Blog eksperta

Bezpieczeństwo poczty elektronicznej. Zabezpiecz przepływ wiadomości e-mail w Twojej organizacji

Email: brama dla cyberzagrożeń

Poczta elektroniczna jest obecnie jednym z najpopularniejszych sposobów komunikacji wybieranych przez organizacje. Jest to również główny wektor ataków. Poczta elektroniczna dostępna jest za pomocą wielu urządzeń oraz w różnych miejscach (w domu, w biurze, w drodze), a korzystanie z niej tworzy „krajobraz urządzeń konwergentnych”. Przeglądając wiadomości e-mail, pracownicy zazwyczaj nieumyślnie klikają linki do stron internetowych zawierających złośliwe oprogramowanie lub co gorsza nieświadomie instalują bezpośrednio na urządzeniu złośliwe treści, które są następnie wysyłane w formie załączników do innych osób.

Cykl życia ataku cybernetycznego: Model identyfikacji i zapobiegania atakom cybernetycznym

Cykl życia ataku cybernetycznego to opracowany przez firmę Lockheed Martin model, którego celem jest identyfikowanie i zapobieganie atakom cybernetycznym. Wskazuje on podejmowane przez atakujących działania, które prowadzą ich do osiągnięcia sukcesu. Zgodnie z tym modelem, poczta elektroniczna jest najpotężniejszym narzędziem rozprzestrzeniania złośliwego oprogramowania, zarówno przy użyciu technik opartych na plikach, jak i bez plików.

Spersonalizowane ataki, które uwzględniają nasze zainteresowania i preferencje (spear phishing) i wykorzystują pocztę elektroniczną, stały się ulubioną metodą atakującego, który chce nieprawidłowo wykorzystać sieci, systemy i dane. W przeszłości firmy wdrażały różne rozwiązania z zakresu bezpieczeństwa poczty elektronicznej do odpierania ataków, takie jak bramy sieciowe zabezpieczające pocztę, jednocześnie budując świadomość w obrębie swojej organizacji. Obecnie ataki są znacznie bardziej wyrafinowane i koncentrują się na niekonwencjonalnych kanałach, takich jak fałszywe biznesowe wiadomości e-mail.

Czy w przypadku bezpieczeństwa poczty elektronicznej prezes firmy może być koniem trojańskim?

Jednym z najczęstszych przypadków spersonalizowanego ataku jest tzw. cyberprzestępstwo „na prezesa”. Polega ono na tym, że cyberprzestępcy fałszują firmowe konta e-mail i podszywają się pod władze firmy. Za pośrednictwem wiadomości e-mail lub innych kanałów komunikacji próbują nakłonić pracownika z działu księgowości lub HR do wykonania nieautoryzowanych przelewów lub wysłania poufnych informacji podatkowych. Można powiedzieć, że prezes staje się koniem trojańskim dla bezpieczeństwa poczty elektronicznej. Zarówno nowe, jak i zmodyfikowane odmiany złośliwego oprogramowania oraz luki bezpieczeństwa w oprogramowaniu „zero-day” są przy takiej skali nie do wykrycia. Zwłaszcza, jeśli wykorzystuje się przestarzałe podpisy IPS oraz wyłącznie techniki heurystyczne wdrażane przez wielu starszych dostawców rozwiązań w zakresie bezpieczeństwa poczty elektronicznej.

Organizacje mają niespotykaną wcześniej potrzebę ochrony przed atakami na pocztę, i to zarówno tymi wykorzystującymi treści (załączniki i adresy URL), jak i tymi bez treści (spam, spersonalizowane ataki, fałszywe biznesowe wiadomości e-mail). Na rynku cyberbezpieczeństwa, pełnym dostawców i produktów, z których każdy mieni się przełomowym, ogromnym wyzwaniem dla klientów jest wybór odpowiedniego produktu zabezpieczającego pocztę elektroniczną, opracowanie strategii wdrożenia oraz dopasowanie odpowiednich funkcji i usług w celu zapewnienia sobie trwałych podstaw bezpieczeństwa. 

Poniżej krok po kroku przedstawiamy kluczowe aspekty bezpieczeństwa poczty elektronicznej, w tym najważniejsze cechy, które powinien mieć każdy produkt zabezpieczający pocztę, a także sposoby na ich integrację z istniejącym ekosystemem.

Architektura referencyjna bram sieciowych zabezpieczających pocztę elektroniczną

Obecnie duża liczba klientów już przeprowadziła lub planuje przeprowadzenie migracji ze starszych zapór sieciowych do zapór sieciowych następnej generacji. Odpowiednio wdrożona technologia zapory sieciowej następnej generacji zapewnia między innymi pełną widoczność, kontrolę, zapobieganie zagrożeniom i możliwość działania środowiska sandbox. Rozwiązanie zabezpieczające pocztę elektroniczną wraz z zaporą sieciową następnej generacji może również zapewnić najbardziej kompletną ochronę przed ukierunkowanymi atakami, nawet tymi przygotowanymi z użyciem wektorów ataków wykorzystujących wiadomości e-mail.

W typowej, uproszczonej sieci, brama sieciowa zabezpieczająca pocztę elektroniczną może zostać umieszczona w obudowie fizycznej lub wirtualnej – VmWare ESXi, KVM, HyperV itp., która znajduje się za obwodową zapory sieciowej następnej generacji, gwarantując najlepsze rezultaty. Bramy sieciowe zabezpieczające pocztę elektroniczną są również dostępne w przypadku wdrożeń chmury publicznej, tym samym zaspokajając pełne spektrum wdrożeń serwerów pocztowych opartych na chmurze i modelu chmury obliczeniowej Saas.

Tak więc nawet jeśli korzystasz z takich rozwiązań jak Microsoft Exchange, Office 365 w oparciu o model chmury obliczeniowej Saas lub Google Suite bądź hybrydowej konfiguracji obejmującej rozproszone środowisko domeny, możesz bez problemu zabezpieczyć pocztę elektroniczną, wdrażając bramę sieciową zabezpieczającą pocztę w jednym miejscu – albo w firmie, albo w chmurze – i w ten sposób zaspokoić potrzeby rozproszonych serwerów pocztowych.

Najważniejsze elementy, które należy wziąć pod uwagę w przypadku bramy sieciowej zabezpieczającej pocztę elektroniczną

Najważniejsze elementy, które są kluczowe w przypadku rozwiązań w zakresie bram sieciowych zabezpieczających pocztę elektroniczną to:

1. Skuteczna ochrona antyspamowa

Wykorzystuje techniki kontroli nadawcy, protokołu i treści, które chronią sieci i użytkowników przed niechcianymi masowymi wiadomościami e-mail. Zaczyna od oceny adresu IP, domeny i innych systemów reputacyjnych, a następnie sprawdza różne metody walidacji, takie jak odrzucenie, uwierzytelnienie i weryfikacja odbiorcy, a także zabezpieczenia DMARC, SPF i DKIM.

2. Ochrona poczty elektronicznej przed wirusami lub złośliwym oprogramowaniem – znane przykłady i luki w bezpieczeństwie „zero day”

Wielopoziomowa ochrona antywirusowa w chmurze służy do zatrzymywania wirusów i zarządzania zagrożeniami, zanim dotrą do sieci. Technologia predykcyjna oparta na heurystyce wykorzystywana jest do zwalczania rozwijających się zagrożeń wirusowych. Skuteczne zabezpieczenie poczty elektronicznej powinno chronić użytkowników przed klikaniem linków do stron internetowych zawierających złośliwe oprogramowanie. Analiza  w środkowisku sandbox, która uruchamia załączniki i łączy się z adresami URL, ocenia zachowanie w czasie pracy zarówno plików, jak i linków osadzonych w wiadomościach e-mail oraz załącznikach do wiadomości e-mail.

3. Ochrona poczty elektronicznej przed utratą danych‎

Blokuje i zapobiega utracie danych dzięki przejrzystemu dla użytkownika, centralnie sterowanemu, opartemu na określonej polityce filtrowi ochrony przed utratą danych. Użytkownicy wysyłający wiadomości e-mail z interesującą treścią zgodną z polityką ochrony przed utratą danych‎ w taki sposóbaby odpowiednie działania były podejmowane automatycznie. Słowniki i identyfikatory ochrony przed utratą danych‎ zapewniają automatyczną aktualizację polityki o dużym stopniu dokładności.

4. Archiwizacja i przechowywanie wiadomości e-mail

Archiwizuje przychodzące, wychodzące i wewnętrzne wiadomości odbierane i wysyłane z serwerów Microsoft Exchange lub kont Office 365. Chroni metadane wiadomości e-mail, gwarantując, że wszystkie wiadomości e-mail są faktycznie archiwizowane w miejscu pochodzenia i miejscu docelowym. Wiadomości e-mail klientów europejskich powinny być archiwizowane w UE, a wiadomości e-mail klientów amerykańskich – w USA, zgodnie z wymogami unijnej dyrektywy w sprawie ochrony danych. Przejrzyste umowy dotyczące obsługi szczegółowych dzienników archiwum poczty elektronicznej są również kluczem do ustanowienia doskonałej ochrony poczty elektronicznej w przedsiębiorstwie.

5. Ochrona przed oszustwami za pośrednictwem poczty elektronicznej z wykorzystaniem DMARC/DKIM/SPF

Protokół DMARC (Domain‐based Message Authentication, Reporting & Conformance) to najnowszy postęp w uwierzytelnianiu poczty elektronicznej. Został on po raz pierwszy zastosowany w 2012 r., aby zapobiec nadużyciom za pośrednictwem wiadomości e-mail. Protokół DMARC został stworzony przez PayPal we współpracy z Google, Microsoft i Yahoo.

Dzięki protokołowi DMARC organizacja zyskuje wgląd w swój kanał poczty elektronicznej. Na podstawie dostarczonych informacji organizacje mogą pracować nad wdrażaniem i egzekwowaniem protokołu DMARC gwarantującego bezpieczeństwo poczty elektronicznej.

Gdy rekord DMARC dodawany jest do tagu p=reject, organizacje są chronione przed:

  • Wyłudzaniem poufnych informacji na temat klientów organizacji
  • Nadużywaniem marki i oszustwami pod jej nazwą
  • Atakami ze strony złośliwego i szantażującego oprogramowania
  • Narażeniem pracowników na spersonalizowane ataki (spear phishing) i oszustwa „na prezesa”.

Dzięki protokołowi DMARC możliwe staje się uzyskanie wglądu w ataki polegające na wyłudzaniu poufnych informacji. W ten sposób klienci mogą być z wyprzedzeniem informowani i świadomi tych ataków. Protokół DMARC zbudowany jest na powszechnie wdrażanych modelach SPF (Sender Policy Framework) i DKIM (Domain Keys Identified Mail). SPF uwierzytelnia nadawcę, a DKIM – wiadomość.

Protokół DMARC wykorzystuje metodę DKIM, aby upewnić się, że wiadomości nie zostały zmanipulowane, a model SPF – do uwierzytelniania nadawcy. Informuje on także odbiorców wiadomości e-mail o tym, co powinni zrobić, gdy uwierzytelnienie wiadomości e-mail się nie powiedzie, ale potem to od bram sieciowych serwera pocztowego odbiorców wiadomości e-mail zależy, czy będą postępować zgodnie z zaleceniami. Właściciele domen DMARC narzucają bramom sieciowym serwerów pocztowych sposób, w jaki mają obsługiwać nieuwierzytelnione wiadomości e-mail, stosując protokół DMARC.

Model uwierzytelniania poczty elektronicznej DMARC składa się z trzech kluczowych elementów:

  1. Budowy rejestru SPF
    Określenie, z których adresów IP można wysyłać wiadomości e-mail w imieniu domen.
  2. Rejestracja w systemie DKIM
    Wzięcie odpowiedzialność za przekazywanie wiadomości w sposób, który może zostać zweryfikowany przez dostawców skrzynek pocztowych.
  3. Wdrożenie protokołu DMARC
    Zablokowanie wszystkich złośliwych wiadomości pochodzących z własnych domen wysyłających, zanim dotrą one do skrzynki odbiorczej.

Wdrożenie modelu uwierzytelniania poczty elektronicznej DMARC gwarantuje, że nadawcy są tymi, za kogo się podają. 

Mamy nadzieję, że powyższe informacje pomogą Ci w podjęciu pierwszych kroków w kierunku zabezpieczenia przepływu wiadomości e-mail w Twojej organizacji. Jeśli potrzebujesz więcej informacji na temat bezpieczeństwa poczty elektronicznej, skontaktuj się z nami. Firma Infradata z przyjemnością pomoże Ci w tym przedsięwzięciu i sprawi, aby Twoja podróż w kierunku większego bezpieczeństwa była łatwa i przyjemna.

Kunal Biswas - 30 września 2019

Udostępnij tę stronę:

Ta witryna korzysta z plików cookie. Kontynuuj¹c przegl¹danie tej witryny, wyra¿asz zgodê na stosowanie przez nas plików cookie. Kliknij tutaj, aby dowiedzieæ siê wiêcej