Электронной почте уже более полувека, но она остается одним из самых актуальных способов обмена информацией и коллективной работы. Почтовые сервисы не только стали неотъемлемым элементом бизнес-процессов: практически каждый человек имеет сегодня личный электронный адрес, и не один, а Интернет предлагает множество бесплатных сервисов электронной почты. Не удивительно, что это средство коммуникаций привлекает разного рода злоумышленников.
Спам и фишинг – типичные проблемы. Кроме прочих неприятностей, они могут стать источником проникновения в корпоративную сеть вредоносного кода. Результатом внешней атаки на корпоративный почтовый сервер может стать отказ почтовой службы (Denial of Email Service, DoES) и остановка завязанных на нее рабочих процессов. Для атак разного типа могут использоваться и содержащие уязвимости клиентские почтовые программы.
Если электронная почта вашей компании подверглась DDoS-атаке, то следствием может стать недоступность самой почты. Для многих интернет-компаний недоступность почты это прямые убытки и потеря репутации и, как следствие, возможный уход с рынка. Последствия нападения вируса-шифровальщика, который лишит компанию важной корпоративной информации, не менее серьезны. Это может привести не только к простою, но и к остановке бизнес-процессов, серьезным финансовым убыткам.
Чтобы с вами этого не произошло, и начальник был доволен своей ИТ-службой, мы расскажем о самых актуальных способах защиты почты вашей организации.
Правила для пользователей
Прежде всего, ваши пользователи должны усвоить и соблюдать при работе с электронными письмами определенные правила:
1. Никогда не запускать полученные по электронной почте программы, даже если письмо пришло от известного лица.
2. Никому не давать свой пароль, даже хорошо знакомым коллегам, сотрудникам из ИТ-подразделений и службе безопасности. Не делиться данными об аккаунте с другими.
3. Открывая полученные документы, не стоит разрешать использование макросов.
4. По возможности пользоваться почтовыми клиентами последних версий.
5. Использовать только корпоративные почтовые ящики.
6. Не просматривать на работе свою личную почту на бесплатных почтовых сервисах и не посещать сайты, не связанные с работой.
7. Не доверять даже «известным» адресам. Адрес отправителя очень легко подделать и кибермошенники этим пользуются. Всегда стоит проверять отправителя, в случае подозрений – лучше позвонить ему, если использован адрес вашего знакомого или коллеги. Не спешите открывать вложенные файлы и переходить по ссылкам, даже если письмо выглядит как сообщение от известного лица.
8. Если почтовое сообщение запрашивает ваш пароль, или требует пароль взамен на получение какой-либо услуги, то не стоит вводить его. Скорее всего, это проделки злоумышленников.
9. Не использовать и не устанавливать не разрешенные к использованию в вашей компании программы и программы, не предназначенные для выполнения должностных обязанностей.
Электронная почта давно стала представлять собой среду для распространения вирусов, троянских программ и т.п. Если не обеспечен надлежащий контроль над ее использованием, это может привести к крайне серьезным последствиям.
Отсутствие правил, регламентирующих работу с электронной почтой, не только повышает риски информационной безопасности, но и ведет к непродуктивному использованию почтового сервиса в компании. Последствиями становятся снижение производительности труда, излишние финансовые затраты.
Простые правила, которые пользователям почтового сервиса настоятельно рекомендуется соблюдать при работе с электронными письмами, - мера полезная и необходимая, но недостаточная. Даже самый современный почтовый сервер может содержать уязвимости, которыми пользуются злоумышленники, реализуя свои атаки. Вот несколько простых советов как сделать почтовый сервис более безопасным и защищенным.
Актуальные угрозы и защита электронной почты
Электронная почта при всех своих преимуществах несет с собой множество рисков и угроз, которые могут повлечь серьезные последствия для компании: привести к потере эффективности ее работы, утечке конфиденциальной информации, нарушениям в функционировании критичных ИТ-систем. Недостаточное внимание к данной проблеме грозит ощутимыми потерями в бизнесе – финансовыми, репутационными или юридическими. Начнем с основных угроз, характерных для электронной почты, которым обычно подвергаются сотрудники компаний.
Утечка информации
Наряду с потерей коммерческой информации одной из самых серьезных угроз является ее утечка. А отсутствие контроля исходящих сообщений способно привести к случайной или преднамеренной утечке важных коммерческих данных. Конфиденциальная информация может случайно или намеренно пересылаться за пределы организации и оказаться в руках конкурентов или злоумышленников. Электронную почту очень легко неумышленно отправить по неверному адресу или ненароком включить рассылку конфиденциального сообщения большой группе получателей.
Защита
Препятствием утечкам данных призваны стать DLP-системы, контролирующие исходящую информацию. Они дополняют принятые в компании правила работы с почтовыми сервисами.
Перехват почтовых сообщений
Перехват электронной почты (атаки типа «man in the middle») – не столь уж редкое явление, и ценная информация нуждается в защите от тех, кому она не предназначается.
Защита
В качестве дополнительной меры, когда защита электронной почты требует, чтобы пересылаемая информация была недоступной для посторонних лиц, можно использовать шифрование сообщений. Например, можно применять шифрование при мобильном доступе к вашей электронной почте. Конкретное решение зависит от степени важности передаваемой информации, принятых в организации политик безопасности и других факторов.
Спам и фишинг
Каждая система электронной почты подвергается такой безобидной на вид атаке как спам. Между тем спам – это избыточный трафик, потребность в дополнительных ресурсах хранения, а главное - рабочее время сотрудников, которые вынуждены отвлекаться на эту корреспонденцию. Зачастую спам выливается в серьезные финансовые потери. Так называемые бот-сети могут рассылать большое количество спама. Так называемые бот-сети могут рассылать большое количество спама.
В числе примеров распространенных способов атак - использование методов социальной инженерии или фишинга. Например, пользователь по фишинговой ссылке в сообщении переправляется на сайт злоумышленника, обычно копию оригинального, заполняет предложенные формы и оставляет свою информацию (например, пароль от учетной записи при заполнении интерактивных форм фишингового сайта) киберпреступникам. Либо с помощью ссылки на сайт злоумышленник может провести атаку на браузер пользователя, загрузив на его ПК эксплоиты.
С помощью шпионских программ, устанавливаемых при переходе по фишинговой ссылке или при открытии вложения, злоумышленники могут получить доступ к информации, имеющей ценность для компании
Защита
Для защиты от спама применяют фильтры и антиспам-системы и сервисы. Почтовые сервисы, такие как Mail.ru или «Яндекс.Почта», часто используют фильтры, предназначенные для защиты против нежелательной рекламы. Они выделяют те письма, которые могут быть отмечены, как спам. Критериями для этого являются такие характеристики, как: нахождение почтового адреса отправителя в списке спамеров, наличие слов и оборотов, типичных для спама и пр.
Не забывайте, что публикация на общедоступных сайтах корпоративных адресов электронной почты способствует спаму и фишингу. Для обратной связи лучше использовать контактную веб-форму.
Вредоносные программы
Почтовые сообщения могут также содержать вредоносные программы, которые способны нанести ущерб корпоративной ИТ-инфраструктуре, блокировать работу критичных приложений и систем, нарушить доступ к данным, стереть, исказить или зашифровать информацию.
Защита
Снизить риски можно путем блокировки писем с опасными вложениями, антивирусной проверки прикрепленных файлов. Часто прибегают к блокировке определенных типов файлов, как правило, это исполняемые файлы и файлы, содержащие макросы.
Любое вложение, прежде чем оно попадет в корпоративную сеть, должно быть просканировано. Даже документы, файлы PDF, архивы и изображения могут содержать вредоносный код.
Для сканирования сообщений на вирусы и контроля фишинговых ссылок нужно использовать надежные антивирусные приложения. Антивирусная проверка может быть активирована и на стороне почтового сервера. Все рабочие ПК также должны быть оснащены антивирусным программным обеспечением, осуществляющим антивирусную проверку входящей электронной почты. Для проверки сообщений и вложений можно использовать шлюзы безопасности (Security Gateway).
Двухфакторная аутентификация
Широко распространенным способом, помогающим обезопасить аккаунты пользователей от взлома и кражи конфиденциальных данных в дополнение к сложному паролю из букв, цифр и спецсимволов, стала двухфакторная аутентификация. Она предназначена для повышения уровня информационной безопасности: при авторизации пользователя добавляется еще один этап проверки. Данный метод применятся не только в почтовых сервисах, но и в банковских приложениях, в соцсетях.
При двухфакторной аутентификации кроме пароля понадобится указать еще один фактор подтверждения подлинности пользователя. Таким фактором может быть, например код, который высылают по SMS на мобильный телефон пользователя. Если активировать данную опцию, то злоумышленник, сумевший подобрать пароль, столкнется с проблемой – потребуется одноразовый код. А законный пользователь при попытке взлома аккаунта получит SMS и сможет сменить скомпрометированный пароль.
Таким образом, двухфакторная аутентификация основана на двух «ключах»: одним пользователь владеет (телефон, на который приходит SMS с кодом), а другой он запоминает (логин и пароль). Такую аутентификацию используют, например, сервисы «Яндекса» и Google, соцсети Facebook и «ВКонтакте».
Однако у пользователей данный способ защиты аккаунта нередко вызывает раздражение, так как кроме логина и пароля требует регулярного ввода секретного кода. На такой случай есть возможность отключения двухфакторной аутентификации.
Это не лучший выход, ведь введение дополнительного уровня безопасности обеспечивает эффективную защиту аккаунта от несанкционированного доступа. Есть более удобные способы двухфакторной аутентификации.
Аутентификация на основе цифровых сертификатов также служит разумной альтернативой. Цифровые сертификаты, подтверждающие подлинность пользователя, выдаются центрами сертификации. Сертифицирующая организация после проверки подлинности пользователя сохраняет свою цифровую подпись в файл, содержащий открытый ключ и сведения о пользователе, и выдает ему сертификат, подтверждая принадлежность данного открытого ключа конкретному лицу. Сертификат является средством аутентификации пользователя, при этом роль проверяющей стороны играют серверы аутентификации корпоративной сети.
Очень надежным вариантом считается также USB-ключ или токен. Он используется в качестве второго фактора и вставляется в порт ПК. Токен обеспечивает строгую аутентификацию пользователей, безопасное хранение ключей шифрования, а также закрытых ключей цифровых сертификатов для доступа к почтовой системе. USB-ключ предоставляет возможность безопасной работы с конфиденциальными данными в недоверенной среде (например, на чужом компьютере). Токены могут предусматривать реализацию зарубежных и российских стандартов на шифрование, сертифицированных ФАПСИ (ФСБ).
Пользователю для входа в аккаунт нужно подключить USB-ключ к своему ПК. Правда, такой способ проблематично использовать при работе с почтой на мобильном устройстве без портов USB.
Шифрование
Шифрование почтовых сообщений гарантирует, что передаваемая адресату информация не будет скомпрометирована в случае перехвата. Существует множество программ, предназначенных для шифрования сообщений, различных как по своей функциональности, так и по стойкости шифрования.
Разумнее всего шифровать всю переписку, однако популярные почтовые сервисы, такие как Mail.ru, Gmail, «Яндекс.Почта» не шифруют исходящие сообщения. Для этого и потребуются онлайн-сервисы или специальные утилиты (многие из которых бесплатны).
Вот лишь несколько приложений и сервисов, предназначенных для шифрования почты.
|
Название |
Описание |
|
HotCrypt |
Коммерческая программа для шифрования сообщений или текстовых фрагментов – достаточно нажать комбинацию клавиш и ввести пароль. HotCrypt использует алгоритм Blowfish с 448-разрядным ключом и работает со всеми популярными почтовыми системами. |
|
Safe Express |
Бесплатный почтовый клиент с шифрованием исходящей почты и защитой от спама и вирусов. |
|
CryptoMailer Lite |
Бесплатная утилита, которая использует алгоритмы AES и 3DES, работает практически со всеми популярными почтовыми клиентами. Кроме шифрования она сжимает сообщение и создает самораспаковывающиеся файлы. |
|
Enigmail |
Утилита для почтовых клиентов Mozilla Thunderbird и Seamonkey, поддерживает стандарты OpenPGP - открытого ключа шифрования и подписи почтовых сообщений. Она использует GNU Privacy Guard (криптографическое ПО с открытым исходным кодом). Шифрует вложения. |
|
Hushmail |
Сервис электронной почты с шифрованием. Сообщения автоматически шифруются и расшифровываются, так как открытые ключи аккаунтов пользователей известны программному обеспечению. Использует OpenPGP для шифрования с 2048-разрядным ключом. |
|
Comodo Free Email Certificate |
Сервис, который позволяет зашифровать и подписать почту, создает сертификат безопасности. Работает как плагин для почтового клиента (Outlook, Thunderbird и др.). |
|
Gpg4win |
Набор бесплатных программ с открытым исходным кодом, которые следуют стандартам OpenPGP. Входящая в пакет утилита Kleopatra служит для управления сертификатами. Есть плагин для Outlook |
С этими утилитами и сервисами можно быть уверенным, что ваше письмо прочитает только его адресат.
Почтовые сервисы: выбираем правильно
Почтовые сервисы, остающиеся предпочитаемым инструментом деловых коммуникаций, продолжают развиваться и совершенствоваться, дополняются функциями поддержки совместной работы, коммуникаций, обеспечения безопасности. А электронная почта в облаке – почтовая система, которую поддерживает и обслуживает облачный провайдер, – стала самым популярным облачным сервисом и за рубежом, и в России.
Многие считают также, что облачный почтовый сервис безопаснее и удобнее, чем большинство инсталляций на собственной площадке. Во многом потому, что последнее требует наличия штата квалифицированных специалистов по ИТ и по информационной безопасности для поддержки аппаратной и программной платформы, регулярного обновления ПО, администрирования средств защиты информации, системы резервного копирования и пр.
На что обращать внимание при выборе подрядчика по подключению почтового сервиса? Конечно, важны возможности почтового сервиса, предоставляемого провайдером. Его функциональность должна отвечать всем требованиям вашей организации, и все функции почты должны быть защищены. Например, у MS Exchange 2016, помимо всех известных преимуществ, есть возможность объединения всех почтовых ящиков сотрудников, включая личные, в одном клиенте, при этом все функции защиты почты распространяются на письма с этих ящиков.
Нужно также учитывать следующее:
▪ Есть ли защита от спама?
▪ Предоставляет ли провайдер решение по защите почты от вирусов?
▪ Как он осуществляет резервирование оборудования и каналов связи (должно быть минимум два интернет-провайдера), сколько почтовых серверов использует, как и куда осуществляется резервное копирование данных?
▪ Где провайдер хранит данные? Вы будете чувствовать себя спокойнее, если данные находятся в РФ, а не за рубежом. Не стоит забывать и про выполнение требований 242-ФЗ о хранении персональных данных граждан РФ.
▪ Провайдер должен предусмотреть защиту от DDoS-атак, наличие которой напрямую влияет на доступность почтового сервиса.
▪ Какая репутация у провайдера? Не поленитесь и потратьте время на изучение истории вашего потенциального поставщика услуги почты: сколько лет на рынке, каким обладает опытом в сфере ИТ, насколько стабильный бизнес у компании, какой штат ИТ-специалистов и каково количество сертифицированных специалистов по работе с почтовыми сервисами.
▪ Наконец, убедитесь в наличии круглосуточной русскоязычной службы технической поддержки.
На последний фактор обычно обращают мало внимания, но он оказывается очень важным при дальнейшем использовании сервиса. У «импортных» сервисов обычно нет поддержки на русском языке, и никто вам не ответит в любое время дня и ночи в случае проблем с почтовым сервисом. Лучше все-таки проверить, если ли у провайдера круглосуточная поддержка и желательно, чтобы это был российский провайдер.
И напоследок: просвещайте своих коллег, инструктируйте на предмет информационной безопасности. Когда-то правила ИБ считались привилегией гиков, но в наш информационный век это актуальный вопрос, который касается каждого и знать это надо всем «как дважды два». Поскольку это касается и обычных пользователей, разошлите по своей компании письмо с элементарными инструкциями, подобными приведенным выше. Это повысит их бдительность и снизит риск потери конфиденциальности, целостности, доступности информации из-за «человеческого фактора».
Также необходимо разработать политику использования электронной почты, которая должна отвечать определенным критериям.
▪ Быть понятной всем сотрудникам, однако простота изложения не должна привести к потере юридического статуса документа.
▪ Иметь законную силу, т.е. должна быть одобрена и подписана должностными лицами, а ее выполнение должно быть продумано.
▪ Исходить из требований защиты информации в процессе деятельности компании.
▪ Быть согласованной с другими организационными политиками компании.
▪ Не противоречить законодательству.
▪ Определять меры воздействия на нарушителей.
▪ Сохранять баланс между степенью защищенности информации и продуктивностью деятельности компании, между ИБ и удобством работы.
Таким образом, политика использования корпоративной электронной почты – это закрепленные в письменном виде и доведенные до сотрудников инструкции, которые регламентируют их деятельность и процессы, связанные с использованием системы электронной почты. Данные документы и инструкции обладают юридическим статусом и, как правило, предоставляются для ознакомления сотрудникам организации. Применение всех указанных выше советов и рекомендаций в совокупности поможет сократить вероятность взлома.
