17.04.2018

Как надёжно защитить почту?

Информационные технологии постоянно совершенствуются. При всём при этом каждый день появляются новые угрозы и способы атак на уже стопроцентно защищенные различными способами и решениями периметры и сервисы.

Аналитики и производители продуктов защиты данных уже по привычке предпочитают измерять потери от вирусных атак в деньгах (указанные суммы отличаются множеством нулей). Например, по итогам новой сводки  Norton Cyber Security Insights Report за прошлый год, сумма мирового ущерба от разных атак вышла больше 170 млрд долларов США (приблизительно 142 доллара в пересчете на каждую жертву, подвергшуюся атакам). Заметим, что это сведения только по 20 странам, где проводились исследования. В действительности потери от атак в разы, а то и десятки раз больше.

При этом интересно, что даже такие традиционные способы проникновения в личное пространство жертв, как атаки с помощью почты, уверенно занимают высокие позиции (четвертое место по популярности) и остаются эффективным инструментом взлома (данные получены из отчета Norton Cyber Security Insights Report за прошлый год):

em1

На диаграмме выше желтым выделена статистика пострадавших от тех или иных атак, красным – пострадавшие знакомые, а черным – третьи лица или знакомые знакомых тех людей, среди которых проводились опросы.

Другой важный момент, что касается атак через почту, заключается в том, что почти треть подобных вредоносных операций связана с неосторожными действиями самих пострадавших пользователей. Например, пользователь переходит на вредоносный веб-ресурс с дальнейшим заполнением форм с данными (номера карт, паспортные данные, телефоны и т.п.) и предоставляет такую информацию в ответ на подобные электронные письма. Подобное делать ни в коем случае нельзя, даже если ресурс вызывает доверие на первый взгляд. Лучше лишний раз всё перепроверить.

Так, защита почтового трафика всё ещё актуальна. Напротив в связи с растущей популярностью бесплатных или условно-бесплатных почтовых сервисов с очень слабой и малоэффективной встроенной защитой от вирусов и спама, является самым необходимым сервисом.

Посмотрим, что нам предлагает лидер рынка информационной безопасности – компания Symantec. У нее есть мультифункциональные сервисы по защите периметра почтового трафика, Symantec Messaging Gateway.

Что можно сказать об этом решении? Во-первых, оно является  полноценным почтовым шлюзом с поддержкой современных средств защиты и авторизации на уровне соединений. Во-вторых, оно обладает интегрированными инструментами защиты от спама и вирусов, в том числе на основе мировой системы репутации. В-третьих, у него есть контентный анализ содержимого с возможностью блокировать отправку или получение электронной почты по различным параметрам (например, при получении шифрованных писем или если в теле письма содержатся личные данные). В-четвертых, может  подменять ссылки в теле письма или «разбирать» содержимое с целью очистки от вредоносного кода вложений, сохраняя  содержимое (Disarm-технология). Также решение является легким в установке и не требовательным к выделенным ресурсам инфраструктуры.

Решение может быть как в виде аппаратной платформы, так и в виде виртуальных модулей.

Далее мы расскажем про функционал и возможности более детально.

Полноценный почтовый шлюз

Так как решение является шлюзом для SMTP-протокола и ставится «в разрыв» трафика, то логично, что Symantec Messaging Gateway умеет полностью работать с почтовым трафиком, например, перенаправлять его на внутренние почтовые сервера (по IP или FQDN), или внешние серверы, или сервисы (в том числе на конкретные mx-записи). Все операции при этом фиксируются в журналах и доступны для быстрого анализа, поиска или экспорта в удобные для чтения отчеты (например, для руководителей).

Отметим, что решение включает в себя так называемые «сканеры», то есть модули, которые напрямую сканируют (пропускают через себя) SMTP-трафик. Что важно – подобных сканеров может быть любое количество, что позволяет «покрыть» практически любую инфраструктуру с разным количеством каналов передачи данных или доменов компании. Сами сканеры управляются через общий центр управления (из любого браузера).

В отличие от многих конкурентных продуктов, подобные сканеры или какой-либо функционал не требует дополнительного лицензирования или покупки в любом другом скрытом виде. Приобретая Symantec Messaging Gateway, вы платите только за количество пользователей, которые пользуются почтовыми сервисами!

На шлюзе Symantec Messaging Gateway можно определить параметры установления соединения со стороной отправителя/получателя: тип соединения (например, обязательно  должно выполняться только с помощью шифрованного обмена данными – TLS-протокола); прием писем только с конкретно заданных доменов или IP-адресов; ограничение размера письма или параметры интерфейсов; много других особенностей.

Защита от спама и вирусов

Почтовый шлюз был бы бесполезен без защитных технологий, распространяемых через почтовые сообщения. Symantec Messaging Gateway обладает всем необходимым комплексом инструментов для предотвращения угроз и рассылок спама:

  • система репутации контента (как глобальной, так и локальной);
  • актуальные и постоянно обновляемые сигнатуры антивирусов;
  • открытые  механизмы определения отправителей (идентификация сообщений DMARC, записи SPF, цифровые подписи DKIM и т.п.);
  • возможность    передачи объектов на проверку во внешнюю «песочницу»;
  • правила классификации и управления содержимым письма;
  • карантин (в том числе, с возможностью просмотра попавших в карантин писем самими    пользователями) и тому  подобное.

В первую очередь, когда письмо попадает на шлюз, оно проверяется по системе репутации. Система репутации Symantec это, по сути, мировая облачная база различных сервисов и аналитических центров, куда собирается вся известная информация о различных угрозах, новых вирусах и механизмах атак и множество других данных – Global Intelligence Network. К примеру, в этой сети находится крупнейшая в мире база репутации файлов (более 4 млрд), кроме того, более 30% (более 2 млрд писем в день) мирового почтового трафика проверяется серверами компании Symantec (в том числе специальные сервера-ловушки для устранения спама и определения источников его распространения).

Таким образом, почтовый шлюз Symantec Messaging Gateway проверяет полученное сообщение по системе репутации. Уже на этом этапе система понимает: отправлено ли данное сообщение с IP-адреса, используемого для рассылки спама, является ли вложение объектом, что уже был определен как опасный на другом конце земного шара, не является ли сообщение угрозой или не производится ли в данный момент этим сообщением атака отбойниками – и многое другое.

Кроме этого, ничто не мешает администратору системы дополнительно определить свои критерии проверки, например, такие как: доверенные (или нет) отправители; проверка на наличие конкретного формата вложений; необходимо ли считать конкретные IP-адреса опасными, если с них осуществляется отправка более 10% почты от всего количества.

Symantec Messaging Gateway умеет классифицировать спам по различным признакам, добавляя к заголовкам тем писем под какую конкретно категорию спама попадает сообщение (рассылка новостей, маркетинг, обычный спам и так далее), при этом ничто не мешает администратору создавать свои собственные правила или задавать уровень чувствительности шлюза к таким сообщениям.

Другой очень полезный функционал (например, на период массовых атак) – возможность менять в теле письма ссылки на недействительные, что делает 100% невозможным переход по ссылкам в электронном письме неосторожным пользователям, даже если похожее письмо каким-то образом попадет в почту сотрудника.

Разумеется, решение Symantec Messaging Gateway обладает современными механизмами очистки сообщений от вирусов, такие как защита от zip-бомб, блокировка скриптов или потенциальные угрозы, что используют уязвимости «нулевого» дня.

Технология DISARM

Хотелось бы отдельно отметить технологию DISARM, позволяющую удалять только зловредный код из некоторых типов вложений (файлы приложений Microsoft Office и PDF-файлы). Суть данной технологии заключается в умении системы Symantec Messaging Gateway «разбирать» подобные вложения на безопасную часть и вредоносную часть, с последующей обратной компиляцией файла уже без вируса.

По сути, данная реконструкция объектов защищает от атак через flash-уязвимости, XFA-формы или различные макросы.

Ко всему вышеперечисленному функционалу добавлена возможность передачи вложений и/или сообщений в сторонние решения, ролевая модель управления системой и ее политиками.

Контентный анализ

Многие компании уже осознали необходимость контроля или предотвращения утечек важной и чувствительной информации. Но, зачастую, приобретение и внедрение полноценной DLP-системы откладывается по различным причинам (стоимость, сложность внедрения и сопровождения, отсутствие критериев оценки информации на конфиденциальность и т.п.). Потому возможность контентного анализа посредством Symantec Messaging Gateway в данном случае является тем самым «спасательным кругом» для контроля утечек важных данных через почту (отметим еще раз – подобный функционал не требует отдельного приобретения или лицензирования).

Контентный анализ, встроенный в Symantec Messaging Gateway, позволяет управлять процессом обработки сообщений на основе вложений (тип файлов и их структура), регулярных выражений (причем имеются уже готовые шаблоны для кредитных карт, номеров телефонов, email и прочих параметров), кодировки письма, адресов отправителя или получателя, направления трафика и тому подобном.

Сообщение, которое попало под заданную политику (например, если в нем указан конфиденциальный номер телефона) создаст инцидент, и, в зависимости от заданных правил, доставка такого сообщения может быть заблокирована, сообщение может быть помещено в карантин, в нем могут быть удалены вложения перед отправкой и прочее.

Интеграция с другими решениями

Как уже было сказано выше, Symantec Messaging Gateway является зрелым решением по управлению почтовыми сообщениями, и вполне логично, что в данном продукте присутствуют различные коннекторы и механизмы взаимодействия с различными внешними сервисами. Например, почтовый шлюз может каждое сообщение отправлять во внешнюю систему Symantec DLP путем интеграции через MTA для проверки содержимого на предмет конфиденциальности.

Symantec Messaging Gateway также может быть интегрирован со следующими сервисами и решениями:

  • Внешние    каталоги пользователей. Поддерживаются каталоги Microsoft, Domino, Sun ONE, Java Directory и т.д.
  • Шифрование    почты через сервис Symantec Content Encryption. Данный сервис позволяет в  автоматическом режиме шифровать сообщения, требующие обязательной отправки    в шифрованном виде
  • Передача    журналов на внешние серверы, при этом используется стандартный подход  через syslog на нужный IP и порт (UDP или TCP)
  • Реализовано отслеживание состояния и управление Symantec Messaging Gateway через сервера SNMP и контроль внешних источников бесперебойного питания с реакцией на разряд батареи, что может быть удобно, если используется аппаратная реализация решения Symantec Messaging Gateway, требующая правильного завершения работы.

Заключение

Специалисты Symantec давно работают над различными эффективными решениями в области информационной безопасности и почтовый шлюз Symantec Messaging Gateway только подтверждает имидж компании как ответственного и лидирующего производителя сервисов и продуктов в этом сегменте. Не зря распространенный во всем мире продукт Symantec Messaging Gateway становится все более востребован и в Украине (отдельно отметим, что в ближайшее время ожидается завершение сертификации продукта в Государственной Службе Специальной Связи и Защиты Информации Украины, что еще и гарантирует соответствие стандартам безопасности связи с точки зрения предотвращения нарушения целостности данных или их утечки при работе с продуктом Symantec Messaging Gateway).

Независимо от сложности используемой инфраструктуры, применяемых почтовых сервисов или других решений по защите от атак, продукт Symantec Messaging Gateway является идеальным почтовым шлюзом для обработки почтовых потоков и дополнительным звеном безопасности современной ИТ-среды.

По материалам ChannelforIT