26 июня 2020 года

В связи с большим количеством обращений в службу технической поддержки «Доктор Веб» об активности злоумышленников, проникающих через почту, мы решили отдельно напомнить о ряде правил, позволяющих не допустить подобных инцидентов. И напомнить о возможностях продуктов Dr.Web для защиты почтовых серверов.

Dr.Web и защита почты: снова о главном

Анализируя запросы в службу технической поддержки «Доктор Веб» в последнее месяцы, мы наблюдаем удивительную картину. В результатах анализов инцидентов, как под копирку, повторяются одни и те же сообщения о нюансах инцидентов:

• ... несанкционированный вход, через подбор пароля одной из учетных записей;
• ... после входа по RDP злоумышленник запустил шифрующий скрипт;
• ... судя по последнему отчету, у вас в сети должен быть сервер с адресом _____, на котором видна подозрительная сетевая активность;
• ... на сервер … антивирус Dr.Web был установлен уже после шифрования.

Компании теряют данные, испытывают простои, тратят время и деньги на восстановление инфраструктуры, но воспринимают случившееся как досадную случайность, не внося изменений в свою систему информационной безопасности. Мы неоднократно встречали случаи заражений в одних и тех же компаниях именно по этой причине.

Специалисты нашей технической поддержки практически по каждому запросу пишут одни и те же рекомендации, они повторяются рефреном в выпусках проекта «Антивирусная правДА!» — но такое ощущение, что читаем их только мы сами.

А между тем неукоснительное следование простым правилам помогает избежать подавляющего большинства инцидентов безопасности. Повторим эти правила в формате новости.

• Почту надо фильтровать на сервере

  Сотрудники компании могут работать и в офисе, и дома, в том числе на собственных устройствах. Даже если пользователь отключит антивирус или будет работать без антивируса, он не должен получать сообщения от злоумышленников. Потому что в письме могут быть ссылка на вредоносный сайт, или вредоносное вложение, или инструкция якобы от директора о переводе денег на счет мошенников.

  Проверка почтовых сообщений должна производиться на почтовом сервере.

  Это позволит исключить получение сотрудником мошеннического письма.

• Надо фильтровать почту всех сотрудников

  Наибольшему риску открыть вредоносное или мошенническое письмо подвержены менеджеры различного уровня, а также руководители — они обязаны по долгу службы открывать любые письма (сообщения о претензиях и штрафах, указания от вышестоящего руководства, приглашения к сотрудничеству). До 40% сотрудников компаний открывают все письма. Даже если в компании не так давно проводилось обучение на тему кибербезопасности.

  Когда речь идет о защите, избранных быть не должно — никто из сотрудников не должен получать письма мошенников.

  Проверка почтовых сообщений должна производиться на почтовом сервере.

• Каждое письмо подлежит проверке

  Невозможно защититься от получения сообщений от мошенников, используя только настройки почтового сервера (например, технологии SPF, DKIM и т. п.), если взломан сервер вашего партнера. Злоумышленники могут рассылать почту с доверенных, но при этом взломанных почтовых серверов.

  Фильтрация почтовых сообщений должна происходить на основе анализа содержимого самого письма.

Как компании могут обеспечить соблюдение этих правил с наименьшими затратами для бюджета?

Путем перехода на Dr.Web Mail Security Suite для UNIX — как лучшее в своем классе средство фильтрации почты на вирусы и спам.

1. При анализе сообщений Dr.Web опирается на правила – характерные признаки вредоносных рассылок. Одно правило может поставить барьер на пути всех рассылок одного спамера.
2. Антивирус Dr.Web обеспечивает обнаружение не только известных, но и еще не попавших на анализ вредоносных программ – это традиционный конек Dr.Web.
3. Антиспам Dr.Web обновляется ежечасно, но вообще ему достаточно ежесуточных обновлений – система правил, на основе которой он построен, даже при редких обновлениях не допускает снижения его эффективности.
4. Dr.Web защищает почту практически на всех известных почтовых серверах и работает почти на всех операционных системах Linux, FreeBSD и Solaris.
5. Dr.Web поддерживает российские ОС и почтовые серверы, создаваемые в рамках импортозамещения, в том числе Communigate Pro.
6. Решение может быть установлено в качестве почтового шлюза, обеспечивающего изоляцию внутреннего сервера и максимальное качество фильтрации.
7. Dr.Web сертифицирован по требованиям ФСТЭК, ФСБ, Министерства обороны и может применяться для защиты персональных данных, сведений повышенной важности, критически важных объектов.
8. Переход на новый сервер не вызывает перебоев в работе компании и не требует времени на замену лицензии.
9. Dr.Web может использоваться как в маленькой компании, так и в многоуровневой корпорации, обеспечивая работу в кластерах, использование внешних баз данных и локального облака, гибкое расширение функционала и интеграцию с внешними продуктами.
10. Dr.Web Mail Security Suite для UNIX может быть интегрирован с системами мониторинга – от локально расположенных в сети компании и до систем центров ГосСОПКА.
11. Системный администратор может выбрать способ управления защитой: через веб-интерфейс, систему централизованной защиты компании или даже через прямое редактирование конфигурационных файлов.

Dr.Web Mail Security Suite для UNIX:

1. может устанавливаться как с помощью универсального пакета установки, так и из репозитория;
2. выявляет в почтовых сообщениях вредоносные вложения и ведущие на потенциально опасные ресурсы ссылки, признаки спама и фишинга;
3. при необходимости позволяет организовать распределенную проверку данных;
4. использует новейшие технологии, а также правила Облака Dr.Web для обнаружения новейших угроз, еще не поступивших на анализ в антивирусную лабораторию;
5. гибкость языка Lua, используемого в настраиваемых обработчиках событий, и большой набор сведений о сообщении, доступных из процедуры обработки, позволяют реализовать не только типовые проверки сообщений на спам, поиск вложенных угроз или вредоносных URL, но и реализовать проверку произвольных условий с выработкой необходимых вердиктов для обработки проверенного сообщения сервером электронной почты;
6. позволяет использовать для фильтрации черные и белые списки, данные серверов DNSBL, технологию DKIM;
7. обеспечивает фильтрацию сообщений путем проверки тела и заголовков сообщений с помощью регулярных выражений, задаваемых администратором;
8. позволяет не только задавать различные действия для разных категорий спама, но и фильтровать сообщения по их содержимому;
9. позволяет модифицировать фильтруемые сообщения в случае обнаружения в них признаков, заданных в правилах работы приложения;
10. может применяться, если в компании используется почтовый кластер или имеются резервные серверы на случай отказа. На стоимость лицензии это не влияет – мы защищаем по числу пользователей;
11. может функционировать в режиме прозрачного прокси или прокси, выполняющего проверку трафика для передачи его на указанный почтовый сервер;
12. обеспечивает защиту объектов операционной системы, на которой установлен Dr.Web.

#почта #спам #фишинг #Dr.Web