Информационная безопасность как сервис

Системы почтовой фильтрации

15.06.2015

С момента изобретения электронной почты прошла половина века. За это время email (сокр. email от англ. electronic mail – электронная почта) эволюционировала из простой программы, позволяющей отправить текстовое сообщение другому пользователю, в глобальную сеть обмена информацией. Сегодня мы ежедневно используем электронную почту в общении с друзьями, для отправки документов или покупки билетов на поезд. В корпоративном сегменте электронная почта также считается одним из важнейших сервисов. По ней отправляются договоры, проводятся платежные транзакции, принимаются сообщения от государственных и муниципальных органов.

Повсеместное использование электронной почты привело к значительному росту вредоносной активности в данной области. Злоумышленники используют почту для отправки рекламы, проникновения в вычислительные сети корпораций, хищения денежных средств.

На сегодняшний день всего 15% писем от мирового объема электронной почты являются легитимными. Остальные являются нежелательными либо вредоносными. Иными словами, на каждое пользовательское письмо приходится 5 потенциально опасных писем от злоумышленников.

Такая высокая популярность почты среди злоумышленников обусловлена несколькими факторами. Во-первых, любой пользователь сети Интернет может отправить письмо сотруднику Вашей компании. В этом письме может быть вирус или текст, провоцирующий сотрудника перейти по вредоносной ссылке.

Системы почтовой фильтрации - Пример вредоносной ссылки.

Во-вторых, при отправке письма злоумышленник может представиться кем угодно: служащим государственных органов, общественным деятелем или сотрудником Вашей компании. Данная уязвимость является следствием того, что почтовые системы часто не проверяют поле «От/From» письма и не блокируют письма, в которых отправитель представляется не тем, кем является на самом деле.

В-третьих, электронная почта совмещает в себе техническую возможность передачи вредоносной программы внутрь компании и механизмы социальной инженерии, которые позволяют эту программу запустить. Учитывая, что большинство людей уязвимы к воздействию социальных инженеров, данная угроза является в высокой степени актуальной с точки зрения информационной безопасности.

Теперь представьте, что однажды утром, спускаясь из дома на работу, Вы проверяете почтовый ящик и обнаруживаете, что Вам пришло уведомление о доставке заказного письма с пометкой «высокая важность». В уведомлении указано, что отправителем является местный орган судебной системы и в нем содержится информация по судебному делу, в котором Вы выступаете ответчиком. Никто не любит получать повестки в суд, и Вы с нетерпением идете на почту, чтобы открыть письмо и проверить, нет ли ошибки, действительно ли письмо пришло Вам, по какому делу Вас вызывают в суд и так далее. Открыв конверт, Вы понимаете, что вместо судебного уведомления в конверте лежит пригласительная открытка на день рождения от Вашего друга, который таким образом решил Вас разыграть.

Аналогичные ситуации происходят и в мире электронной почты. К сожалению, подобные письма чаще отправляются злоумышленниками, а не друзьями с хорошим чувством юмора. Открыв документ во вложении, чтобы разобраться в ситуации, Вы загрузите вирус на свою рабочую станцию и, вероятно, даже не заметите этого. Естественный стресс, который появляется у любого человека в подобной ситуации, играет на руку социальным инженерам. Они готовят письма таким образом, чтобы вывести Вас из равновесия, вызвать желание немедленно открыть вложение или пройти по ссылке в письме. Часто перед отправлением письма злоумышленник совершает телефонный звонок и, представившись судебным приставом, сообщает Вам о негативных последствиях в случае, если Вы не откроете письмо, которое он пришлет.

В настоящее время подобные атаки встречаются очень часто. В подавляющем большинстве случаев IT специалисты компаний делают ставку на антивирусы для рабочих станций, ошибочно считая, что таким образом они полностью устраняют все риски заражения.

В действительности, обеспечение безопасности корпоративных почтовых систем – это комплексная задача, состоящая из нескольких направлений:

  • аутентификация почтовых серверов;

  • аутентификация отправителя;

  • верификация получателя;

  • авторизация доставки;

  • анализ контента письма;

  • анализ контекста письма.

Для решения данных задач существует обширный класс систем, именуемых системами фильтрации корпоративной почты. Общий принцип работы таких систем заключается в том, что устройство ставится в разрыв схемы доставки почты и анализирует каждое проходящее через неё письмо. В идеальном случае все легитимные письма пропускаются, все вредоносные и нежелательные – блокируются. В действительности существует ненулевой уровень ошибок I и II рода. Ложное срабатывание системы почтовой фильтрации, то есть ситуация, когда легитимное письмо заблокировалось, называется ошибкой I рода, а уровень таких ошибок – FRR (False Rejection Rate). Ложное несрабатывание системы, когда вредоносное или нежелательно письмо не было заблокировано и было доставлено пользователю, называется ошибкой II рода, а уровень таких ошибок – FAR (False Acceptance Rate). При изменении настроек системы фильтрации уровни FAR и FRR обратно пропорционально связаны друг с другом. Иными словами, чем выше уровня FAR, тем ниже уровень FRR, и наоборот. Для пользователя это означает, что если он недоволен количеством спама и хочет его снизить, то вместе со спамом будет блокироваться небольшое количество легитимных писем, так как система фильтрации будет считать их нежелательными.

Тем не менее, снизить количество спама, не жертвуя легитимными письмами, возможно. На сегодняшний день существует достаточное количество надстроек над стандартным протоколом обмена почтовыми сообщениями, которые позволяют обеспечить высокий уровень безопасности почты. При правильном применении данных надстроек, использовании систем почтовой фильтрации высокого качества, а также привлечении высококвалифицированных специалистов угроза спама и вредоносных писем сводится до минимального уровня.

Отправить заявку
Вы не представились
некорректный адрес
поле не заполнено