Под защитой электронной почты принято понимать меры, направленные на исключение несанкционированного доступа к аккаунтам и сообщениям электронной почты, их утраты и компрометации. Чтобы увеличить уровень безопасности электронной почты, организациям требуется настраивать необходимые политики, применять инструменты для защиты от вредоносного ПО, фишинга, спама.
Интерес киберпреступников к атакам на электронную почту обусловлен тем, чтобы она выступает в качестве отправной точки для доступа к другим учетным записям и устройствам.
Редакция CISOCLUB решила поговорить с экспертами на тему защиты электронной почты. Мы поинтересовались у них об основных угрозах безопасности, об актуальных методах идентификации фишинговых и подозрительных писем, о процессах отслеживания и анализа вредоносных вложений, о лучших практиках для настройки политик безопасности корпоративной электронной почты, а также задали множество других вопросов.
С нами пообщались:
- Константин Ларин, руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион».
- Кай Михайлов, руководитель направления информационной безопасности iTPROTECT.
- Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft.
- Тимур Габитов, ведущий технический специалист компании Axoft.
- Артем Бруданин, руководитель направления кибербезопасности RTM Group.
- Александр Быков, руководитель направления сервисов защиты облачного провайдера «НУБЕС» (Nubes).
- Дмитрий Наумов, технический эксперт MONT.
- Дмитрий Пудов, заместитель генерального директора NGR Softlab.
Какие основные угрозы для безопасности электронной почты вы выделяете на сегодняшний день?
Константин Ларин, руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион», уверен, что основной угрозой для электронной почты является фишинг, так как это может привести к компрометации других ресурсов, например, VPN, корпоративного портала, доменной УЗ и др.
«В последнее время в почтовое вложение часто внедряют полезную нагрузку (стилер или шелл) с целью последующей компрометации пользователя или компании».
Кай Михайлов, руководитель направления информационной безопасности iTPROTECT:
«Основные угрозы остаются неизменными, их две — спам и фишинг. Эти угрозы постоянно развиваются с технической точки зрения, и не останавливаются в своей эволюции. Фишинг постоянно расширяется новыми подвидами, например, квишинг, использующий QR-коды.
Их тяжело распознавать техническими средствами, т. к. пока ни один антифишинг-движок не способен отсканировать изображение с QR. Также растут BEC-атаки, компрометирующие электронную почту. Появляются все новые фишинговые кампании, позволяющие устраивать массовые таргетированные рассылки, с помощью которых злоумышленники встраиваются в деловую переписку. Также развивается использование ИИ, в том числе автоматически, для создания фишинговых писем.
Также стоит отметить недостаточную скрупулёзность компаний в настройке почтовых серверов. Администраторы уделяют мало внимания настройке DCIM, DMARK и SPF, что позволяет злоумышленникам пытаться отправлять письма от имени компании или ее сотрудников, и использовать Openrelay».
Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft:
«Электронная почта с точки зрения информационной безопасности – это большая, очень большая проблема. Так, сервис электронной почты критичен для бизнеса, и к данному сервису предъявляются жесткие требования как по доступности и бесперебойности функционирования, так и по разнообразию сценариев использования и, например, типам допустимых вложений. Более того, сервисом электронной почты пользуются все или почти все сотрудники компаний и организаций.
Такая сложность и распространенность сервиса делает его привлекательным для использования злоумышленниками в самых различных сценариях и этапах атаки. Например, фишинг занимает вторую строчку в списке наиболее популярных техник для получения первоначального доступа. В успешных атаках для доставки ВПО в 66% использовалась именно электронная почта (Исследование «Актуальные киберугрозы: IV квартал 2023 года», Positive Technologies). Компрометация учетных записей электронной почты также открывает злоумышленникам большой простор для возможных атак: фишинг, социальная инженерия, атака через цепочку поставок и многие другие сценарии.
Резюмирую: обеспечение информационной безопасности электронной почты должно быть одной из основных задач (и приоритетов) отделов ИБ и строиться не только на технических (антивирус/антиспам/песочница), но и на административных средствах (тут отлично помогают решения, повышающие ИБ-грамотность пользователей – Security Awareness)».
Артем Бруданин, руководитель направления кибербезопасности RTM Group, заявил, что списокосновных угроз включает в себя фишинг, вредоносные вложения и уязвимости. Фишинговые атаки могут использоваться для кражи учетных данных, трояны приводят к шифрованию активов, а уязвимости угрожают безопасности всей корпоративной инфраструктуры.
Александр Быков, руководитель направления сервисов защиты облачного провайдера «НУБЕС» (Nubes):
«Основной угрозой для электронной почты является фишинг. Подходы злоумышленников и варианты меняются, но тип угрозы остается неизменным, как и цель – компрометация пользователя, получение удаленного доступа к его компьютеру и дальнейшая атака через машины отдельных пользователей на компанию.
Фишинг – довольно простая по исполнению, дешевая и при этом действенная схема атаки на инфраструктуру компании. Человек – слабое звено в системе безопасности любого уровня».
Дмитрий Наумов, технический эксперт MONT:
«Главной и наиболее опасной угрозой для электронной почты на данный момент остается фишинг. Фишинговые письма – это сообщения от email-адресов, замаскированных под email-адреса известных компаний и брендов, целью которых является обман пользователя с целью получения конфиденциальной информации, такой как пароли, данные банковских карт и другие личные данные. Также подобные письма могут содержать вредоносные вложения, которые могут обеспечить злоумышленнику доступ к внутренней инфраструктуре компании. Смысл таких атак достаточно прост: узнать какую-либо важную информацию от человека гораздо проще, чем организовать технически сложную атаку на компьютерную инфраструктуру. Часто злоумышленники применяют фишинг в начале своей атаки, чтобы проверить, не удастся ли им добиться желаемого результата, затратив относительно небольшое количество сил.
Фишинговые письма могут содержать ссылки на подставные сайты, вредоносные исполняемые файлы, либо просто требовать отправить какую-либо чувствительную для компании информацию, из чего можно сделать вывод, что электронная почта для злоумышленников – это не только шанс для злоумышленников проникнуть в инфраструктуру компании, но и канал для промышленного шпионажа».
Дмитрий Пудов, заместитель генерального директора NGR Softlab, указал на то, что последние несколько лет концептуально ничего не меняется: фишинг и его разновидности (BEC, spear phishing, whaling и т. п.) продолжают оставаться основной угрозой и головной болью подразделений ИБ.
«Стоит отметить, что в контексте импортозамещения имеет смысл уделять повышенное внимание безопасности ИТ-инфраструктуры, на которой функционирует сервис электронной почты».
Какие методы идентификации подозрительных или фишинговых электронных писем считаются наиболее эффективными?
Дмитрий Пудов, заместитель генерального директора NGR Softlab:
«К наиболее эффективным способам противодействия социальной инженерии, разновидностью которой является фишинг, относятся программы повышения осведомленности пользователей.
Однако это не означает, что можно пренебречь техническими средствами защиты электронной почты и элементов инфраструктуры (от защиты элементов инфраструктуры, антиспама и антивирусной проверки вложений до средств обеспечения конфиденциальности, песочниц, поведенческого анализа). Если в организации электронная почта является значимым элементом корпоративной коммуникации, то имеет смысл подойти к вопросу обеспечения безопасности этого сервиса комплексно – к подобным атакам должны быть готовы процессы, процедуры, а также применяемые технические средства.
Сейчас много надежд на повышение эффективности в этом вопросе связывают с современными технологиями. Различные алгоритмы встраиваются в технологические решения с целью повышения вероятности обнаружения подобных атак исходя из анализа содержимого и различных атрибутов коммуникации. Они способны выявлять аномалии в поведении пользователей, что может указывать на компрометацию их учетных записей».
Дмитрий Наумов, технический эксперт MONT, выделил следующие методы идентификации:
- Подозрительный адрес отправителя: внимательно проверьте электронный адрес отправителя. Фишеры часто используют поддельные адреса, похожие на официальные.
- Прессинговый заголовок: фишинговые письма могут содержать заголовки, требующие немедленных действий, создавая чувство срочности.
- Орфографические и грамматические ошибки: большое количество ошибок в написании или грамматике может быть признаком мошенничества.
- Неожиданные вложения или ссылки: будьте осторожны с вложениями или ссылками в письмах от незнакомых отправителей.
- Запрос личной информации: любой запрос на предоставление личной информации, такой как пароли, данные кредитных карт и другие конфиденциальные данные, должен вызвать подозрения.
- Угрозы или обещания: фишинговые письма могут содержать угрозы о последствиях или обещания о выигрыше/получении чего-то бесплатно.
- Неожиданные запросы на оплату или перевод средств: письма, требующие операций с финансовыми средствами без предварительного уведомления или контекста, могут быть фишинговыми.
- Отсутствие персональной информации: фишинговые письма часто обращаются к получателю обобщенно, без упоминания конкретных данных или информации о компании.
Александр Быков, руководитель направления сервисов защиты облачного провайдера «НУБЕС» (Nubes), отметил, что есть специализированный тип решений — Secure Mail Gateway. Эти продукты в автоматизированном режиме обеспечивают защиту электронной почты, включая антиспам, антифишинг, а также защиту от вредоносных программ.
«Есть также метод работы, который отталкивается от «человеческого фактора». То есть, это комплекс мероприятий внутри организации, который включает разъяснительную работу с сотрудниками, обучение их кибергигиене».
Артем Бруданин, руководитель направления кибербезопасности RTM Group, заявил, что актуальными методами выявления таких писем являются анализ технических заголовков, проверка на наличие подозрительных ссылок и вложений, репутационный анализ, а также использование как серверного, так и клиентского антивирусного ПО. Набирает популярность анализ содержимого с использованием методом машинного обучения.
Тимур Габитов, ведущий технический специалист компании Axoft:
«Фишинговые атаки – самая крупная угроза для пользователей, работающих с электронной почтой. Как правило, у всех подобных атак есть схожие паттерны, позволяющие определить их. И если пользователи будут знать эти признаки, уметь их распознавать, то и большинство атак можно будет остановить на стадии проникновения. Именно поэтому так необходимо проводить обучение сотрудников, формировать у них базовые навыки распознавания фишинговых писем. Но еще до момента доставки письма до адресата его обязательно нужно проверить на подлинность.
В этом помогут записи SPF, DKIM, DMARC, благодаря которым можно определить реальность отправителя, выявить подозрительные сообщения в заголовках. Использование технологии искусственного интеллекта и машинного обучения также имеет большой потенциал для обнаружения писем сомнительного содержания».
Кай Михайлов, руководитель направления информационной безопасности iTPROTECT, уверен, что какого-то конкретного прорыва не произошло, используются технические алгоритмы проверки подлинности и контентные алгоритмы по распознаванию паттернов текста. Они постоянно усложняются, но полностью устранить проблему это не может. Сейчас активно идут попытки использования нейросетей для решения этой задачи, но тем же самым занимаются и хакеры.
Константин Ларин, руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион», отметил, что наиболее эффективными методами идентификации нежелательных писем является выполнение следующих условий:
- Корректная настройка DKIM, DMARC и SPF-записей;
- Наличие антивирусного шлюза электронной почты;
- Отслеживание репутации доменных имен, IP-адресов отправителей и серверов».
Можете описать процесс анализа и отслеживания вредоносных вложений в электронных письмах?
Кай Михайлов, руководитель направления информационной безопасности iTPROTECT: «При получении письма сначала используются точные технические алгоритмы. Они наиболее просты и позволяют отфильтровать большое количество нежелательных писем. Здесь применяются проверка подлинности, цифровой подписи, черные списки отправителей, антивирусная проверка и проверка в «песочнице», вплоть до сложных алгоритмов, которые могут найти в теле письма пароли от зашифрованных вложений.
Следующий этап — антиспам и антифишинговая проверка, т. е. контентный анализ, которая по ключевым словам определяет возможную рекламную направленность сообщения, или попытку обмана получателя. Производители не делятся информацией о работе алгоритмов, чтобы не дать злоумышленникам информацию для обхода защиты».
Артем Бруданин, руководитель направления кибербезопасности RTM Group:
«Анализ вложений начинается с использования автоматизированных средств (например, антивирусного ПО), которые сканируют файлы на наличие известных вредоносных сигнатур. Затем (в случае обнаружения подозрительного файла) объект может быть изолирован в безопасной среде, или «песочнице», где его поведение дополнительно анализируется без риска для клиентских систем.
«Красными флажками» могут быть: необычная сетевая активность, неожиданные изменения в системных файлах или реестре, попытки доступа к защищенным ресурсам, сетевое взаимодействие с известными вредоносными доменами или IP-адресами в репутационных базах».
По словам Александра Быкова, руководителя направления сервисов защиты облачного провайдера «НУБЕС» (Nubes), если говорить о решениях класса Secure Mail Gateway, то они проводят анализ поступающей корреспонденции по различным параметрам. Сначала анализ проводится по заголовкам, базе доверенных адресов, отправителю и еще ряду специальных показателей. Затем анализируется тело письма: в частности, идет поиск и проверка гиперссылок в письме.
Дмитрий Наумов, технический эксперт MONT: «Как правило, для контроля вложений в электронных письмах применяются системы класса Sandbox. Эти системы перехватывают электронные письма до того, как они дойдут конечному пользователю, и пропускают вложения в них через несколько этапов, в которые входят проверка подписей и хэш-сумм файлов, анализ поведения вложений и – тренд последних лет – использование машинного обучения для детектирования вредоносных файлов.
Наиболее интересен этап анализа поведения вложения: проверяемый объект «открывается», как будто его открыл пользователь, в изолированной среде, и его поведение анализируется системой на различные признаки нелегитимной активности. К таким относятся, например, попытки изменить системные настройки, закрепиться в системе, получить доступ к каким-либо файлам или скачать что-то из внешней сети. После завершения тестов письмо либо доходит до конечного пользователя, либо, в случае обнаружения вредоносных файлов, удаляется».
Константин Ларин, руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион»: «Первый шаг – фильтрация. На этом этапе анализируются различные заголовки письма, проверяется письмо на соблюдение политик DMARC/DKIM, проверяется репутация IP-адреса сервера-отправителя и репутация домена. Также на этом этапе анализируется содержимое письма на наличие различных слов (например, факт шантажа или «письмо от африканского принца») и подозрительных ссылок.
Второй шаг – анализ вложения. Тут вложение проверяется на наличие известных угроз по базе сигнатур, производится проверка в песочнице и проверки несигнатурными методами, например, эвристический анализ и анализ с применением машинного обучения. Также производится сетевой анализ образца: к каким серверам подключается и для чего.
Третий шаг – ответ. На этом шаге письмо блокируется и попадает в «нежелательные» или же успешно проходит проверки и попадает пользователю в папку «входящие».
Каковы лучшие практики для настройки политик безопасности электронной почты в организации?
Александр Быков, руководитель направления сервисов защиты облачного провайдера «НУБЕС» (Nubes): «Во-первых, необходимо настроить процессы обеспечения безопасности так, чтобы обязательную проверку проходила вся почта, которая поступает в корпоративный периметр. Исключений быть не должно ни для каких групп сотрудников вне зависимости от их статуса и рода деятельности.
Во-вторых, после того, как политика безопасности создана и запущена, необходимо периодически устраивать проверки, поскольку в любой системе со временем накапливаются уязвимости, и лучше узнать о них до того, как они превратились в критические».
Артем Бруданин, руководитель направления кибербезопасности RTM Group, уверен, что лучшей практикой всегда будет обучение персонала, так как человек — самое слабое звено в безопасности. Использование стойких паролей, двухфакторная аутентификация, ограничение возможностей и прав доступа, регулярное обновление как клиентского, так и серверного программного обеспечения тоже являются эффективными мерами по митигации риска, хотя и не являются панацеей.
Тимур Габитов, ведущий технический специалист компании Axoft, выделил следующие лучшие практики, помимо обучения пользователей признакам распознавания фишинга:
- фильтрация нежелательных, вредоносных, сомнительных писем;
- шифрование писем – во избежание несанкционированного доступа к содержимому;
- использование записей SPF, DKIM, DMARC для защиты от фишинга, спама и контролируемого использования доменных имен организации;
- использование МТА (Mail Transfer Agents), отдельных от почтового сервера, что позволит снять с него нагрузку.
Кай Михайлов, руководитель направления информационной безопасности iTPROTECT: «С технической точки зрения, разумеется, администраторы используют промежуточный MTA-сервер. Однако есть подход, при котором антифишинг и антиспам устанавливаются на сам почтовый сервер. Это дает возможность проводить ретроспективный анализ ранее полученных сообщений, которые уже находятся в почтовых ящиках. Это позволяет проверять ранее полученные и признанные чистыми письма с учетом новых возможностей современных движков, и обновленных баз.
С точки зрения контентного анализа интересным подходом является возможность пользователя при подозрении на фишинг сообщить службе безопасности. Обычно это реализуется надстройками в почтовом клиенте. Лучшей практикой будет совмещать все эти подходы».
Константин Ларин, руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион», заметил, что для обеспечения безопасности электронной почты важно:
- Наличие хорошей антивирусной и антиспам защиты почтового сервера.
- Наличие двухфакторной аутентификации.
- Корректная настройка DKIM, DMARC и SPF-записей.
- Фильтрация URL-адресов, содержащихся в письме.
- Профилактические мероприятия по повышению осведомленности сотрудников в области «цифровой гигиены» (киберучения, семинары, тесты, лекции, вебинары).
- Хорошая парольная политика.
- Блокировка писем от доменов, которые похожи на домен организации.
Какие инструменты и технологии вы рекомендуете для автоматизации защиты электронной почты?
Тимур Габитов, ведущий технический специалист компании Axoft, подчеркнул, что для автоматизации защиты электронной почты я бы порекомендовал использовать решения, обеспечивающие ее проверку (SPF, DKIM, DMARC), до того, как письма попадут на почтовый сервер с помощью МТА (защита периметра).
«Кроме того, необходимо использовать пограничную защиту в виде NGFW – для фильтрации трафика, а также антивирусные решения на рабочих станциях. Все это в комплексе поможет уберечь электронную почту сотрудников от большинства вредоносных писем».
Артем Бруданин, руководитель направления кибербезопасности RTM Group, отметил, что, в первую очередь, это почтовые и клиентские антивирусы, а затем «песочницы», IDPS-системы, SIEM-системы (для оперативного выявления и реагирования на инциденты).
Александр Быков, руководитель направления сервисов защиты облачного провайдера «НУБЕС» (Nubes), рекомендовал специальный класс решений, созданных для автоматизации защиты электронной почты — Secure Mail Gateway.
«Такого рода программные продукты обладают нужной функциональностью. Желательно выбирать решения, у которых среди прочего есть антивирусные «движки» и «песочницы».
По словам Константина Ларина, руководителя направления «Киберразведка» системного интегратора по ИБ «Бастион», для автоматизации защиты электронной почты он рекомендует установку хорошей антивирусной и антиспам защиты почтового сервера.
Кай Михайлов, руководитель направления информационной безопасности iTPROTECT, заявил, что этот вопрос достаточно подробно проработан, и все меры и технологии реализуются в одном антиспам-решении. Вендоры активно конкурируют по каждой технологии, но пока нет необходимости использования сразу нескольких решений, хотя это и возможно технически.
Какие сложности по защите электронной почты возникают при переходе с иностранных решений на российские?
Артем Бруданин, руководитель направления кибербезопасности RTM Group: «При переходе на российские решения часто возникают сложности с совместимостью, недостатком функциональности или отсутствием опыта использования у конечных пользователей: не многим пришлась по вкусу замена привычного Windows на Linux, которую до недавнего времени не воспринимали ни в качестве настольного решения в корпоративном сегменте, ни в качестве ОС.
Между тем, использование сертифицированных ОС обеспечивает более высокий уровень защиты данных при использовании корпоративной почты за счет реализованных «внутри ОС» механизмов разграничения доступа, мониторинга и контроля целостности».
Александр Быков, руководитель направления сервисов защиты облачного провайдера «НУБЕС» (Nubes), указал на то, что в рассматриваемом сегменте ПО особых сложностей не наблюдается. Российские решения этого класса работают по тем же базовым принципам и алгоритмам, что и зарубежные продукты.
«Что касается миграции, то есть общие вопросы, характерные для любого класса ПО, вне зависимости от специфики: необходимо выбирать максимально схожее по набору функций решение, провести процесс миграции с минимальным простоем сервиса и ряд других нюансов».
Кай Михайлов, руководитель направления информационной безопасности iTPROTECT: «На российском рынке есть качественные антиспам-решения, например от Kaspersky и F.A.C.C.T. С точки зрения функциональности они закрывают все необходимые потребности компаний. В данный момент они также реализуют требования по установке на российские ОС и по возможностям догнали зарубежные решения.
Как таковых сложностей не наблюдается, однако ни одно решение не совпадает со своими конкурентами по функциональности на 100%, поэтому для правильного переноса настроек с ранее использовавшегося продукта требуется проектирование, и внедрение с участием сертифицированных ИБ-интеграторов».
Константин Ларин, руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион», убеждён, что основные проблемы при переходе от иностранных СЗИ на отечественные: обучение персонала, совместимость и интеграция с существующей инфраструктурой.
Каковы преимущества и недостатки решений для защиты электронной почты на базе on-premise по сравнению с cloud-решениями? Как выбрать оптимальный вариант?
Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft: «Я бы предложил в данном контексте разделять решения не по принципу места развёртывания: cloud/on-prem. Потому что, по большому счету, место развертывания влияет только на то, свои вычислительные мощности мы задействуем или сторонние. Гораздо интереснее посмотреть на данный вопрос в разрезе того, кем управляется данный сервис: внутренними силами компании или сервис-провайдером. И вот в таком контексте, выбирая между management by self и management by provider, важно учитывать следующие параметры:
- Уровень внутренней экспертизы ИБ-команды, которая должна заниматься обеспечением безопасности сервиса электронной почты.
- Наличие внутренних возможностей (как программно-аппаратных, так и человеческих), а также оценку стоимости привлечения дополнительных ресурсов.
- Посчитать затраты на обеспечение безопасности одного почтового ящика (с учетом стоимости лицензий, оборудования, человеческих ресурсов), а также оценить SLA, который можно получить.
Проанализировав эти параметры внутренних возможностей, мы можем их сравнить со стоимостью и уровнем SLA от поставщика услуг. После чего будет возможно сделать выбор.
С большой долей вероятности, по совокупности факторов предпочтительнее будет сервис от провайдера. Что вполне логично: основной бизнес заказчиков редко связан с защитой электронной почты, они зарабатывают на нефти, газе, бургерах, и затраты на ИБ в целом и на защиту электронной почты в частности для них – чистый расход. И напротив, для сервис-провайдеров бизнес по обеспечению защиты электронной почты является основным (они зарабатывают на этом). Следовательно, скорее всего, провайдер справится с защитой электронной почты лучше, чем заказчик своими внутренними силами».
Кай Михайлов, руководитель направления информационной безопасности iTPROTECT: «On-prem решения обладают возможностью ретроспективной проверки, и в целом позволяют компаниям гибко их настраивать, чего не дают облачные продукты. Что касается недостатков, то on-prem требуется обслуживать и выделять под них мощности. Cloud-версия любой системы не дает гарантии бесперебойной доступности.
Да, вероятность потери доступа низка, но отказ может произойти в самый неподходящий момент. Отказ на своей ИТ-инфраструктуре можно нейтрализовать своими силами, в отличие от облачного решения, восстановления которого придется ждать».
Константин Ларин, руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион»: «Преимущества on-premise: полный контроль над системой, высокий уровень безопасности и соответствие требованиям регуляторов.
Недостатки on-premise: затраты на оборудование и персонал, ограниченность гибкости ресурсами, доступными организации, обучение сотрудников для администрирования решения.
Преимущества cloud-решений: низкие затраты на операционные расходы и капитальные вложения, гибкость и простота масштабирования, оперативное развертывание и обновление.
Недостатки cloud-решений: зависимость от третьих лиц (поставщиков и провайдеров), сложность соблюдения требований регуляторов, потенциальные уязвимости безопасности хранения и обработки данных в облаке».
Артем Бруданин, руководитель направления кибербезопасности RTM Group, рассказал, что локальные (серверные) решения обеспечивают больший контроль и безопасность, но требуют и больше ресурсов, как вычислительных, так и человеческих. Облачные решения, напротив, более гибкие и масштабируемые, однако могут создавать ненужные риски для безопасности данных.
«Выбор зависит от специфики организации: если нет жестких требований к защищенности передаваемой информации, то использование облачных инструментов будет выгоднее и проще, а если стоит задача контроля и мониторинга несанкционированного доступа, построения серверной инфраструктуры под конкретные потребности — on-promise, без вариантов».
Александр Быков, руководитель направления сервисов защиты облачного провайдера «НУБЕС» (Nubes), заявил, что Cloud-решения часто предоставляются по подписочной модели и есть возможность потреблять услугу в том объеме, который необходим компании. Это позволяет не тратить ресурсы на сервис, которым не пользуются. Кроме того, облачные решения позволяют не думать о вопросах, связанных с обслуживанием инфраструктуры – эта забота лежит на стороне облачного провайдера.
Как можно оценить эффективность существующих мер защиты электронной почты в компании?
Дмитрий Наумов, технический эксперт MONT: «Лучшего способа, чем провести тестовую атаку, не существует. В случае, когда мы тестируем систему, можно абстрагироваться от поведения пользователя и завести тестовый почтовый ящик, на который будут подконтрольно отправляться письма с «триггерами» – специальными тестовыми файлами, которые вызывают реакцию систем защиты, но не разворачивают вредоносную активность. Подобное справедливо и для ссылок – можно составить текст письма целиком из ссылок с плохой репутацией в открытых базах адресов. В случае, если такое письмо будет удалено системой защиты электронной почты, можно будет сказать, что пользователь почти защищен.
Письма от злоумышленников не всегда содержат какое-либо вложение или ссылку; зачастую автоматизированные системы не могут обнаружить фишинговое письмо, потому что им не за что зацепиться. В таком случае остается только проводить тренинги по информационной безопасности среди сотрудников и надеяться, что сотрудники к этим тренингам относятся серьезно».
Дмитрий Пудов, заместитель генерального директора NGR Softlab: «Внутренние и внешние аудиты могут добавить уверенности в правильности выбранных мер и эффективности политики информационной безопасности организации в части защиты электронной почты. К этому стоит добавить работающую программу повышения осведомленности пользователей, включающую их регулярное тестирование.
В зрелых организациях должны существовать показатели, которые позволяют измерять эффективность контролей и средств защиты на регулярной основе и быть частью системы операционных метрик ИБ. На мой взгляд, сейчас регулярный анализ эффективности очень актуален, потому что ИТ- и ИБ-ландшафт остается очень динамичным, и требуется регулярная адаптация технических и организационных мер под меняющийся внешний и внутренний контекст».
Александр Быков, руководитель направления сервисов защиты облачного провайдера «НУБЕС» (Nubes), указал, что для качественной оценки эффективности мер защиты существует один надежный метод – эмуляция атаки на инфраструктуру. Ряд вендоров предлагают такого рода продукты, дающие возможность проверить надежность защиты при помощи «атаки» через почту. Система засылает на выбранные адреса письма с различными «вредоносами» и дает статистику о том, какие их них были заблокированы или перенаправлены в «песочницу», а какие почтовая безопасность попустила к пользователю.
Артем Бруданин, руководитель направления кибербезопасности RTM Group: «Для внешней оценки можно использовать как регулярное тестирование на проникновение, включающее анализ внешнего периметра почтовых сервисов и социотехническое тестирование сотрудников, так и полноценный аудит информационной безопасности в соответствии с требованиями регуляторов или лучшими практиками информационной безопасности.
Самостоятельная оценка не объективна, однако регулярный контроль уязвимостей в системном и прикладном ПО, регулярная проверка осведомленности сотрудников в вопросах ИБ и анализ используемого набора/конфигураций СЗИ может многое рассказать об эффективности реализованных мер».
Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft: «Оценка эффективности используемых мер защиты электронной почты может быть технической, экспертной или, чаще всего, миксом из технических и экспертных средств оценки.
Среди технических средств представлено достаточно много решений: от специализированных средств проверки корректности настройки почтовых серверов и механизмов защиты до средств, которые позволяют в том числе выявлять скомпрометированные учетные записи и узнавать про интерес злоумышленников к компании (решения класса ASM, DRP, TI). Если говорить про экспертные решения, то тут тоже достаточно большое разнообразие: от стандартного аудита, который обычно предлагают поставщики услуг или вендоры, до имитации атаки в рамках тестов на проникновение».
Кай Михайлов, руководитель направления информационной безопасности iTPROTECT: «Во-первых, опрос пользователей, т.к. они сами хорошо расскажут о количестве полученных спам-писем. Фишинг определить сложнее, он менее заметен, и о нем становится известно отделу ИБ уже по факту совершения атаки, если пользователь не обладает достаточной квалификацией и не сообщил самостоятельно.
Если требуется проверить эффективность текущей системы, это можно сделать самостоятельно с помощью тестовой атаки. Ее можно провести своими силами, либо привлечь услуги компаний, проводящих Pentest’ы с использованием социальной инженерии».
Константин Ларин, руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион», отметил, что существующие меры по защите электронной почты можно оценить по следующим критериям: эффективность обучения персонала, анализ статистики инцидентов, связанных с электронной почтой, проведение киберучений (тестовые рассылки) и сравнение существующих мер защиты организации с лучшими практиками в отрасли.
Какие шаги должен предпринять пользователь при обнаружении, что его почтовый аккаунт был скомпрометирован?
Александр Быков, руководитель направления сервисов защиты облачного провайдера «НУБЕС» (Nubes) заметил, чтодля того, чтобы пользователь предпринял правильные действия в случае компрометации его рабочего почтового аккаунта, нужно чтобы в компании ИБ-специалистами была разработана соответствующая процедура, которая должна быть донесена до всех.
«Процессы при этом должны быть выстроены таким образом, чтобы пользователь, во-первых, не боялся сообщить в службу безопасности о проблеме, а во-вторых, точно знал в каком случае нужно обращаться».
По словам Дмитрия Пудова, заместителя генерального директора NGR Softlab, если говорить об организации, где есть подразделение ИБ, то лучше незамедлительно сообщить об этом специалистам. Для личных аккаунтов можно посоветовать смену пароля, использование многофакторной аутентификации и соблюдение общих мер ИБ.
Константин Ларин, руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион», уверен, что при обнаружении факта компрометации в первую очередь необходимо деактивировать все текущие сессии. Далее сменить пароль от почтового аккаунта, обратиться к сотруднику службы ИБ (если почта корпоративная) и проверить свой компьютер на наличие вредоносной активности с помощью антивирусного ПО. Также рекомендуется сменить пароль на сторонних аккаунтах, которые были привязаны к скомпрометированному почтовому аккаунту.
Кай Михайлов, руководитель направления информационной безопасности iTPROTECT, рекомендовал предотвращать, а не исправлять, поэтому важно не открывать никаких вложений от незнакомых отправителей, либо помеченных системой, как рискованные. Если же есть подозрение, что атака состоялась, требуется сменить пароль и выйти из всех сессий на всех устройствах, если это позволяет почтовый клиент. Далее нужно сообщить в службу безопасности компании и проработать с ними вопрос двухфакторной аутентификации.
Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft: «Мне сложно представить ситуацию, при которой пользователь сам обнаружил, что его почтовый аккаунт скомпрометирован. Обычно, поиск и обнаружение скомпрометированных учетных записей – прерогатива отдела ИБ. Но, предположим, пользователь обнаружил, что у него с монитора пропал стикер с парой логин/пароль.
Основное, что должен сделать в такой ситуации сотрудник – не скрывать факт компрометации (даже если это только подозрение на компрометацию) и незамедлительно обратиться в службу ИБ или SOC. Не надо пытаться решить данную проблему самостоятельно, так как пользователь, скорее всего, не сможет предпринять адекватных мер к минимизации потерь от компрометации».
Артем Бруданин, руководитель направления кибербезопасности RTM Group: «Первым делом нужно сбросить пароль и восстановить доступ к аккаунтам, заменить контрольные вопросы и ответы на них. Если же двухфакторная аутентификация была изменена злоумышленником, то требуется оперативное обращение в службу поддержки (локальную или облачную). Вместе с этим обязательно уведомить специалистов информационной безопасности организации, а также с их помощью либо (при наличии прав и квалификации) самостоятельно запустить полную антивирусную проверку компьютера.
Затем нужно проинформировать список контактов о компрометации, и заменить свои пароли на всех онлайн-сервисах, которые используют такой же (или очень похожий) пароль. По завершении работ по восстановлению доступа надо уведомить владельца сервиса электронной почты о взломе — это поможет ему эффективнее отслеживать вредоносные действия».
Какие общие ошибки вы замечаете у организаций в управлении безопасностью электронной почты и как их избежать?
Кай Михайлов, руководитель направления информационной безопасности iTPROTECT: «Как пример, недавно мы получили два запроса о том, что в компании почтовый сервер настроен как Openrelay, хотя это легко избежать. Причина такого сценария – недочеты в настройке почтового сервера или DNS-службы. Иногда компании не проверяют исходящую почту на предмет фишинга и спама, что мы рекомендуем делать. Некоторые компании идут еще дальше, и проверяют внутреннюю электронную почту.
В последнее время большая часть компаний стала помечать письма от внешних адресатов, что также является хорошей практикой, а также письма с зашифрованными вложениями. Однако, мы рекомендуем настроить антиспам на блокировку последних. Для обмена конфиденциальной информацией существуют другие, более подходящие системы, например Secure File Sharing. Также важно использовать многофакторную аутентификацию.
Государственные учреждения стали в последние годы блокировать получение писем с зарубежных IP-адресов и в целом более пристально проверять подлинность адресатов с помощью цифровых подписей».
Самыми распространенными ошибками в управлении безопасностью в компаниях, по мнению Константина Ларина, руководителя направления «Киберразведка» системного интегратора по ИБ «Бастион», являются: отсутствие антивирусной и антиспам защиты, недостаточная осведомленность сотрудников по вопросам «цифровой гигиены», неправильная конфигурация фильтров антиспама, отсутствие двухфакторной аутентификации, использование устаревшего ПО с известными уязвимостями.
Артем Бруданин, руководитель направления кибербезопасности RTM Group: «Самая распространенная ошибка — отсутствие обучения и периодического контроля сотрудников в вопросах информационной безопасности. Зачастую в организациях есть регламенты и правила безопасной работы в электронной почте, однако никто их на деле не читает.
Отсутствие средств защиты информации для почты — на втором месте. Компании покупают разрекламированные средства для защиты инфраструктуры в целом, наивно полагая, что они защитят и почту. Были случаи, когда организация не понимала, почему их дорогая сетевая система обнаружения вторжений не смогла выявить троянец на компьютере сотрудника, который попал туда через архив с почты. Отсутствие контроля за уязвимостями, ровно, как и неустранение выявленных, также является частой причиной взлома корпоративной почты. Как избежать? Ответы в пункте 8».
Александр Быков, руководитель направления сервисов защиты облачного провайдера «НУБЕС» (Nubes): «ИБ-специалисты или служба безопасности не должны быть «штатной пугалкой» внутри компании для сотрудников. Никто в компании не должен бояться обратиться к «безопасникам», для этого нужно правильно выстроить коммуникацию, донести правильный посыл, что сотрудник ИБ защищает и оберегает, а не следит и наказывает.
Работников также нельзя запугивать штрафами и увольнением в случае, если ИБ-инцидент произойдет по их вине. Они просто ничего никому не сообщат, и небольшая проблема станет серьезной угрозой».
Оригинал публикации на сайте CISOCLUB: "Защита электронной почты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
