Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Информационная безопасность электронной почты

Защита электронной почты

Достаточно ли надежна электронная почта для отправки информации? Не станут ли письма, отправляемые файлы, адресная книга, достоянием постороннего лица? Хоть единожды, но такие вопросы возникали у любого пользователя, имеющего свой почтовый ящик.

На своем пути к адресату электронное письмо проходит длинный путь, а ведь в этой цепочке может быть внедрено вредоносное программное обеспечение либо владелец сервера намеренно предпринимает определенные действия для получения конфиденциальной информации. Кроме того, сам получатель письма может оказаться злоумышленником, использовать полученную информацию в корыстных целях.

Дополнительной проблемой стало массовое использование сотрудниками в служебных целях собственных мобильных девайсов. Эта тенденция даже получила специальное определение — bring your own device (BYOD). Но статистика свидетельствует, что те, кто приносит на работу собственные мобильные девайсы, активно их использует для служебных надобностей, создают дополнительную угрозу информационной безопасности корпорации. Достаточно, чтобы гаджет был потерян либо украден, как можно ожидать большой скандал, связанный с «утечкой» данных. Репутации компании наносится ущерб, страдают и партнеры.

Достаточно большой список описанных проблем может быть решен комплексно. Для этого существуют системы защиты e-mail, эффективно работающие на десктопах либо мобильных информационно-коммуникационных устройствах.

  • Решаемые задачи
  • Используемое оборудование
  • Сферы применения

Способы защиты электронной почты

Комплексная защита информации, для передачи которой используется электронный почтовый ящик, ставит перед собой следующие задачи:

  • Обеспечение беспрепятственного получения писем адресатом, без возможности их перехвата, вскрытия, прочтения, а также предотвращение возможного подлога.
  • Защита информации, отправленной через e-mail, от ее распространения злоумышленником без ведома отправителя.

Защита писем от перехвата

Достижения этой задачи, которая рано либо поздно потребует своего решения, основывается на применении традиционных методов криптографии – использовании определенных шифров. Защита от возможного подлога предполагает применение ЭЦП (электронной цифровой подписи).

Техническая сторона вопроса обеспечения безопасности чаще всего предусматривает установку специального независимо компилируемого программного модуля (plug-in) для почтового клиента. Обычно – этого вполне достаточно, поскольку этот небольшой по размерам дополнительный софт в автоматическом режиме зашифровывает письма и подписывает их. Если пользователем применяется веб-интерфейс для входа в собственную почту, этот процесс выполняется почтовым сервером или специальным скриптом, что обеспечивает более высокий уровень безопасности. Для первичного обмена ключами предполагается применение специального ресурса.

Используемые с этой целью криптографические технологии отработаны, их применение надежно защищает отправляемую информацию от перехвата или подлога. Обычно таких мер защиты вполне бывает достаточно. Возможные уязвимости такого комплекса мер безопасности проявляются лишь в следующих случаях:

— установка явно «слабых» криптоалгоритмов, хоть выбор такого софта может быть определен и национальной законодательной базой страны, поскольку обеспечивает возможность спецслужбам получить доступ к электронной почте, путем взлома криптоалгоритмов;

— сбои функциональности криптографических алгоритмов или задействованных протоколов;

— изначально сделанные злоумышленником «Закладки» в криптоалгоритмы, которые делают возможным взлом защиты e-mail;

— «действия» вируса, способного перехватить уже расшифрованное сообщение на устройстве адресата или получившего доступ к ключам «машины» отправителя либо адресата.

В большинстве своем, известные на данный момент уязвимости имеют либо внешний характер, либо продиктованы выбранным способом реализации системы безопасности. При комплексном подходе к защите почты – эти уязвимости выявляются и устраняются.

Защита отправленной почтой информации от действий недобросовестного адресата

Задача защиты отправленного почтой письма от его распространения злоумышленником, который втерся в доверие, осуществляется путем использования определенных средств, позволяющих создать ситуацию, когда «адресат имеет возможность лишь прочесть письмо». Все остальные действия с полученной через почту информацией ему недоступны. Применяется для этого небольшая по объему программа, именуемая либо собственный просмотрщик письма, либо специальный просмотрщик, либо специальный браузер.

Этот софт исключает возможность использования внешних компонентов, применяемых обычно для демонстрации содержимого писем. В результате, у отправителя появляются собственные трудности – не поддерживается большинство программно-аппаратных платформ, а также форматов отсылаемых через e-mail документов.

Профессионалы отмечают, что, в отличие от средств защиты писем от перехвата, использование «спецпросмотрщика писем» не позволяет обеспечить желаемого уровня защиты, поскольку это невозможно в принципе. Злоумышленник может просто сделать скриншот полученной в письме информации, а затем и сформировать из него документ. Не имея возможности стопроцентно предотвратить нежелательное распространение информации, софт, защищающий почту от распространения писем злоумышленником, лишь кардинально ограничивает потенциальный объем утечки.

Эффективность же мер по ограничению возможного несанкционированного распространения информации зависит от стойкости применяемых средств защиты к существующим методам автоматического считывания информации из полученного письма, а именно:

— взлом извне спецпросмотрщика защищаемых писем для того, чтобы извлечь из него документ;

— копирование документов с экрана, изменение формата копий и преобразование их в документ.

Даже набор имеющихся средств защиты e-mail может оказаться бессмысленным, если отсутствует четкое понимание, что требуется защитить, от каких действий, для чего это необходимо и насколько надежной должна быть выстроена система защиты. Только наличие комплексного понимания стоящих задач и способов их решения позволяет выбрать оптимальную систему из существующих на рынке предложений.

Безопасная функциональность e-mail создается применением:

— Почтового Антивируса, который автоматически проводит сканирование писем, информационных фалов на присутствие вредоносного софта;

— Анти-Спама, отвечающего за выявление обыкновенных рассылок, на получение которых пользователь не подписывался.

Оба данных компонента получают доступ к приходящим на почту сообщениям путем:

— своевременного перехвата, исследования почтового трафика в автоматическом режиме по протоколам POP3, SMTP, NNTP, IMAP;

— использования специальных plug-in, имеющихся в почтовых клиентах.

Инсталляция дополнительных программ Почтового «антивирусника» (в Microsoft Office Outlook и The Bat!) и Анти-Спама (в Microsoft Office Outlook, Outlook Express и The BAT!) осуществляется в автоматически, при установке программы-антивирус.

Параметры функционирования Почтового Антивируса

Заводской установкой предусматривается, что Почтовый Антивирус будет исследовать как поступающие, так и отправляемые письма. Пользователь, по своему желанию, может не проверять «отправленные», отключив эту функцию.

Предусмотрены и дополнительные ограничения, которые может установить сам клиент, отменив сканирование вложенных файлов, к примеру:

— пропускать без сканирования архивы, что не рекомендуется, поскольку отмечались случаи обнаружения вирусов, рассылаемых в виде архивов;

— ограничить максимальную продолжительность процесса сканирования, что часто используется для ускорения процесса получения писем. Заводская установка предполагает трехминутное сканирование сообщения.

Кроме «ручного» выбора настроек функциональности Почтового антивирусника, потребитель имеет возможность использовать один из заранее установленных уровней защиты:

Алгоритм функциональности Почтового Антивируса

Софт Почтовый Антивирус, используя сигнатурный анализ, практически одинаковый с Файловым Антивирусом, проводит обработку писем, как зараженных, так и подозрительных. Как и при работе обыкновенного антивирусника, объекты либо удаляются, либо лечатся, либо отправляются в карантин.

Порядок обработки имеющих вирус либо подозрительных объектов

Почтовый антивирусник запрашивает у владельца устройства разрешение на проведение определенных действий либо объект обрабатывается на основе параметров, выбранных в настройках.

Программа защиты почты от вируса выводит уведомления о своих действиях, сопровождая их выполнение определенным текст:

— Message has been disinfected — удалены/вылечены объекты, предоставляющие угрозу;

— Suspicious part has been quarantined — подозрительные файлы, полученные с письмом, отправлены в карантин;

— Message is infected или Message has a suspicious part — не обезврежены выявленные зараженные либо потенциально опасные объекты.

Софт Почтового Антивируса, страхуя пользователя от ошибочного запуска файла, где потенциально находится вирус, самостоятельно изменяет названия либо удаляет файлы, имеющие расширениям «.com», «.exe». Если вложенный файл переименован — вместо последней буквы появляется нижнее подчеркивание.

Алгоритм действий Анти-Спама

Софт Анти-Спам, осуществив проверку полученного письма, определяет его статус — спам, возможный спам, а также не спам.

Читать еще:  Троянский конь это вирус

В процессе этой работы применяются по очереди следующие критерии оценки:

  • Список отправителей, от которых разрешено получать почту, а также перечень фраз, наличие которых заинтересует владельца e-mail — если отправитель включен в «зеленый список» либо имеется заранее оговоренная фраза, письмо оценивается как «не спам».
  • Список отправителей, от которых запрещено получение писем либо перечень фраз, наличие которых не интересует владельца почтового ящика — если отправитель числится в «черном списке» либо общая оценка используемых в письме нежелательных фраз превышает 100%, письмо признается «спамом».
  • Анализируются заголовки, используя Самообучающийся алгоритм Байеса (анализ текста), оценка вложенных изображений.
  • Путем анализа структуры определяется статус письма.

После проведенной Анти-Спамом оценки, в теме письма даже может появиться сообщение:

— [!! SPAM] — письму присвоен статус «спам»;

— [?? Probable spam] — письмо признано возможным спамом.

Как должны быть настроены порты

Перехват сетевых информпакетов, последующий контроль почтового трафика с применением протоколов POP3, SMTP, NNTP, IMAP, проводится при приеме почты через стандартные порты.

Если задействуются нестандартные порты – они добавляются в список, проверяемый этими протоколами. Для проверки, какие порты контролируются, следует зайти в секцию настроек антивируса Настройка сети.

Владелец почтового ящика может выбрать автоматический режим — все блоки данных перехватываются, а антивирус определяет самостоятельно, для каких портов передается информация, какие протоколы задействованы для передачи данных. Такая работа, к сожалению, довольно ресурсоемкая, поэтому этот режим и отключен изначально.

Защита электронной почты

Электронная почта – самый популярный канал делового общения, по которому каждый день проходят десятки и сотни тысяч писем с важной и часто конфиденциальной информацией. Поэтому очень часто корпоративная почта подвергается различным атакам.

Проблемы защиты электронной почты – реальные и потенциальные

Поскольку электронные письма сейчас широко используются, они стали средством распространения вирусов, спама, фишинговых атак, таких как использование использование ложных сообщений для того, чтобы побудить получателей разгласить конфиденциальную информацию, открыть вложение или перейти по опасной ссылке.

Безопасность электронной почты пользователя – сотрудника компании – часто является уязвимым местом, которым пользуются злоумышленники для получения доступа к корпоративной сети и важным внутренним данным компании.

Также может быть атакован корпоративный почтовый сервер, вплоть до полной остановки его работы. В ситуации, например, интернет-магазина, который принимает по почте заказы, или любого сервиса, для которого требуется подтверждение регистрации по почте, это может стать причиной серьёзных убытков и репутационных потерь.

Мы расскажем о том, как обеспечить безопасность электронной почты, какой тип безопасности выбрать для почты.

Способы и средства защиты электронной почты

К сожалению, единственного надежного способа защиты электронной почты не существует. Безопасность систем электронной почты можно обеспечить только с помощью комплекса мер, которые включают в себя:

  • Выбор местоположения сервера, обеспечение сетевой безопасности
  • Использование межсетевого экрана, или специализированного Email Security Appliance
  • Контроль доступа к корпоративной почте, определение привилегий для каждой категории пользователей на почтовый и другие сервера обеспечения
  • Использование шифрования для защиты сообщений электронной почты – даже если они будут перехвачены, их содержимое будет невозможно прочесть
  • Использование специализированных антивирусов
  • Средств защиты электронной почты для фильтрации спама
  • Обучение сотрудников основам информационной безопасности

Защита email от взлома и хакеров

  • Необходимо минимизировать вероятность того, что кто-либо посторонний получит доступ в корпоративную сеть и к почте. Для этого используются межсетевые защитные экраны и политики безопасности сети.
  • Чтобы защитить содержимое писем и вложений, применяется шифрование, тогда их невозможно будет прочесть даже в случае перехвата. Например, вложенные файлы можно шифровать с помощью сервисов Касперского.
  • Настройка безопасности почты должна включать SSL-шифрование для взаимной проверки подлинности сервера и клиента.
  • Использование VPN для соединения с удаленными почтовыми клиентами.
  • Защита от DDos-атак на почтовые сервера.

Защита электронной почты от вирусов

В защите корпоративной почты поможет установка специализированного аппаратного и программного обеспечения, которое будет сравнивать новое ПО с известным списком вирусов, анализировать его “поведение” – является ли оно угрожающим – и блокировать атаки.

Защита почты от спама и фишинга

Защита почты от спама и фишинга обычно реализуется с помощью многоуровневой системы фильтров, которые проверяют репутацию сервера-отправителя, фильтров на основе записей SPF(список серверов, с которых разрешено принимать почту), DKIM (проверка, что содержимое письма не изменялось), DMARC, “черных” и “белых” списков запрещенных/разрешенных отправителей.

Программы для защиты

Существует множество программ для обеспечения безопасности электронной почты, поэтому мы коротко упомянем только самые популярные программы для защиты электронной почты.

  • PGP для шифрования и цифровой подписи сообщений, сейчас существуют плагины для браузеров и почтовых клиентов, реализующие эту технологию
  • Защищенные почтовые серверы
  • Почтовые антивирусы, в частности, антивирус Касперского
  • Комплексные решения, такие как защита электронной почты Cisco AMP/ESA/ Cisco ASA

Настройка безопасности корпоративной почты – разбор типичных ошибок

Распространенные ошибки, которые ставят безопасность вашей почты под угрозу:

  • Использование личных почтовых ящиков для рабочих коммуникаций и/или использование одного общего ящика на множество сотрудников
  • Использование публичных Wi-Fi сетей для доступа к корпоративной почте
  • Использование персональных устройств сотрудников для рабочей почты
  • Удаленный доступ к email без VPN
  • Отсутствие фильтрации спама
  • Отсутствие контроля исходящих сообщений
  • Несвоевременное обновление антивирусов и других средств защиты почты
  • Низкая грамотность сотрудников в области информационной безопасности – они открывают вложенные файлы и ссылки в сообщениях от неизвестных отправителей, не меняют или используют простые пароли и т.д.

Особенности защиты корпоративной почты на Yandex, Google, Mail.ru

Почтовые сервисы постоянно совершенствуются. Хотя несколько лет назад держать на них корпоративную почту считалось ненадежным, защита электронной почты в интернете оставляла желать лучшего и компаниям рекомендовали разворачивать собственные почтовые сервера, то сейчас Яндекс, Мейл.ру и Гугл заметно прогрессировали в области информационной безопасности электронной почты. Например, защита почты mail ru и защита яндекс почты включают в себя двухступенчатую аутентификацию пользователя при входе в почтовый ящик, безопасность почты gmail может быть также обеспечена с помощью аппаратного ключа-токена. Это значить, что даже если пароль электронной почты похищен, без кода из СМС или ключа защиты в корпоративный почтовый ящик постороннему все равно не удастся попасть.

Преимуществом этих сервисов также являются встроенные инструменты и алгоритмы защиты почты от спама, защиты электронной почты от вирусов.

Услуги по защите электронной почты от ГК “Интегрус”

Услуги по защите электронной почты от компании “Интегрус” включают в себя целый комплекс мер, направленных на то, чтобы уменьшить риски использования электронной почты:

  • Аудит конфигурации почтовых серверов заказчиков. Создание рекомендаций по оптимальной защите в каждом конкретном случае.
  • Настройка почтовых серверов таким образом, чтобы они обеспечивали требуемую производительность и были отказоустойчивы, мониторинг их работы.
  • Организация системы защиты электронной почты от спама, вирусов, фишинга, взломов с помощью специального оборудования и ПО.
  • Защита информации при использовании электронной почты путем ее шифрования.
  • Создание регламентов безопасности корпоративной почты, обучение сотрудников заказчика правилам безопасности работы с электронной почтой.

В результате у вас будет надежная и безопасная электронная почта, защита информации в письмах от несанкционированного доступа будет на высоком уровне, вы сможете быть уверены, что никто посторонний не прочитает её.

Политика использования электронной почты

Описание политики

Данная политика определяет допустимое использование электронной почты (email) в компании.

Область применения

Настоящая политика является частью корпоративного менеджмента компании и распространяется на все корпоративные почтовые системы.

Политика использования электронной почты

Введение

Электронная почта одно из самых важных средств коммуникации в деловом мире. Сообщения быстро и удобно передаются по внутренним сетям и всему миру через интернет. Тем не менее, существуют риски при ведении бизнеса с помощью электронной почты, так как по сути электронная почта небезопасна, особенно за пределами корпоративной сети. Сообщения могут быть перехвачены, записаны, прочитаны, изменены и перенаправлены кому угодно, а иногда просто пропасть. Случайные комментарии могут быть поняты неправильно и привести к нарушению контрактов или судебным разбирательствам.

Читать еще:  Desktop ini вирус

Основные принципы

А. Пользователи электронной почты должны избегать деятельность, нарушающую информационную безопасность.

Б. Корпоративная электронная почта должна использоваться в рамках должностных обязанностей. Все сообщения электронной почты в информационных системах и сетях считаются собственностью компании.

Требования политики

1. Не используйте электронную почту:

2. Проявляйте профессиональное благоразумие при использовании электронной почты. Придерживайтесь общепринятых правил этикета при работе с электронной почтой (см. Правила безопасности электронной почты). Тщательно проверяйте сообщения перед отправкой, особенно при общении с внешними контрагентами.

3. Не раскрывайте без необходимости возможно непубличную информацию в сообщениях, уходящих за пределы компании.

4. Сообщения электронной почты автоматически сканируются в информационных системах на наличие вредоносных программ, спама и нешифрованной служебной или личной информации. К сожалению, процесс сканирования недостаточно эффективен (например, сжатые и шифрованые сообщения не могут быть полностью просканированы), поэтому нежелательная/сомнительная почта иногда попадает к пользователям. Удаляйте такие сообщения или сообщайте о них в службу поддержки.

5. Сотрудники не должны перехватывать, игнорировать, изменять, удалять, сохранять или публиковать сообщения кроме случаев, санкционированных руководством или в целях администрирования ИТ систем.

6. Ограниченное использование корпоративной электронной почты разрешается под ответственность руководства, учитывая, что это носит случайный и непостоянный характер и не мешает выполнению должностных обязанностей. Все сообщения, отправляемые в корпоративных системах и сетях подвергаются автоматическому сканированию и могут быть помещены в карантин и/или просмотрены уполномоченными сотрудниками.

7. Не используйте веб-сервисы Gmail, Hotmail, Yahoo или похожие почтовые системы третьих сторон (обычно называемые «вебмайл») в служебных целях. Не пересылайте и не перенаправляйте корпоративную электронную почту на внешние почтовые системы/системы третьих сторон. Вы можете пользоваться вашим личным почтовым ящиком с использованием корпоративных систем под ответственность руководства с учетом, что этот вид использования почты крайне ограничен и не считается личным использованием (см. выше).

8. Рационально подходите к числу и размеру сообщений которые вы отправляете и храните. Периодически очищайте ваш почтовый ящик, удаляя старые сообщения, которые больше не нужны и перемещая необходимые сообщения в соответствующие почтовые папки. Отправляйте важные письма в архив в соответствие с политикой архивирования почты.

Ответственность

Управление информационной безопасности отвечает за соблюдение требований настоящей политики. Будучи в тесной связи с другими бизнес-функциями управление ответственно за образовательную деятельность, имеющую целью повысить уровень осведомленности и понимания ответственности, обозначенной в данной политике.

Департамент ИТ отвечает за организацию, конфигурирование, использование и обслуживание оборудования для работы с электронной почтой (включая антиспам, антивирус и другие фильтры) в соответствие с данной политикой.

Служба ИТ поддержки отвечает за помощь сотрудникам в использовании электронной почты и служит центральным пунктом сбора сообщений об инцидентах с использованием электронной почты.

Все сотрудники, имеющие отношение к настоящей политике, несут ответственность за соблюдение данной и остальных корпоративных политик. Настоящая политика также относится к сотрудникам третьих организаций, работающих в тех же условиях независимо от того связаны ли они с политикой информационной безопасности компании явно (например, особыми пунктами контрактов) или не явно (например, общепринятыми нормами поведения).

Компания имеет право оценки выполнения требований настоящей политики в любое время.

Примерная политика безопасности электронной почты

Назначение и область действия.

Настоящая политика устанавливает правила для организации эффективного использования электронной почты в целях поддержания безопасности информационного обмена и предотвращения нецелевого использования средств обработки информации, а также недопущения утечки конфиденциальной информации

Правила распространяются на всех работников фирмы и третьих лиц, использующих корпоративную электронную почту для выполнения своих функций и является обязательным для выполнения

Все исключения из данных правил должны быть согласованы с службой безопасности

ЭП должна использоваться сотрудниками только для выполнения служебных обязанностей. Использование корпоративной ЭП в личных целях запрещено

Служебная переписка долдная вестись только через копроратвный сервер ЭП. Использование внешних серверов и сервисов ЭП зарпещено

ЭП не должна использоваться для агитации или рекламы коммерческих предприятий, пропаганды религиозных или политических идей и лругих целей, не связанных с выполнением служебных обязанностей

ЭП не должна использоваться для создания оскорбительных или провокационных сообщений

ЭП не должна использоваться для передачи или получения материалов, защищенных авторским правом без разрешения правообладателя

Доступ пользователей к электронной почте ограничивается в соответствии с назначенными для них категориями доступа. Категории доступа и установленные ограничения документируются и утверждаются назначенным владельцем данного информационного ресурса.

Информация, принимаемая и передаваемая посредством электронной почты посредством ресурсов компании должна подвергаться мониторингу и анализу на предмет соответствия информационного обмена установленным ограничением

Любое сообщение электронной почты, отправленные и /или полученное с использованием корпоративной электронной почты, может быть просмотрено уполномоченными сотрудниками службы ИБ

Все входящие и исходящие сообщения должны быть проверены на наличие в них вредоносного кода

Передача КИ в незащищенном виде не допускается

При передаче по ЭП сообщений конфиденциального характера должны использоваться средства криптографической защиты информации.

Электронные сообщения от неизвестных отправителей или содержащие неизвестные вложения, должны удаляться

Все факты отправки, приема и обработки электронных сообщений, должны регистрироваться

Входящие и/или исходящие сообщения в ЭП могут быть задержаны в случае их несоответствия установленным ограничениям

Ответственность за организационное обеспечение функционирования ЭП возлагается на владельца данного информационного ресурса.

Ответственность за настройку доступа к электронной почте возлагается на службу информационных технологий.

Ответственность за соблюдение правил возлагается на всех работников компании и третьих лиц, использующих корпоратвную ЭП

Контроль выполнения и пересмотр правил возлагается на службу информационной безопасности.

Защита электронной почты

Корпоративные пользователи не хотят отказываться от столь удобного средства коммуникации, как электронная почта, однако риски очень высоки. Электронная почта нуждается в защите от различных угроз.

На современном предприятии электронная почта выполняет функции телеграфа и телефона, именно поэтому злоумышленники часто используют ее в качестве плацдарма для дальнейшего нападения на корпоративную инфраструктуру.

Сервис электронной почты старейший: когда DARPA создавала свою первую сеть, именно сервис передачи сообщений являлся основным, а более быстрый веб появился значительно позже — в 90-х годах прошлого столетия. По мнению экспертов в области ИБ, корпоративные пользователя еще долгое время не захотят отказываться от столь удобного средства связи, однако риски очень высоки: «Защита электронной почты потеряет свою актуальность, когда будет отправлено последнее цифровое письмо, и я не думаю, что это случится в ближайшие 50 лет. Ведь в каждой организации сотрудники ведут обширную переписку с клиентами и партнерами, поэтому электронная почта — рай для злоумышленников. Они могут подделать письмо, вшить в него вредоносное ПО или ссылку — подобных примеров очень много».

При этом сервис по-прежнему считается наиболее востребованным. Где сейчас gopher или даже FTP? А электронная почта продолжает развиваться и совершенствоваться. Недавно, например, организован обмен кириллической электронной почтой, и теперь адреса можно писать русскими буквами. Длительное и плодотворное развитие не могло не сказаться на безопасности этой технологии. Ее описание представлено в достаточно большом наборе документов, созданных в разное время и с разным качеством, поэтому в спецификациях протоколов и форматов накопилось немало погрешностей, которые эффективно используются злоумышленниками как для нападения на корпоративные информационные системы, так и для поиска ценных сведений на «оккупированных территориях» киберпространства.

Читать еще:  События безопасности подлежащие регистрации

Угрозы

Среди потенциальных угроз, которые характерны для систем электронной почты компании, можно выделить четыре основные.

1. Уязвимости самой электронной почты или связанных с ней компонентов. Это одна из древних проблем: первый червь Морриса использовал именно уязвимость в почтовом сервере sendmail. С тех пор серверы и клиенты электронной почты становились все сложнее, и, естественно, подобных брешей накапливалось все больше. А поскольку сервисы электронной почты взаимодействует с агрессивной средой Интернета, злоумышленники проверяют на прочность именно их. В качестве мер, которые снижают опасность этой угрозы, стоит упомянуть постоянное обновление программного обеспечения и минимальную конфигурацию почтового сервера. Если вы используете сервер электронной почты с функциями приложений (например, Microsoft Exchange), лучше спрятать его за более простым пересыльщиком почты, который будет фильтровать спам и непродуктивную нагрузку, а сервер электронных приложений расположить внутри — под защитой межсетевого экрана.

2. Передача вредоносных файлов. Электронная почта допускает прикрепление к письму самых разнообразных файлов с последующей их загрузкой (в том числе автоматической) в соответствующие приложение. Это и является основным вектором нападения на корпоративные информационные системы: нацеленный на определенную уязвимость файл, в который встроен вредоносный код, посылается жертве, которая откроет его в нужном приложении, и таким образом осуществляется проникновение в систему. Кандидатов на уязвимые приложения немало: Adobe Reader, Microsoft Office, курсоры, шрифты и библиотеки помощи операционной системы Windows и даже CAD-приложения. Были зафиксированы, в частности, примеры атак на среды разработки, такие как Delphi. Наибольший риск для этого типа атак представляют приложения, где в файлах можно размещать исполненные модули на любом из языков программирования: JavaScript, VBScript, Java и других.

В качестве защиты от таких нападений применяются решения уровня анти-APT, но не антивирусы. Последние, по мнению экспертов по ИБ уже не способны справиться с новыми угрозами: «Антивирусы, конечно, отражают атаки злоумышленников, но отражают они только известные атаки, и то не все. Email Security Appliance, который можно отнести к классу решений анти-APT, нацелен на то, чтобы вредоносный код, известный или неизвестный, либо не достиг компьютера, либо в кратчайшие сроки был обезврежен и отправлен на анализ в Cisco Talos, где анализируется на предмет вредоносности примерно треть всех писем, тем самым ежедневно гарантируется безопасность для 500 млрд. сообщений. Сложно подсчитать, какое количество атак было предотвращено».

3. XSS-атаки. XSS расшифровывается как Cross-Site Scripting, то есть исполнение сценария через сайт (при этом слово Cross обозначается как X, чтобы не путать это сокращение с каскадными таблицами стилей CSS). Строго говоря, речь идет об уязвимости в веб-приложении, которая позволяет исполнить небольшой сценарий в контексте пользователя и похитить ценную информацию — пароли или идентификаторы сессий. Казалось бы, причем тут электронная почта? Однако именно с ее помощью распространяется специально сформированный URL, который включает в себя сценарий, исполняемый на веб-клиенте пользователя для проникновения в систему. Именно поэтому категорически не рекомендуется переходить по содержащимся в письмах ссылкам. Но кого это останавливает? Причем специально предназначенных для таких угроз инструментов защиты практически нет. Как правило, проверка ссылок в почте подразумевает оценку репутации сайтов, но не выявление компонентов сценариев.

4. Утечки информации. Сотрудники компаний обмениваются электронными письмами не только со своими коллегами, что может быть использовано для нападения, но и отправляют сообщения вовне. Злоумышленники нередко используют эту возможность для передачи ценной информации за пределы защищенного периметра. Впрочем, утечки данных происходят и случайным образом — сотрудник просто нажал не ту кнопку или выбрал неправильный адрес. Для защиты от этого типа угроз рекомендуется применять DLP-решения, которые анализируют данные и блокируют подозрительную передачу. Благо, отправка сообщения не требует немедленной реакции и может быть отложена до того момента, когда служба безопасности отправителя сможет осуществить проверку.

Конечно, электронная почта, как и другие критические корпоративные приложения, таит в себе множество угроз, однако их сложно блокировать техническими средствами, а мы обсуждаем здесь лишь такие возможности. Поэтому, например, отказ в обслуживании самой почтовой системы, нужно рассматривать уже в рамках полноценного анализа рисков. Поговорим об инструментах защиты электронной почты.

Анти-APT

Основным направлением современного развития средств защиты электронной почты является создание преграды для целенаправленных атак (Advanced Persistent Threat, APT). «Атаки через сервисы электронной почты зачастую носят не общий характер, а осуществляются с определенной целью и поэтому являются наиболее результативными, — отмечают эксперты. — Злоумышленники не изобретают новые вирусы, а модернизируют и дописывают уже разработанное вредоносное ПО, что тоже создает проблемы для разработчиков». При этом предполагается, что хакеры используют почтовую систему для передачи не массовых, а специально созданных вредоносных кодов. Такой код невозможно распознать с помощью традиционных антивирусных решений, потому что он никогда не встречался ранее, для него еще не составлено описание и не подготовлен шаблон обнаружения. Одноразовые вредоносные коды всегда имеют возможность незаметно проникнуть и внедриться в корпоративную информационную систему.

Поэтому несколько лет назад начали разрабатываться программные инструменты для защиты от неизвестных (целенаправленных) атак. Как правило, речь идет о сложных комплексных решениях, в которых используются сигнатурные, репутационные, эвристические и многие другие методы определения потенциальной опасности файлов, передаваемых во вложениях. В последнее время развивается методология машинного обучения, однако все эти методы требуют квалифицированного обслуживания и сложны в эксплуатации. Лучшим вариантом их использования является получение профессиональных услуг по защите от целенаправленных атак.

Технологией, предназначенной для массового применения, являются так называемые песочницы. Собственно, попытки исполнения файлов-программ и сценариев, передаваемых в электронном письме, осуществлялись и раньше, но они были ограничены ресурсами шлюзовых устройств, обеспечивавших защиту от вредоносных кодов. Песочницы превратились в эффективный инструмент защиты с появлением новейших технологий виртуализации, позволяющей эмулировать программное окружение пользователя, его действия и реакции. Поскольку достаточно большое количество сотрудников работают в виртуальных средах, злоумышленники уже не могут применять методы выявления виртуальных машин для защиты от обнаружения. К тому же современные виртуальные среды позволяют выявлять сложные взаимосвязи между приложениями и обнаруживать такие методы нападения, как переполнение буферов, нарушение работы памяти, XSS-атаки и многое другое.

Еще одним возможным методом защиты от целенаправленных атак является полная замена вложений на безопасные. Эта технология позволяет удалять из файлов всю «лишнюю», с точки зрения безопасности, информацию, оставляя в них только текст и картинки. Все макросы и другие подозрительные вложения просто удаляются. В результате пользователю передается хотя бы часть информации, а о необходимости доступа к исходным файлам он принимает решение сам.

В целом можно отметить, что средств защиты электронной почты от наиболее сложных целенаправленных атак разработано достаточно, но они должны сочетаться с такими элементами корпоративной защиты, как межсетевые экраны, средства контроля пользовательского трафика и другие средства обеспечения безопасности. В частности, можно выделить компанию Cisco и их решение Cisco Email Security Appliance (ESA). В нем присутствует антивирус, причем можно выбрать продукт конкретного разработчика, антиспам, детальный анализ вредоносных файлов внутри письма, предотвращение утечек данных, шифрование и т. д. Одного средства защиты электронной почты достаточно, чтобы защитить сервисы электронной почты, но недостаточно для защиты системы в целом. Чтобы обеспечить безопасность информационной системы, необходим комплекс программных продуктов, интегрированных между собой.

Поделитесь материалом с коллегами и друзьями

Ссылка на основную публикацию
Adblock
detector
×
×