Эффективная защита почты

2 Апреля 09:16
Александр Батуревич
Мир информационных угроз постоянно и динамично меняется, при этом каждый день возникают новые угрозы и способы атак на, казалось бы, уже полностью защищенные всевозможными способами и решениями периметры и сервисы. Различные аналитические агентства и сами производители продуктов информационной безопасности уже привычно предпочитают измерять потери от хакерских атак в деньгах, причем приводимые суммы характеризуются множеством нулей. Например, по итогам свежего отчета Norton Cyber Security Insights Report за 2017 год, сумма мирового ущерба от различных атак составила более 170 миллиардов долларов США (примерно 142 доллара в пересчете на каждую жертву, подвергшуюся атакам), при этом это данные только по 20 странам, где проводились исследования. Реальные потери от атак в разы, а то и десятки раз больше.

При этом любопытно, что даже такие привычные способы проникновения в личное пространство жертв, как атаки посредством почтовых сообщений, уверенно занимают лидирующие позиции (четвертое место по популярности) и остаются эффективным средством взлома (данные взяты из отчета Norton Cyber Security Insights Report за 2017 год):

em1

На диаграмме выше желтым выделена статистика жертв, которые сами пострадали от тех или иных атак, красным – пострадавшие знакомые, а черным – третьи лица или знакомые знакомых тех людей, среди которых проводились опросы.

Другой показательный факт, касающийся атак через почту, заключается в том, что почти треть (32%) подобных зловредных действий связана с неосторожными действиями самих жертв – переход на поддельные сайты с последующим заполнением форм с данными (номера карт, имена, телефоны и т.п.) и даже предоставление такой информации в ответ на подобные email-ы!

Таким образом защита почтового трафика не только не утратила своей актуальности, но и, наоборот, в связи с повальной популярностью (особенно в странах бывшего СНГ) бесплатных или условно-бесплатных почтовых сервисов с довольно скудной и малоэффективной встроенной защитой от вирусов и спама, является решением must have.

Посмотрим, что нам предлагает лидер рынка информационной безопасности – компания Symantec – в этой области. У нее есть многофункциональное решение по защите периметра почтового (SMTP) трафика, Symantec Messaging Gateway, которое:

  1. является полноценным почтовым шлюзом с поддержкой современных средств защиты и аутентификации (TLS, DMARC, SPF, DKIM) на уровне соединений;
  2. имеет встроенные механизмы защиты от спама и вирусов, в том числе на основе глобальной системы репутации;
  3. обладает контентным анализом содержимого с возможностью блокировать отправку или получение писем по различным критериям (например, при получении шифрованных писем или если в теле письма содержится конфиденциальная информация);
  4. умеет подменять ссылки в теле письма или «разбирать» содержимое с целью очистки от зловредного кода вложений, сохраняя само содержимое (технология Disarm);
  5. является простым в установке и крайне непритязательным к выделенным ресурсам инфраструктуры.

Решение может поставляться как в виде аппаратной платформы, так и в виде виртуальных модулей.

Рассмотрим функционал и возможности подробнее.

Полноценный почтовый шлюз

Так как решение является шлюзом для SMTP-протокола и ставится «в разрыв» трафика, то логично, что Symantec Messaging Gateway умеет полностью работать с почтовым трафиком, например, перенаправлять его на внутренние почтовые сервера (по IP или FQDN), или внешние серверы, или сервисы (в том числе на конкретные mx-записи). Все действия при этом заносятся в журналы и доступны для быстрого анализа, поиска или экспорта в удобочитаемые отчеты (например, для вышестоящего руководства).

em2

Стоит отметить, что решение включает в себя так называемые «сканеры», то есть модули, которые непосредственно сканируют (пропускают через себя) SMTP-трафик. Что важно – таких сканеров может быть любое количество, что позволяет «покрыть» практически любую инфраструктуру с любым количеством каналов передачи данных или доменов компании. Сами сканеры управляются через единый центр управления (из любого веб-браузера):

em3_01

В отличие от многих конкурентных решений, подобные сканеры или какой-либо функционал не требует дополнительного лицензирования или покупки в любом другом скрытом виде. Приобретая Symantec Messaging Gateway, вы платите только за количество пользователей, которые пользуются почтовыми сервисами!

На шлюзе Symantec Messaging Gateway можно определить параметры установления соединения со стороной отправителя/получателя: тип соединения (например, обязательно  должно осуществляться только посредством шифрованного обмена данными – TLS-протокола); прием писем только с конкретно заданных доменов или IP-адресов (МХ-записей); ограничение размера сообщения или параметры интерфейсов; множество других параметров.

Защита от спама и вирусов

Естественно, почтовый шлюз был бы бесполезен, не обладай он технологиями защиты от угроз, распространяемых через почтовые сообщения. Symantec Messaging Gateway имеет весь необходимый арсенал предотвращения угроз и рассылок спама:

  • система репутации контента (как глобальной, так и локальной);
  • актуальные и постоянно обновляемые сигнатуры антивирусов;
  • открытые механизмы идентификации отправителей (идентификация сообщений DMARC, записи SPF, цифровые подписи DKIM и т.п.);
  • возможность передачи объектов на проверку во внешнюю «песочницу»;
  • политики классификации и управления содержимым письма;
  • карантин (в том числе, с возможностью просмотра попавших в карантин писем самими пользователями);
  • и тому подобное.

Первым делом, когда письмо попадает на шлюз, оно проверятся по системе репутации. Система репутации Symantec это, по сути, мировая облачная база различных сервисов и аналитических центров, куда стекается вся известная информация о различных угрозах, новых вирусах и механизмах атак и множество других данных – Global Intelligence Network (GIN). Для примера, данная сеть содержит крупнейшую в мире базу репутации файлов (более 4 миллиардов), кроме того, более 30% (свыше 2 миллиардов писем в день) мирового почтового трафика сканируется серверами компании Symantec (включая специальные сервера-ловушки для отлова спама и определения источников его распространения).

em4

Таким образом, почтовый шлюз Symantec Messaging Gateway проверяет полученное сообщение по системе репутации и уже на этом этапе «знает», не отправлено ли данное сообщение с IP-адреса, используемого для рассылки спама, не является ли вложение объектом, который уже был определен как опасный на другом конце земного шара, не является ли сообщение угрозой или не производится ли в данный момент этим сообщением атака отбойниками – и тому подобное.

Ко всему этому, ничто не мешает администратору системы дополнительно определить свои критерии проверки, например, такие как: доверенные (или нет) отправители; проверка на наличие конкретного формата вложений; необходимо ли считать конкретные IP-адреса опасными, если с них осуществляется отправка более 10% почты от всего количества.

Symantec Messaging Gateway умеет классифицировать спам по различным признакам, добавляя к заголовкам тем писем под какую конкретно категорию спама попадает сообщение (новостная рассылка, маркетинг, обычный спам и так далее), при этом ничто не мешает администратору создавать свои собственные правила или задавать уровень чувствительности шлюза к таким сообщениям.

em5

Другой весьма полезный функционал (например, на период массовых атак) – возможность менять в теле письма URL-ы на недействительные, что делает априори невозможным переход по ссылкам в сообщении неосторожным пользователям, даже если подобное письмо каким-то образом попадет в почту сотрудника.

Разумеется, решение Symantec Messaging Gateway имеет современные механизмы очистки сообщений от вирусов, такие как защита от zip-бомб, блокировка скриптов или потенциальные угрозы, использующие уязвимости «нулевого» дня.

Технология DISARM

Хотелось бы отдельно отметить технологию DISARM, позволяющую удалять только зловредный код из некоторых типов вложений (файлы приложений Microsoft Office и PDF-файлы). Суть данной технологии заключается в умении системы Symantec Messaging Gateway «разбирать» подобные вложения на безопасную часть и зловредную часть, с последующей обратной компиляцией файла уже без вируса.

em6

По сути, данная реконструкция объектов защищает от атак через flash-уязвимости, XFA-формы или различные макросы.

Ко всему вышеперечисленному функционалу добавлена возможность передачи вложений и/или сообщений в сторонние решения (чуть подробнее – далее), ролевая модель управления системой и ее политиками.

Контентный анализ

Многие компании уже осознали необходимость контроля или предотвращения утечек важной и чувствительной информации. Но, зачастую, приобретение и внедрение полноценной DLP-системы откладывается по различным причинам (стоимость, сложность внедрения и сопровождения, отсутствие критериев оценки информации на конфиденциальность и т.п.). Потому возможность контентного анализа посредством Symantec Messaging Gateway в данном случае является тем самым «спасательным кругом» для контроля утечек важных данных через почту (отметим еще раз – данный функционал не требует отдельного приобретения или лицензирования).

Контентный анализ, встроенный в Symantec Messaging Gateway, позволяет оперировать процессом обработки сообщений на основе вложений (тип файлов и их структура), регулярных выражений (причем имеются уже готовые шаблоны для кредитных карт, номеров телефонов, email и прочих параметров), кодировки письма, адресов отправителя или получателя, направления трафика и тому подобном.

em7

Сообщение, которое попало под заданную политику (например, если в нем указан конфиденциальный номер телефона) создаст инцидент, и, в зависимости от заданных правил, доставка такого сообщения может быть заблокирована, сообщение может быть помещено в карантин, в нем могут быть удалены вложения перед отправкой и прочее.

Symantec Messaging Gateway может также передавать письма на проверку, в том числе, и во внешнюю систему DLP для анализа более качественными механизмами и на основе более глубоких политик.

Интеграция с другими решениями

Как уже было сказано выше, Symantec Messaging Gateway является зрелым решением по управлению почтовыми сообщениями, и вполне логично, что в данном продукте присутствуют различные коннекторы и механизмы взаимодействия с различными внешними сервисами. Например, почтовый шлюз может каждое сообщение отправлять во внешнюю систему Symantec DLP путем интеграции через MTA (Message Transfer Agent) для проверки содержимого на предмет конфиденциальности.

Symantec Messaging Gateway также может быть интегрирован со следующими сервисами и решениями:

  • Внешние каталоги пользователей. Поддерживаются каталоги Microsoft (AD), Domino, Sun ONE, Java Directory и другие.
  • Шифрование почты через сервис Symantec Content Encryption. Данный сервис позволяет в автоматическом режиме шифровать сообщения, требующие обязательной отправки в шифрованном виде.
  • Передача журналов на внешние серверы, при этом используется стандартный подход через syslog на нужный IP и порт (UDP или TCP).

Реализовано отслеживание состояния и управление Symantec Messaging Gateway через сервера SNMP и контроль внешних источников бесперебойного питания (UPS) с реакцией на разряд батареи, что может быть удобно, если используется аппаратная реализация решения Symantec Messaging Gateway, требующая корректного завершения работы.

Выводы

Symantec давно работает над различными эффективными решениями в области информационной безопасности и почтовый шлюз Symantec Messaging Gateway только подтверждает имидж компании как ответственного и лидирующего производителя сервисов и продуктов в этом сегменте. Недаром популярный во всем мире продукт Symantec Messaging Gateway становится все более востребован и в Украине (отдельно отметим, что в ближайшее время ожидается завершение сертификации продукта в Государственной Службе Специальной Связи и Защиты Информации Украины, что еще и гарантирует соответствие стандартам безопасности связи с точки зрения предотвращения повреждения целостности данных или их утечки при использовании Symantec Messaging Gateway).

em8

Независимо от сложности используемой инфраструктуры, применяемых почтовых сервисов или других решений по защите от атак, продукт Symantec Messaging Gateway является идеальным почтовым шлюзом для обработки почтовых потоков и дополнительным звеном безопасности современной ИТ-среды.

Александр Батуревич, технический эксперт компании Oberig IT 

Комментарии: