На современном предприятии электронная почта выполняет функции телеграфа и телефона, именно поэтому злоумышленники часто используют ее в качестве плацдарма для дальнейшего нападения на корпоративную инфраструктуру.

Сервис электронной почты старейший: когда DARPA создавала свою первую сеть, именно сервис передачи сообщений являлся основным, а более быстрый веб появился значительно позже — в 90-х годах прошлого столетия. По мнению экспертов в области ИБ, корпоративные пользователя еще долгое время не захотят отказываться от столь удобного средства связи, однако риски очень высоки: «Защита электронной почты потеряет свою актуальность, когда будет отправлено последнее цифровое письмо, и я не думаю, что это случится в ближайшие 50 лет. Ведь в каждой организации сотрудники ведут обширную переписку с клиентами и партнерами, поэтому электронная почта — рай для злоумышленников. Они могут подделать письмо, вшить в него вредоносное ПО или ссылку — подобных примеров очень много».

При этом сервис по-прежнему считается наиболее востребованным. Где сейчас gopher или даже FTP? А электронная почта продолжает развиваться и совершенствоваться. Недавно, например, организован обмен кириллической электронной почтой, и теперь адреса можно писать русскими буквами. Длительное и плодотворное развитие не могло не сказаться на безопасности этой технологии. Ее описание представлено в достаточно большом наборе документов, созданных в разное время и с разным качеством, поэтому в спецификациях протоколов и форматов накопилось немало погрешностей, которые эффективно используются злоумышленниками как для нападения на корпоративные информационные системы, так и для поиска ценных сведений на «оккупированных территориях» киберпространства.

Угрозы

Среди потенциальных угроз, которые характерны для систем электронной почты компании, можно выделить четыре основные.

1. Уязвимости самой электронной почты или связанных с ней компонентов. Это одна из древних проблем: первый червь Морриса использовал именно уязвимость в почтовом сервере sendmail. С тех пор серверы и клиенты электронной почты становились все сложнее, и, естественно, подобных брешей накапливалось все больше. А поскольку сервисы электронной почты взаимодействует с агрессивной средой Интернета, злоумышленники проверяют на прочность именно их. В качестве мер, которые снижают опасность этой угрозы, стоит упомянуть постоянное обновление программного обеспечения и минимальную конфигурацию почтового сервера. Если вы используете сервер электронной почты с функциями приложений (например, Microsoft Exchange), лучше спрятать его за более простым пересыльщиком почты, который будет фильтровать спам и непродуктивную нагрузку, а сервер электронных приложений расположить внутри — под защитой межсетевого экрана.

2. Передача вредоносных файлов. Электронная почта допускает прикрепление к письму самых разнообразных файлов с последующей их загрузкой (в том числе автоматической) в соответствующие приложение. Это и является основным вектором нападения на корпоративные информационные системы: нацеленный на определенную уязвимость файл, в который встроен вредоносный код, посылается жертве, которая откроет его в нужном приложении, и таким образом осуществляется проникновение в систему. Кандидатов на уязвимые приложения немало: Adobe Reader, Microsoft Office, курсоры, шрифты и библиотеки помощи операционной системы Windows и даже CAD-приложения. Были зафиксированы, в частности, примеры атак на среды разработки, такие как Delphi. Наибольший риск для этого типа атак представляют приложения, где в файлах можно размещать исполненные модули на любом из языков программирования: JavaScript, VBScript, Java и других.

В качестве защиты от таких нападений применяются решения уровня анти-APT, но не антивирусы. Последние, по мнению экспертов по ИБ уже не способны справиться с новыми угрозами: «Антивирусы, конечно, отражают атаки злоумышленников, но отражают они только известные атаки, и то не все. Email Security Appliance, который можно отнести к классу решений анти-APT, нацелен на то, чтобы вредоносный код, известный или неизвестный, либо не достиг компьютера, либо в кратчайшие сроки был обезврежен и отправлен на анализ в Cisco Talos, где анализируется на предмет вредоносности примерно треть всех писем, тем самым ежедневно гарантируется безопасность для 500 млрд. сообщений. Сложно подсчитать, какое количество атак было предотвращено».

3. XSS-атаки. XSS расшифровывается как Cross-Site Scripting, то есть исполнение сценария через сайт (при этом слово Cross обозначается как X, чтобы не путать это сокращение с каскадными таблицами стилей CSS). Строго говоря, речь идет об уязвимости в веб-приложении, которая позволяет исполнить небольшой сценарий в контексте пользователя и похитить ценную информацию — пароли или идентификаторы сессий. Казалось бы, причем тут электронная почта? Однако именно с ее помощью распространяется специально сформированный URL, который включает в себя сценарий, исполняемый на веб-клиенте пользователя для проникновения в систему. Именно поэтому категорически не рекомендуется переходить по содержащимся в письмах ссылкам. Но кого это останавливает? Причем специально предназначенных для таких угроз инструментов защиты практически нет. Как правило, проверка ссылок в почте подразумевает оценку репутации сайтов, но не выявление компонентов сценариев.

4. Утечки информации. Сотрудники компаний обмениваются электронными письмами не только со своими коллегами, что может быть использовано для нападения, но и отправляют сообщения вовне. Злоумышленники нередко используют эту возможность для передачи ценной информации за пределы защищенного периметра. Впрочем, утечки данных происходят и случайным образом — сотрудник просто нажал не ту кнопку или выбрал неправильный адрес. Для защиты от этого типа угроз рекомендуется применять DLP-решения, которые анализируют данные и блокируют подозрительную передачу. Благо, отправка сообщения не требует немедленной реакции и может быть отложена до того момента, когда служба безопасности отправителя сможет осуществить проверку.

Конечно, электронная почта, как и другие критические корпоративные приложения, таит в себе множество угроз, однако их сложно блокировать техническими средствами, а мы обсуждаем здесь лишь такие возможности. Поэтому, например, отказ в обслуживании самой почтовой системы, нужно рассматривать уже в рамках полноценного анализа рисков. Поговорим об инструментах защиты электронной почты.

Анти-APT

Основным направлением современного развития средств защиты электронной почты является создание преграды для целенаправленных атак (Advanced Persistent Threat, APT). «Атаки через сервисы электронной почты зачастую носят не общий характер, а осуществляются с определенной целью и поэтому являются наиболее результативными, — отмечают эксперты. — Злоумышленники не изобретают новые вирусы, а модернизируют и дописывают уже разработанное вредоносное ПО, что тоже создает проблемы для разработчиков». При этом предполагается, что хакеры используют почтовую систему для передачи не массовых, а специально созданных вредоносных кодов. Такой код невозможно распознать с помощью традиционных антивирусных решений, потому что он никогда не встречался ранее, для него еще не составлено описание и не подготовлен шаблон обнаружения. Одноразовые вредоносные коды всегда имеют возможность незаметно проникнуть и внедриться в корпоративную информационную систему.

Поэтому несколько лет назад начали разрабатываться программные инструменты для защиты от неизвестных (целенаправленных) атак. Как правило, речь идет о сложных комплексных решениях, в которых используются сигнатурные, репутационные, эвристические и многие другие методы определения потенциальной опасности файлов, передаваемых во вложениях. В последнее время развивается методология машинного обучения, однако все эти методы требуют квалифицированного обслуживания и сложны в эксплуатации. Лучшим вариантом их использования является получение профессиональных услуг по защите от целенаправленных атак.

Технологией, предназначенной для массового применения, являются так называемые песочницы. Собственно, попытки исполнения файлов-программ и сценариев, передаваемых в электронном письме, осуществлялись и раньше, но они были ограничены ресурсами шлюзовых устройств, обеспечивавших защиту от вредоносных кодов. Песочницы превратились в эффективный инструмент защиты с появлением новейших технологий виртуализации, позволяющей эмулировать программное окружение пользователя, его действия и реакции. Поскольку достаточно большое количество сотрудников работают в виртуальных средах, злоумышленники уже не могут применять методы выявления виртуальных машин для защиты от обнаружения. К тому же современные виртуальные среды позволяют выявлять сложные взаимосвязи между приложениями и обнаруживать такие методы нападения, как переполнение буферов, нарушение работы памяти, XSS-атаки и многое другое.

Еще одним возможным методом защиты от целенаправленных атак является полная замена вложений на безопасные. Эта технология позволяет удалять из файлов всю «лишнюю», с точки зрения безопасности, информацию, оставляя в них только текст и картинки. Все макросы и другие подозрительные вложения просто удаляются. В результате пользователю передается хотя бы часть информации, а о необходимости доступа к исходным файлам он принимает решение сам.

* * *

В целом можно отметить, что средств защиты электронной почты от наиболее сложных целенаправленных атак разработано достаточно, но они должны сочетаться с такими элементами корпоративной защиты, как межсетевые экраны, средства контроля пользовательского трафика и другие средства обеспечения безопасности. В частности, можно выделить компанию Cisco и их решение Cisco Email Security Appliance (ESA). В нем присутствует антивирус, причем можно выбрать продукт конкретного разработчика, антиспам, детальный анализ вредоносных файлов внутри письма, предотвращение утечек данных, шифрование и т. д. Одного средства защиты электронной почты достаточно, чтобы защитить сервисы электронной почты, но недостаточно для защиты системы в целом. Чтобы обеспечить безопасность информационной системы, необходим комплекс программных продуктов, интегрированных между собой.

Годовой отчет Cisco по информационной безопасности за 2016 год