Стратегии защиты почтового трафика

Стратегии защиты почтового трафика
21.06.2022

Электронная почта – один из самых популярных источников кибератак в компании из-за своего повсеместного распространения. Через корпоративную почту циркулирует конфиденциальная информация, что привлекает злоумышленников. Вариативность угроз на платформу обмена сообщениями делает ее наиболее уязвимым вектором атак.

Основные угрозы

Открывшего вредоносную ссылку в электронном письме сотрудника достаточно, чтобы хакер мог обойти все средства киберзащиты. Поэтому предотвращение связанных с электронной почтой угроз должно быть главным приоритетом в организации.

Виды кибератак на электронную почту:

  • компрометация деловой электронной почты;
  • фишинг учетных данных пользователей;
  • маскировка под другое лицо/организацию;
  • вредоносное программное обеспечение;
  • исходящий фишинг и спам.

Стратегия защиты

В защите корпоративной почты необходимо сконцентрироваться на максимальной автоматизации с метриками для оценки качества и контроля ложных срабатываний. Необходимо проверять следующие компоненты электронных писем:

  • заголовки;
  • содержание;
  • веб-ссылки;
  • вложения;
  • QR-коды.

Спам-фильтр

Базовым средством защиты являются спам-фильтры. Они помогают фильтровать почтовый поток и определяют целесообразность анализа вложений и атрибутов писем в других системах безопасности, которые обычно идут следующим эшелоном защиты.

Для проверки подлинности электронной почты используются три стандарта безопасности: SPF, DKIM, DMARK, которые представляют собой набор методов аутентификации электронной почты. Последние нужны, чтоб чтобы доказать интернет-провайдерам и почтовым службам, что отправители действительно уполномочены отправлять электронную почту с определенного домена.

SPF подтверждает подлинность домена, DKIM цифровая подпись писем отправителя, которая повышает доверие провайдера, и DMARK определяет алгоритм обработки писем, которые идентифицированы поддельными.

Спам-фильтр уменьшает количество писем и делает почтовые ящики более управляемыми. Сотрудники получают предупреждения о подозрительных сообщениях.

Фишинг

Тактика использования фишинговых электронных писем является одним из наиболее распространенных методов для атак на электронную почту. Его цель — заставить пользователя загрузить вредоносное программное обеспечение или предоставить свои аутентификационные данные.

Возможные маски фишинга:

  • письмо от банка или поставщика услуг;
  • пподписки и игровые сервисы;
  • письмо от руководителя организации;
  • просьба срочной помощи;
  • резюме или приглашение на собеседование;
  • сайты знакомств или угроза компрометации;
  • письмо от команды безопасности с просьбой обновить пароль.

Важно, чтобы системы защиты обладали следующим функционалом:

  • статический анализ адреса;
  • динамика переходов по ссылке;
  • анализ кода страницы и JavaScript-кода;
  • проверка на киберсквотинг и тайпсквотинг;
  • модели машинного обучения с возможностью дообучения.

Во взаимодействии с электронной почтой важен здравый смысл. Не стоит отвечать, переходить по ссылкам и открывать вложения подозрительных писем.

Распознание фишинга возможно по следующим параметрам:

  • оценка причины запроса в сообщении;
  • проверка адреса отправителя;
  •  общее состояние электронного письма (грамматика, деловой контекст, тон голоса, отсутствие подписи в электронном письме и т. д.).

До перехода по URL-адресу нужно навести указатель мыши на ссылку. Если адрес не содержит расширения HTTPS, есть вероятность, что URL-адрес не ведет на безопасный веб-сайт. Мошенники часто предлагают ссылки, ведущие на страницу загрузки вредоносного программного обеспечения. Данные небезопасные веб-сайты обычно имеют расширение HTTP.

URL-адрес может выглядеть как знакомая ссылка. Например, с заменой одной буквы домена, чтобы заставить сотрудника думать, что URL-адрес является законным.

Необходимо запускать регулярные симуляции фишинга в организации, чтобы держать сотрудников в курсе и проверять их способность идентифицировать подозрительные электронные письма в реальной жизни.

Публичные Wi-Fi сети

Если сотрудники пользуются рабочей почтой дома или с личных устройств, нужна гарантия, что для доступа к электронной почте не используются публичные Wi- Fi сети. Конфиденциальные данные через общедоступную Wi-Fi сеть, можно перехватить даже владея только базовыми навыками киберпреступлений.

Снизить риск перехвата информации поможет блокировка использования корпоративной почты в общедоступных Wi-Fi сетях посредством листа белых IP-адресов. Также можно использовать мобильный Интернет или Интернет-ключи для использования вне офиса.

Доступ к корпоративной почте должен разрешаться только в случае подтверждения сетевой безопасности устройства, с которого осуществляется вход.

DNS (DANE)

Хакеры могут предотвратить зашифрованное соединение или установить зашифрованное соединение с другим (неправильным) сервером. Эти проблемы можно решить с помощью аутентификации именованных объектов на основе DNS (DANE), указав, каким серверам разрешено получать электронные письма в DNS почтового домена через так называемую «запись TLSA», и что прием электронной почты должен быть зашифровано. Однако при использовании этого метода все зависит от настироек почтового домена принимающей стороны.

DNSSEC

Стандарты безопасности электронной почты зависят от информации, хранящейся в DNS. Почтовые серверы извлекают её, например, чтобы проверить в записи SPF, приходит ли электронное письмо с доверенного сервера. Злоумышленники используют DNS спуфинг – изменение кеша доменных имен с целью подмены IP-адреса. Чтобы гарантировать невозможность манипулирования такого рода информацией в DNS-запросе, важно, чтобы DNS-сервер, содержащий домен электронной почты вашей организации, поддерживал DNSSEC. Таким образом, предотвращается возможность обхода стандартов безопасности электронной почты.

STARTTLS

При отправке электронного письма не гарантируется использование зашифрованного канала передачи данных. Эта проблема связана с SMTP протоколом, который используется для отправки и получения писем между почтовыми серверами. Его шифрование выполняется с помощью STARTTLS — расширения протокола текстового обмена, которое позволяет создать зашифрованное соединение поверх TCP. Подключение системы к другой системе идет по зашифрованному каналу передачи. В случае неудачи используется незашифрованный канал связи.

STARTTLS при некорректной настройке приведет к отсутствию параметров проверки. Так злоумышленники смогут устранить зашифрованную коммуникацию между серверами или поменять директорию соединения и перенаправить на другой сервер.

Большинство почтовых серверов имеют возможность принудительно запускать STARTTLS. Но письма могут не доставляться, если получатель не поддерживает STARTTLS. Поэтому на практике это часто устанавливается только между сторонами, которые знают друг от друга, что STARTTLS возможен.

Соглашения

Технические решения могут обойти недостатки STARTTLS, но они пока не получили широкого распространения. Даже если трафик между почтовыми серверами проходит через STARTTLS с правильными почтовыми серверами, сообщение электронной почты может быть найдено незашифрованным на почтовых серверах, через которые оно отправлено. Важно договориться внутри организации о том, что можно и нельзя отправлять по электронной почте.

Дополнительные возможности

Повысить уровень защиты электронной почты помогут следующие простые правила:

  • настройка внутренних политик и процедур реагирования;
  • веб-сервисы для проверки почтового домена на безопасность;
  • закрытие учетной записи сотрудников, которые покинули компанию;
  • автоматический выход сотрудников из своих почтовых платформ в конце рабочего дня.

AVSOFT KAIROS

Система защиты от спама и фишинга AVSOFT KAIROS, разработанная отечественной компанией АВ Софт, способна взять на себя защиту корпоративной почты, веб-трафика организации и общения посредством мессенджеров. Она анализирует заголовки электронных писем, веб-ссылки, почтовые вложения, текст письма на спам.

Программный комплекс проверяет SPF, DKIM, DMARK параметры, анализирует заголовки, веб-ссылки, удостоверяет безопасность вложенных файлов. Функционал позволяет создавать гибкую систему политик и правил фильтрации для каждого источника и потребителя данных.

В системе KAIROS применяются модели машинного обучения на базе новой технологии трансформеров, которые хорошо понимают контекст предложения, его настроения и общий смысл. Модели поддерживают порядка 15 языков. При необходимости пользователи могут самостоятельно дообучать модели на данных компании, что особенно актуально для закрытых контуров и финансовых организаций.

Боты в сети Интернет непрерывно в автоматическом режиме собирают данные для справочников системы по вредоносным IP- адресам, доменам, контрольным суммам, что повышает эффективность ее работы.

Система KAIROS способна обмениваться данными с другими системами и может быть инсталлирована на физической, виртуальной и облачной инфраструктуре.

Автор статьи: руководитель проектов информационной безопасности компании «АВ Софт» Савельева Александра


Комментарии 0