Как защитить корпоративную почту от кибератак

Как защитить корпоративную почту от кибератак

Как защитить корпоративную почту от кибератак

По статистике, примерно 87 % почтового трафика — это спам, а 90 % успешных атак с проникновением в инфраструктуру начинались с фишинга. Как в современных реалиях сделать использование электронной почты более безопасным, расскажут эксперты AM Live.

 

 

 

 

 

 

  1. Введение
  2. Основные риски и угрозы безопасности
    1. 2.1. Виды атак на электронную почту
    2. 2.2. Внутренние нарушения и утечки данных
  3. Можно ли защитить почту отечественными средствами?
  4. Главные ошибки в использовании почты
  5. Базовый набор средств в защите электронной почты
    1. 5.1. Повышение осведомлённости
    2. 5.2. Резервное копирование
    3. 5.3. Двухфакторная аутентификация
    4. 5.4. Шифрование
    5. 5.5. Профилирование
  6. Как минимизировать ущерб от фишинговой атаки
  7. Прогнозы: чего стоит опасаться в ближайшем будущем
  8. Выводы

Введение

Электронная почта — всё ещё один из основных способов коммуникации в деловой среде. С ростом числа информационных угроз и кибератак её защита становится всё более важной для обеспечения конфиденциальности, целостности и доступности информации. Необходимо использовать средства и технологии защиты электронной почты, которые помогут компаниям обезопасить свои данные от злоумышленников. Каковы основные принципы защиты электронной почты и рекомендации по обеспечению безопасности сейчас?

 

Рисунок 1. Эксперты отрасли в студии телепроекта AM Live

Эксперты отрасли в студии телепроекта AM Live

 

Спикеры прямого эфира: 

  • Александра Савельева, исполнительный директор, «АВ Софт»; 
  • Николай Затерюкин, руководитель группы сетевой безопасности, «Платформикс»;
  • Александр Румянцев, руководитель направления развития продуктов для облачной и сетевой безопасности, «Лаборатория Касперского»;
  • Дмитрий Царёв, руководитель управления облачных решений кибербезопасности, BI.ZONE; 
  • Сергей Осипов, руководитель направления защиты от вредоносного ПО, Positive Technologies; 
  • Александр Симонян, руководитель департамента технологического сопровождения проектов по кибербезопасности, F.A.C.C.T. 

Ведущий и модератор эфира — Иван Шубин, заместитель директора по информационной безопасности, АО «СОГАЗ».

 

 

Основные риски и угрозы безопасности

В последние годы наблюдается стремительный рост числа атак, а киберпреступники остаются безнаказанными. Для организаций крайне важно осознавать угрозы, с которыми они сталкиваются, и знать, к чему нужно быть готовыми.

Виды атак на электронную почту

Александра Савельева перечислила основные пути проникновения злоумышленников внутрь периметра: спам, фишинг, компрометация бизнес-почты (BEC), фальшивые уведомления (backscatter), DDoS-атаки и др.

 

Александра Савельева, исполнительный директор, «АВ Софт»

Александра Савельева, исполнительный директор, «АВ Софт»

 

Дмитрий Царёв предложил разделить все угрозы на две большие группы: массовые и таргетированные атаки. Александр Румянцев добавил, что при создании писем для целевых киберпреступных операций сейчас часто используют ИИ. Сергей Осипов предложил свой топ самых распространённых методов атак через электронную почту: доставка вредоносных программ, социальная инженерия, уязвимости. 

Александр Симонян напомнил о письмах с эффектом отложенного действия, когда злоумышленники используют ссылки или зашифрованные архивы. Чтобы бороться с этим, нужна современная система, которая не пропустит пользователя по этой ссылке без проверки. Николай Затерюкин считает, что в основном атаки строятся на социальной инженерии: есть много способов обхода защиты, и большую роль в этом играет человеческий фактор.

Внутренние нарушения и утечки данных

Александр Румянцев назвал два основных канала утечки данных: пользователи и администраторы. Внутренние нарушения обычных пользователей можно предотвращать с помощью DLP-систем, а также специальных условий о неразглашении информации в трудовом договоре. Для борьбы с утечками через администраторов нужно настроить постоянный аудит действий. Ответственность в случае утечки зависит от политики компании, от должности сотрудника. 

 

Александр Румянцев, руководитель направления развития продуктов для облачной и сетевой безопасности, «Лаборатория Касперского»

Александр Румянцев, руководитель направления развития продуктов для облачной и сетевой безопасности, «Лаборатория Касперского»

 

Александр Симонян добавил, что для компании важно заключать с сотрудниками договор о неразглашении данных, чтобы все понимали свою ответственность и последствия нарушений. В практике спикера были случаи, когда при отсутствии соглашения с сотрудником не удавалось привлечь его к ответственности за передачу конфиденциальных данных даже при наличии всех доказательств.

Опрос на тему основных угроз, проведённый среди подписчиков телеграм-канала Anti-Malware, показал, что большинство участников опасаются взлома и компрометации (28 %), фишинга (26 %) и распространения вредоносного кода (22 %).

 

Рисунок 2. Какова для вас главная угроза, связанная с использованием электронной почты?

Какова для вас главная угроза, связанная с использованием электронной почты?

 

Можно ли защитить почту отечественными средствами?

Все эксперты отметили, что сейчас российский рынок средств защиты готов самостоятельно обеспечивать компании комплексными решениями. Интеграция идёт по стандартным протоколам.

С уходом иностранных вендоров резко возникла потребность в замене защитных систем для почты. Обычно это быстрый процесс, который не приносит проблем, рассказал Николай Затерюкин

Сергей Осипов считает, что начинать переход нужно именно с почты — сейчас большинство компаний уже мигрировали с Exchange на российское ПО. Но иногда это бывает непросто, везде есть свои нюансы.

 

Сергей Осипов, руководитель направления защиты от вредоносного ПО, Positive Technologies

Сергей Осипов, руководитель направления защиты от вредоносного ПО, Positive Technologies

 

Главные ошибки в использовании почты

Ведущий задал всем участникам вопрос о том, каковы главные ошибки пользователей. Спикеры ответили, что это — защита почты без песочницы, отсутствие многофакторной аутентификации, недостаточное обучение сотрудников, отсутствие защиты конечных точек, зависимость от одного вендора.

Второй опрос, проведённый среди подписчиков Anti-Malware, показывает, что большинству компаний не хватает отечественной песочницы (30 %). На втором месте по востребованности оказался антифишинг (25 %), на третьем — шифрование (20 %).

 

Рисунок 3. Какого решения российского производства для защиты электронной почты вам больше всего не хватает?

Какого решения российского производства для защиты электронной почты вам больше всего не хватает?

 

Базовый набор средств в защите электронной почты

Николай Затерюкин утверждает, что комплекс средств защиты зависит от компании, её возможностей и потребностей. Маленьким организациям он рекомендует выбирать облачные решения. Средним компаниям лучше хранить данные на своих серверах, а по части средств защиты им потребуется набор из антиспама, антифишинга, антивируса, DLP. В более крупных компаниях к этому нужно добавить песочницу, многофакторную аутентификацию, дополнительную защиту на почтовом сервере.

 

Николай Затерюкин, руководитель группы сетевой безопасности, «Платформикс»

Николай Затерюкин, руководитель группы сетевой безопасности, «Платформикс»

 

Важно работать с почтовой сессией, проверять действия сотрудников, насколько они отличаются от типовой поведенческой модели, добавила Александра Савельева.

Спикеры также сошлись во мнении, что компания может отдать защиту электронной почты на аутсорсинг по модели MSSP.

Повышение осведомлённости

Дмитрий Царёв заговорил о программах обучения (Security Awareness), в рамках которых людям передаются знания о киберугрозах и о реагировании на них. Важно создавать образ специалиста по безопасности как того человека, к которому нужно обращаться при подозрениях на угрозу и который поможет в решении проблемы. Если работник перешёл по вредоносной ссылке или открыл файл с вирусом, он должен понимать, что обязан сообщить об этом сотруднику из службы ИБ. Должна воспитываться культура цифровой безопасности. Обучать при этом нужно порционно, рассказывать о каждой новой угрозе и каждом методе проникновения злоумышленников в систему.

 

Дмитрий Царёв, руководитель управления облачных решений кибербезопасности, BI.ZONE

Дмитрий Царёв, руководитель управления облачных решений кибербезопасности, BI.ZONE

 

Александр Румянцев добавил, что в процесс обучения можно включить фишинговый симулятор: делается пробная рассылка и проверяется реакция пользователей. Для сотрудников, которые не прошли проверку, это будет дополнительной мотивацией к прохождению обучения. Тех работников, которые правильно отреагировали на подозрительное письмо, нужно поощрять.

Резервное копирование

По словам Дмитрия Царёва, бэкапы в компании обязательно должны быть. Объём и глубина хранимой информации должны соответствовать потребностям бизнеса. Нужно оценить её важность, а также последствия в случае потери этих данных. Если к хранилищу есть доступ, то злоумышленники, проникнув в инфраструктуру, могут зашифровать и бэкап. На такие случаи стоит хранить эту информацию на физических носителях, чтобы иметь шанс восстановить систему. 

Ведущий добавил, что бэкап всегда должен быть отдельно — за другим файрволом, в другом домене, с надёжным вторым фактором аутентификации.

Николай Затерюкин напомнил, что нужно выполнять проверку восстановления из бэкапов, оценивать скорость этого процесса, чтобы удостовериться, что бэкап работает. 

Двухфакторная аутентификация

К эфиру подключился технический советник по ИБ «Почты Mail.ru» и VK Владимир Дубровин, чтобы рассказать о важности многофакторной аутентификации и правилах её использования. Он напомнил, что пользовательские пароли крайне небезопасны и обязательно нужно подключать двухфакторную аутентификацию. При внедрении второго фактора нужно соблюдать правило: он должен быть защищён от хищения и устойчив к фишингу, должен присутствовать во всей системе, а не в отдельных сегментах. Также Владимир упомянул о защите почтовых протоколов. 

 

Владимир Дубровин, технический советник по ИБ «Почты Mail.ru», VK 

Владимир Дубровин, технический советник по ИБ «Почты Mail.ru», VK

 

Александр Симонян добавил, что вторым фактором нужно сопровождать все критически важные для инфраструктуры действия. 

Шифрование

Внутреннее шифрование — вынужденный способ защиты в современных реалиях. Использовать его неудобно, но необходимо для повышения безопасности, считает Александр Симонян. Однако мало компаний им пользуются, так как это отнимает время. 

Дмитрий Царёв добавил, что шифрование используется не только для файлов, где хранится почта, но и в самом процессе переписки. Сотрудники должны обменяться ключами, чтобы идентифицировать друг друга и убедиться, что каждый общается именно с тем человеком, которому нужно передать информацию.

Профилирование

Александр Румянцев отметил, что цифровой почерк пользователя формируется путём анализа большого количества писем, чтобы технология правильно работала и приносила пользу. Процесс этот долог и ресурсозатратен. Спикер выразил сомнения в его применимости на практике. 

Александра Савельева, наоборот, уверена, что технология работоспособна и должна использоваться в компаниях. Для её реализации создаётся цифровой профиль сотрудника с метриками и настраиваются политики по каждому пользователю. 

Третий опрос — по теме аутентификации пользователей — показал, что большинство выбирает комплексную защиту, состоящую из MFA, белого списка устройств и шифрования (42 %). Обязательного использования многофакторной аутентификации достаточно 29 % респондентов. За сочетание MFA с белыми списками проголосовали 12 % участников опроса.

 

Рисунок 4. Как, на ваш взгляд, должна осуществляться аутентификация при использовании электронной почты?

Как, на ваш взгляд, должна осуществляться аутентификация при использовании электронной почты?

 

Как минимизировать ущерб от фишинговой атаки

Александр Симонян объяснил, что нужно различать порядок действий до атаки и после. Должна быть комплексная защита: при прохождении фишингового письма отрабатывает поведенческий анализ на хосте, сетевой анализатор проверяет трафик, чтобы понять цели злоумышленников. Если защиту всё-таки обошли, важно, чтобы свои или сторонние специалисты провели реагирование. Нужно локализовать инцидент, найти точку входа, понять тактику и инструменты, которые использовали злоумышленники. В итоге работы должны появиться функциональные рекомендации, позволяющие в дальнейшем избежать подобного инцидента. Важен также правовой аспект: нужно обращаться в правоохранительные органы для возбуждения уголовных дел. Любое преступление оставляет цифровой след, который рано или поздно приведёт к злоумышленникам. 

 

Александр Симонян, руководитель департамента технологического сопровождения проектов по кибербезопасности, F.A.C.C.T.

Александр Симонян, руководитель департамента технологического сопровождения проектов по кибербезопасности, F.A.C.C.T.

 

Прогнозы: чего стоит опасаться в ближайшем будущем

Эксперты высказали предположения по поводу развития методов мошенничества и перечислили виды атак, которых нужно бояться:

  • Простые атаки, которые не требуют для их осуществления высоких компетенций — фишинговые письма, вредоносные вложения, спам.
  • Использование состязательных (adversarial) моделей машинного обучения.
  • Атаки с использованием ИИ, который подражает переписке реального человека, говорит на его родном языке, использует профессиональную лексику и особенности общения специалиста.
  • Заражение руткитами и буткитами, которые трудно обнаружить в системе.

Участники эфира не исключают, что искусственный интеллект в будущем сможет сам принимать решения, находить обходные пути и получать доступ к ИТ-инструментам.

Выводы

Развитие технологий и методов кибератак требует постоянного совершенствования мер безопасности, внедрения современных технологических решений. Понимание основных принципов защиты электронной почты и использование соответствующих технологий помогут минимизировать риски утечки данных, успешность вирусных и фишинговых атак.

Спикеры прямого эфира сделали вывод: сейчас, в условиях расширения возможностей злоумышленников, необходима комплексная защита корпоративной почты, отвечающая самым современным требованиям, и этого можно достичь с использованием отечественных решений.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru