Расширенный

Расширенный поиск

Автор

Статьи по теме: «Информационная безопасность»

Защита электронной почты как ключевого компонента корпоративной сети

Защита электронной почты как ключевого компонента корпоративной сети
Статья посвящена защите корпоративной почты от современных угроз. В ней рассказывается, почему защита почты важна, приводится ландшафт угроз, перечисляются базовые подходы к построению защиты.

Почему важно защищать электронную почту

На сегодняшний день электронная почта по-прежнему остается важнейшим каналом коммуникации для организаций. Повсеместный переход на удаленную работу в covid-эпоху дал мощный толчок к широкому распространению различных платформ совместной работы, таких как Microsoft Teams, Asana, Slack. Действительно, организации все больше используют чаты, мессенджеры и социальные сети для поддержания связи с сотрудниками, заказчиками и другими контрагентами. Однако даже такая конъюнктура не привела и вряд ли когда-либо приведет к упадку электронной почты как средству связи.

Ко всему прочему, сообщения, передаваемые по электронной почте, часто носят более формальный и приоритетный характер, чем чаты и обмен сообщениями в социальных сетях. Этим охотно пользуются злоумышленники. Они знают, что скорее всего, получат желаемый результат, если будут использовать электронную почту вместо других менее распространенных средств связи. Иными словами, если организация становится целью злоумышленников, то с высокой долей вероятности, электронная почта будет использована в первую очередь.

Подводя промежуточный итог, можно сказать, что электронная почта — это проверенный и надежный способ общения, работающий на всех платформах. Вместе с тем организации продолжают работать удаленно и в гибридных средах, поэтому позиция электронной почты как наиболее удобного для злоумышленников вектора атаки с каждым днем только усиливается. Электронная почта потенциально открывает доступ ко всему, что мы делаем в бизнесе, и поэтому безопасность электронной почты сегодня важнее, чем когда-либо.

Современный ландшафт угроз

Прежде чем перейти к рассмотрению методов и инструментов защиты, рассмотрим типичные угрозы, с которыми мы сталкиваемся сегодня.

Фишинг

Любую атаку, целью которой является получение денег или какой-либо ценной информации (номера карт, счетов, пароли и т. д.), можно назвать фишингом.

Целевая фишинговая атака (spearfishing) — это атака, нацеленная на конкретного человека. При ее реализации может использоваться уже известная о вас информация с целью получения иной более важной информации (например, злоумышленник может выдавать себя за вашего друга или родственника).

Если этот человек занимает в организации руководящую должность, например генерального или финансового директора, то такую целевую атаку уже можно назвать «охотой на кита» (от англ. whaling).

Социальная инженерия

Говоря о социальной инженерии, обычно имеют ввиду, что злоумышленник выдает себя за кого-то, кем он не является, например, за человека, который обращается в службу технической поддержки или разговаривает с другим сотрудником организации, прося о помощи. Поэтому социальная инженерия тесно связана с таким понятием как спуфинг . И это работает, потому что злоумышленники рассчитывают на людей, читающих сообщения невнимательно из-за усталости или стресса, которого в современной жизни предостаточно.

Можно дать такое определение социальной инженерии – это набор техник и приемов, с помощью которых злоумышленник пытается заставить пользователя открыть вредоносное сообщение, скачать вложение или перейти по ссылке.

Business Email Compromise

Компрометация корпоративной электронной почты (Business Email Compromise, BEC) — это специфический тип целевого фишинга, когда злоумышленник притворяется руководителем компании или другим высокопоставленным лицом. В этом случае мошенник изучает привычки сотрудников, чтобы фишинговое сообщение электронной почты выглядело более правдоподобным и легитимным. Результатом является эффективная атака, в случае успеха позволяющая украсть что угодно, от денег до конфиденциальной информации.

Спам

Сегодня пользователи скорее считают спам чем-то раздражающим, нежели опасным, и злоумышленники этим пользуются, включая вредоносные ссылки, программы, трояны в рекламную рассылку. В результате зараженные вредоносными программами устройства могут собирать конфиденциальную информацию о пользователях (включая логины и пароли от онлайн-банкинга) и передавать ее злоумышленникам.

Вредоносное программное обеспечение

К вредоносному программному обеспечению (ВПО) относятся программы-вымогатели, трояны, кейлоггеры, вирусы-шифровальщики и т. д. Последствия заражения такими программами компьютера или смартфона могут быть различными: шифрование и потеря всех данных, кража логинов и паролей от учетных записей, вовлечение пользовательского устройства в бот-сеть для дальнейшего распространения вирусов и раскрутки вредоносных страниц.

Бот-сеть

Бот-сеть — это группа устройств, контролируемая злоумышленниками и используемая для широкомасштабных рассылок и фишинговых кампаний. Они также могут использоваться в распределенных атаках, направленных на отказ в обслуживании (DDoS-атаках), в том числе в отношении критической информационной инфраструктуры, за что предусмотрена ответственность. При этом зачастую пользователь может даже не подозревать, что его устройство является элементом бот-сети, а он по сути оказывается соучастником противоправной деятельности.

Построение защищенной архитектуры почтовой системы

Существует множество стандартов, описывающих лучшие практики и методы по обеспечению информационной безопасности в целом и защиты коммуникационных систем в частности. К таким можно отнести ГОСТ Р 52448-2005, ISO 27001, NIST SP 800-45. Последний наиболее подробно описывает процесс построения защищенной почтовой инфраструктуры. На этот стандарт мы будем опираться в этой статье далее.

Как и в любом деле, начинать нужно с проектирования и планирования. Именно тщательное планирование и грамотное проектирование обеспечат максимально возможную безопасность почтовой системы и соответствие всем политикам безопасности организации. Действительно, гораздо дешевле и проще выявить ошибки на стадии проектирования и своевременно внести необходимые коррективы в план «на бумаге», чем делать это после запуска системы в работу.

Обеспечение защищенности почтовой системы включает в себя комплекс мер по настройке с целью устранения потенциальных уязвимостей – харденинг (system hardening) операционной системы (ОС), непосредственно приложения почтового сервера и сетевого сегмента, в котором размещен почтовый сервер.

Харденинг операционной системы и почтового сервера

Все общедоступные почтовые серверы работают на операционных системах общего назначения. Потенциальных проблем с безопасностью можно избежать на этапе конфигурирования операционной системы. Конфигурации программного обеспечения по умолчанию задаются производителями без учета специфики конкретных организаций и требований по информационной безопасности. Поэтому администратор почтовой системы должен настраивать каждый новый сервер в соответствии с требованиями безопасности своей организации и перенастраивать их по мере изменения этих требований.

Для разных операционных систем существуют свои методы харденинга, однако можно выделить принципы, применимые ко всем системам:

  1. Установка актуальных обновлений безопасности. У любой ОС есть известные уязвимости. Важно устранить их с помощью соответствующих обновлений до того, как сервер будет задействован в почтовой системе.
  2. Удаление или отключение ненужных приложений и сервисов. Идеальным решением будет использовать выделенный сервер для почтовой системы, и более никаких сервисов (система печати, веб-сервер, службы каталогов, файловый сервер и т. д.) на этом сервере не размещать.
  3. Настройка аутентификации пользователей системы. Доступ к серверам должен иметь ограниченный круг администраторов. Необходимо отключить неиспользуемые учетные записи, применять парольные политики, использовать многофакторную аутентификацию.
  4. Разграничение доступа к ресурсам системы. Ограничение прав на чтение позволит обеспечить конфиденциальность, ограничение записи – целостность. Ограничение администраторам прав на запуск системных утилит не позволит атакующему использовать эти утилиты в своих целях.
  5. Установка дополнительных средств безопасности: антивирусного ПО, межсетевых экранов, систем обнаружения вторжений, управления обновлениями и пр.

После того как операционная система настроена и сконфигурирована должным образом можно приступать к установке непосредственно почтового сервера и защите его от компрометации. Здесь нужно выделить два основных два этапа:

  1. Защищенная установка сервера. Все что было сказано о харденинге ОС справедливо и для приложения почтового сервера. Общий принцип заключается в установке только тех служб, которые необходимы для почтового сервера, и устранении любых известных уязвимостей с помощью обновлений безопасности. Любые установленные неиспользуемые приложения, службы, учетные записи следует удалить сразу после завершения процесса установки. Ко всему прочему настоятельно рекомендуется удалять всю документацию разработчика, тестовые файлы, перенастраивать сервисные баннеры почтовых протоколов, отключать потенциально опасные команды (например VRFY, EXPN).
  2. Настройка контроля доступа операционной системы и почтового сервера. Потенциально к любой информации, к которой имеет доступ приложение почтового сервера, могут получить доступ все пользователи сервера. Поэтому нужно ограничивать доступ почтового сервера к ресурсам ОС.

Защита на уровне сетевой архитектуры

Далеко не последнюю роль в построении защищенной почтовой системы играет сетевая инфраструктура. Несмотря на то, что сама по себе структура сети не является каким-либо активным элементом безопасности, она является по сути первой линией защиты. Сложность и изощренность современных атак подтверждают идею о том, что информационная безопасность в целом должна обеспечиваться многоуровневыми техниками и механизмами защиты.

Одним из таких механизмов на уровне сетевой инфраструктуры является демилитаризованная зона (Demilitarized Zone, DMZ) и размещение в ней почтового сервера или шлюза (mail gateway). Под DMZ подразумевается буферный сегмент сети, разделяющий сеть Интернет и корпоративную сеть организации. Доступ к серверам, размещенным в DMZ, обычно разрешен как из сети Интернет, так и из локальной сети организации, при этом доступ из DMZ в локальную сеть ограничивается межсетевыми экранами или списками контроля доступа (Access Control List, ACL), снижая таким образом риск использования скомпрометированного сервера для атаки на внутреннюю сеть.

Преимущества почтовых шлюзов

Использование почтового шлюза в DMZ обеспечивает дополнительный уровень защиты почтового сервера, что существенно усложняет атаки на почтовые системы. Действительно, если почтовый сервер находится непосредственно в DMZ, он подвержен риску быть атакованным гораздо больше, чем если бы он находился в локальной сети, взаимодействуя с внешними клиентами через какой-либо прокси-агент.

Таким прокси-агентом как раз является почтовый шлюз. Фактически, почтовый шлюз – это сервер, обрабатывающий почтовый трафик так же, как и основной, но при это на нем не хранятся данные пользователей и почтовые ящики. В отличие от почтового сервера на базе ОС общего назначения почтовый шлюз имеет ограниченную функциональность, а именно - обработка и фильтрация почтового трафика, поэтому выполнить его харденинг значительно легче, а зачастую это уже сделано «из коробки» разработчиком решения.

Здесь же, на почтовом шлюзе можно реализовать проверку почтовых сообщений на наличие различного вида угроз, о которых мы говорили ранее. Таким образом, вредоносный контент даже не будет достигать защищенного периметра в целом и почтового сервера в частности. К преимуществам такого подхода можно отнести еще и тот факт, что использование почтового шлюза и сканирование на нем почтовых сообщений позволит снять часть нагрузки с почтового сервера.

Выбор подходящего почтового шлюза

На что ориентироваться при выборе почтового шлюза? Выделим несколько пунктов, которые помогут разобраться в многообразии решений, представленных сегодня на рынке.

«Open source» или коммерческое решение

Решения на основе ПО с открытым исходным кодом («open source») могут на первый взгляд показаться эффективным с финансовой точки зрения, однако недостатки в виде отсутствия технической поддержки, несвоевременности обновлений, а также затрат на эксплуатирующий решение персонал могут перечеркнуть это преимущество, и решение окажется бесполезным с точки зрения безопасности.

Продвинутые компоненты защиты

Определившись с тем, тратить деньги на приобретение платного решения или использовать «open source», первым и, пожалуй, самым важным критерием для выбора будет наличие различных детектирующих технологий. Для защиты от современных изощренных атак традиционных антивирусных компонентов может не хватить. Следует обратить внимание на то, какие технологии предлагает производитель и с какими внешними системами решение может интегрироваться. Немаловажную роль играет и экспертиза и репутация вендора.

Удобство установки и управления, отчетность

Простота внедрения и использования — очевидный положительный критерий при выборе почтового шлюза. Чем проще конфигурировать шлюз при внедрении и управлять им на ежедневной основе, тем ниже нужна квалификация обслуживающего персонала. Это в свою очередь ведет к снижению затрат на эксплуатацию в целом.

Тем не менее важен баланс между простотой и гибкостью конфигурирования. Крупным организациям скорее важна возможность гранулярной настройки с целью повышения защищенности. Сюда же отнесем возможность создания отказоустойчивого кластера и централизованного управления.

Сильной стороной любого решения будут широкие возможности отчетности, а для крупных организаций помимо этого – публикация событий о работе решения во внешнюю систему управление событиями информационной безопасности (SIEM-систему).

Автор:
Вячеслав Старшинов, эксперт решений по защите инфраструктуры и конечных устройств «Лаборатории Касперского».