложноположительные случаи. В современных антиспам-решениях в этом поможет личный кабинет, в котором заблокированные письма хранятся в карантине. При необходимости, там можно найти заблокированные письма и, в случае ошибочной блокировки, перенести их в почтовый ящик сотрудника. Также важно помнить, что спам — та категория угроз, в которой новые шаблонные тактики появляются каждый день, и эффективная защита от них возможна только путем непрерывного обновления сигнатур обнаружения. Базы обновляются, чаще всего, несколько раз в день. И если ваша компания – не первая, которую атаковали новым способом, то все, что нужно для защиты, уже будет в новой версии баз сигнатур.
Также рекомендую офицерам ИБ и ИТ-отделу следить за состоянием доменов, сертификатов и внешних DNS-записей. К сожалению, даже при правильной настройке почтовые домены иногда по ошибке попадают в глобальные black-листы репутации, поэтому следить нужно еще и для того, чтобы вовремя обнаружить ошибку.
Заключение
Конечно, наличие антиспам-решения не дает 100% гарантии защиты, т.к. злоумышленники постоянно ищут новые и совершенствуют существующие способы «взлома». Однако отсутствие какой-либо защиты делает ущерб от спама практически неизбежным. Почта – инструмент, который практически любая организация использует ежедневно, если не круглосуточно. Это точка входа в компанию для внешнего мира и одно из самых уязвимых мест организации, поэтому зачастую она требует больше внимания со стороны ИБ, чем другие корпоративные системы. Поэтому наличие антиспам-системы – просто must-have в наши дни. Кстати, по нашей практике антиспам дает и дополнительные выгоды, например, снижает нагрузку на почтовый сервер и избавляет ИТ-службу от ручной работы, в частности, за счет использования пользователями портала самообслуживания. Главное – корректно настроить такой портал и пользовательские уведомления, чтобы сообщения о подозрительных письмах сами по себе не превращались в спам.
Автор: Кай Михайлов, руководитель направления информационной безопасности iTPROTECT.



