Вирусы в спаме, направленные атаки и невежество пользователей сильно усложняют работу ит-профессионалов. в этой статье приводится несколько советов, как справиться с нарастающими проблемами.
У Скотта Ларсена бессонница — он обеспокоен безопасностью своей корпоративной электронной почты и тем, надежно ли межсетевые экраны защищают компанию от спама и фишинга.
Но как и во многих других фирмах, экран, защищающий системы электронной почты в компании Ларсена — туристическом агентстве Groople, постоянно находится под давлением атак, которые становятся все более суровыми.
“По мере того как Groople растет, я вижу, как стремительно увеличивается объем атак на нашу электронную почту, — говорит Ларсен, менеджер компании по информационным системам. -- Вскоре они просто перегрузят наш шлюз электронной почты, и мне придется внедрять новую систему и ПО для того, чтобы справиться с этим жутким ростом”.
Вендоры и компании-клиенты сталкиваются сегодня с совершенно новой ситуацией в атаках на электронную почту: спам все чаще поступает вместе со злонамеренным ПО, а направленные атаки становятся все более обычным делом. Профессионалам ИТ приходится учитывать целый ряд аспектов как в области технологий, так и в плане повседневных действий, — они сталкиваются с нарастающими угрозами в области электронной почты.
По оценке Ларсена, Groople получает около миллиона электронных писем в месяц, 76% из которых либо блокируются Trend Micro Network Reputation Service, либо квалифицируются как спам. Около 5% спама все-таки проникает в почтовые ящики сотрудников Groople.
Чтобы избежать перегрузки сети этим спамом, компания уже перешла на новый шлюз электронной почты с балансом нагрузки. По словам Ларсена, безопасность встроена в структуру этого шлюза.
“Вся инфраструктура нашей электронной почты выстроена в соответствии с инфраструктурой нашей безопасности, чтобы максимально увеличить использование многослойной защиты, — говорит Ларсен. -- Атака должна пройти через несколько отдельных слоев защиты перед тем, как добраться до пользователя. Любая компания, которая смотрит на электронную почту только, как на средство бизнес-общения, непросительно слепа. Электронная почта — это большая угроза безопасности для всего бизнеса, и поэтому относиться к ней надо очень серьезно.
Новый ландшафт угроз
По оценкам экспертов из компании Symantec, только одно письмо из каждых 617 содержит вредоносные программы.
“В прошлом электронное письмо могло содержать либо спам, либо вирус. Тогда достаточно просто было его отловить и исправить ситуацию, — говори Ангелос Коттас, старший менеджер по маркетингу продуктов в Semantec Messaging Security. -- Но сегодня мы отчетливо наблюдаем тенденцию включения вредоносного кода в спам, причем таким образом, что простыми способами его отловить не удается”.
В ежемесячном отчете MessageLab Report отмечается, что вирус обнаруживается в одном из 169 писем, а фишинговая атака — в одном из 228 писем.
В отчете говорится, что некоторые из этих атак были направленными — ориентированными на сотрудников. занимающих определенные должности.
“Мы видим резкий рост количества направленных атак. В среднем мы пресекаем около 30 адресно-нацеленных троянов в день, — говорит Марк Саннер, старший аналитик по безопасности в MessageLabs. -- В декабре 2005 г. таких атак было не больше двух в неделю”.
Спам все чаще применяется в качестве механизма для реализации атаки, заражающего компьютеры пользователей таким образом, что они могут использоваться для дальнейшей рассылки спама, отмечает аналитик Gartner Петер Фестбрук. Сегодня одно из 150--200 электронных писем содержит вирус, но гораздо более высокий процент таких писем содержит в себе линк на сайты, зараженные вредоносным ПО.
“Более широкое распространение сведений об угрозе — это одна из причин координации действий SMTP и интернет-шлюза”, — отмечает Фестбрук, добавляя, что для многих компаний отсутствие в интернет-шлюзе возможности фильтрации вредоносного ПО становится серьезной прорехой в их системе защиты.
Много путей к безопасности
Всего несколько недель назад достигла своей цели направленная атака на электронную почту одной из сотрудниц муниципалитета в английском графстве Арлингтон. Дэвид Джордан, CIO и ответственный за безопасность, говорит, что вредоносная программа считывания паролей находилась в приложении к электронному письму, но поскольку сотрудница прошла специальную подготовку по безопасности, она не открывала эту программу,
“Сотрудница решила не открывать приложенный файл, — сказал Джордан. -- Она просто переслала подозрительную почту в сервисную службу”.
В муниципалитете используется Symantec Client Security, и Джордан говорит, что система, скорее всего, нейтрализует вредоносное ПО, даже если сотрудник откроет приложение. Тем не менее он рассказывает о произошедшем инциденте, как о примере того, что надо постоянно быть бдительным и обучать персонал безопасности.
“Одна из моих задач — гарантировать, что все сотрудники обучены и готовы к безопасной работе на компьютерах, — говорит он. -- К примеру, я персонально общаюсь с каждым новым сотрудником в процессе его подготовки, чтобы убедиться, что он осведомлен обо всех онлайн-угрозах и правилах безопасной работы в организации, которые включают в себя и правила работы с Интернетом и электронной почтой. Кроме того, мы постоянно проводим тренинги и информируем наших сотрудников о последних новостях в области угроз для электронной почты через нашу еженедельную рассылку новостей по специальной SMS-системе муниципалитета”.
Конечно же, никакая технология не сможет защитить организацию, если ее сотрудники не будут должным образом обучены тому, что надо, а чего не надо делать при работе с Интернетом, считает Кевин Хьюитт, сетевой администратор из компании Stevens Aviation.
“В нашей компании мы оповещаем сотрудников о любой новой угрозе, -- говорит Хьюитт. -- Мы делаем это для того, чтобы защитить нашу сеть, но также и для того, чтобы помочь сотрудникам избежать аналогичных проблем при работе на домашних ПК. Если мы делает рассылку по электронной почте для наших сотрудников с информацией о новых угрозах, мы также прилагаем специальную подборку частых вопросов и ответов, чтобы напомнить людям, как не оказаться обманутыми зараженным или использованным в недобрых целях вирусом”.
Stevens Aviation использует в качестве ПО для обеспечения безопасности электронной почты Webroot E-mail Security SaaS. Эта авиационная компания получает около 120 тыс. электронных писем ежедневно, из которых около 93% — спам, говорит Хьюитт. Модель SaaS, добавляет он, экономит полосу пропускания и дает компании возможность избавиться от сервера, предназначением которого прежде была борьба со спамом.
Узнайте, как снизить угрозу спама
Хьюитт предлагает несколько примеров обеспечения безопасности электронной почты и советует прибегать к блокированию посылки почты через Интернет, предоставляя сотрудникам возможность доступа к интернет-эккаунтам вместо использования рабочей почты для всех личных транзакций.
Но и доступ к интернет-почте не свободен от риска. В февральском отчете MessageLab за 2008 г. исследователи отмечают, что источником 4,6% всего спама являются приложения, связанные с интернет-почтой. Исследователи также обнаружили, что доля спама, исходящего от Gmail, удвоилась всего за месяц -- с 1,3% в январе до 2,6% в феврале. Yahoo Mail — самый загрязненный почтовый сервис, на его долю приходится 88,7% спама, рассылаемого с интернет-почтой.
“Мне кажется, что некоторые компании рассуждают примерно так: «Мы не будет пользоваться интернет-почтой, потому что это может стать прорехой в нашей системой безопасности», — говорит Саннер, аналитик по системам безопасности MessageLab. -- Если вы думаете об этом, если у вас есть почтовый шлюз, то, вероятно, у вас есть некоторая система фильтрации контента, определенный уровень антивирусной защиты. Практически наверняка вы будете что-то делать, чтобы защитить вашу систему корпоративной почты. Но даже если вы предприняли все необходимые шаги, но при этом открыли доступ к Hotmail, то все предосторожности могут оказаться напрасными, ведь не исключено, что кто-то получит письмо с вирусом на свой адрес и откроет его ”.
Безопасность электронной почты или контента?
В эпоху утраты информации и инсайдерских утечек разговор о безопасности электронной почты в большой степени относится не только к спаму и вредоносному ПО, но также и к DLP (data leak prevention — предотвращению утечки информации). Сегодня компания должна уделять больше внимания общей безопасности своего контента, считает Джон Тиленс, вице-президент по технологиям в Tumbleweed Communications.
“Чтобы решить проблему безопасности контента сегодня, вам придется покупать продукты шести-семи различных производителей — интернет-фильтр, фильтр электронной почты, систему анализа контента, систему для передачи файлов, систему для защиты пользователей и др.”, — отмечает Тиленс.
DLP-продукты предлагают более комплексный подход, состоящий из мониторинга контента, классификации данных и усиления политики безопасности.
На рынке DLP в прошлом году состоялся целый ряд покупок компаний, и сегодня технология выходит на рынок. Однако многие фирмы не торопятся внедрять эту технологию, которая помогает предотвратить утрату важной информации, например, через остановку электронного письма с номером личной социальной страховки в момент пересечения шлюза электронной почты.
В ноябрьском отчете “Расширение защиты интеллектуальной собственности за пределы сетевого экрана” аналитики из Enterprise Strategy Group отмечают, что лишь 17% из 109 опрошенных использовали сетевые приложения DLP в своих компаниях.
Возможность блокировать секретные данные перед их утечкой через электронную почту может стать ключевым элементом ее безопасности. Но перед тем, как вкладывать средства в DLP, компаниям следует понять, какая информация особенно важна для них и каковы потребности их бизнеса, полагают аналитики. При слишком сильной концентрации на этом блокировании сотрудники, которые являются последней линией обеспечения безопасности, будут просто сами нарушать правила этой защиты, считает Тиленс.
“Представьте себе проблему защиты контента как надувную игрушку. Если вы нажмете на нее, то воздух просто переместится в другое место, — говорит он. -- Если вы заблокирует электронную почту, то сотрудники будут общаться через Интернет и средства мгновенного обмена информацией. Если вы учтете это, то избежите неприятностей. Подумайте о снятии лишних запретов и скажите людям: мы хотим ввести некоторые меры безопасности, которые заблокируют неправильные действия, но мы также расскажем вам о том, как правильно работать с вашей информацией”