Белорусский ИТ-гигант IBA выбирает eSafe Mail

Ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений по информационной безопасности компания Aladdin сообщает об успешном внедрении системы eSafe Mail в рамках проекта по обеспечению защиты корпоративной почты от нежелательной корреспонденции и вредоносного кода, поступающего через почтовые каналы связи, в белорусских компаниях IBA Group: IBA-Минск, IBA-Гомель, IBA IS и НИИЭВМсервис.

Сегодня IBA – это международный холдинг, один из крупнейших системных интеграторов, разработчиков, производителей и поставщиков современных информационных технологий в Центральной и Восточной Европе. Специализируясь на реализации масштабных комплексных проектов в ИТ-сфере, компания использует как собственные разработки, так и инновационные решения от мировых вендоров.

IBA планомерно развивается и стабильно растет. С ростом компании все более актуальными становятся вопросы, связанные с информационной безопасностью. В IBA идет постоянный процесс модернизации и увеличения единиц компьютерной техники с акцентом на обеспечение защиты корпоративных ресурсов. Учитывая устойчивый рост угрозы проникновения нежелательной информации и вредоносных программ через активное использование сети Интернет и Web-сервисы компании, в частности, электронной почты, руководство IBA приняло решение усилить защиту корпоративного почтового сервера. Специалисты IBA протестировали ряд продуктов и решений, предлагаемых российскими и зарубежными вендорами для защиты от нежелательной корреспонденции. Среди основных критериев отбора поставщика готового решения были гибкость настроек, масштабируемость, обучаемость системы, управляемость и, самое важное, - качество детектирования спама при минимальном количестве ложных срабатываний.

По результатам тестов был выбран высокотехнологичный комплекс Aladdin eSafe Mail Pack, реализующий тщательный анализ всего объема поступающей корпоративной корреспонденции по протоколу SMTP, исходя из контента письма и источника рассылки. Фильтрация каждого полученного письма реализуется двумя взаимодополняющими программными модулями на 4-х уровнях: проверка подлинности (репутация отправителя, схема распределения писем, наличие адреса в существующих списках), структура письма (эвристический анализ, проверка на наличие кода, способного эксплуатировать уязвимости, сверка с RFC), контент письма (является ли оно спамом, элементом фишинг-атаки, содержит ли подозрительные элементы и запрещенные ссылки), анализ файла (проверка на возможность реконфигурации, сигнатурный анализ, наличие подозрительных элементов в коде).

«Двойная» технология проверки поступающей почты, реализованная в eSafe Mail, одинаково эффективна для защиты от любых массовых спам- и фишинг-рассылок, «зараженных писем», независимо от языка и формата сообщения. Максимально усиленный новыми репутационными механизмами, комплекс eSafe Mail обеспечивает защиту почты в реальном времени, с момента начала эпидемии (вирусной, спама, и т.д.), обеспечивая полностью автоматическое детектирование почты с 97-99% точностью выявления нежелательной корреспонденции.

Кроме того, eSafe Mail включает инновационные методы борьбы со спамом, среди которых Spam Phishing, Spam Fingerprint, Spam Fuzzy Fingerprint. Эти технологии нового поколения позволяют безошибочно выявлять фишинг-письма, определять спам-вложение (или внедренное изображение), а также обнаруживать внесенные модификации во вложенные изображения (например, изменение небольших фрагментов кода и т. д.).

В рамках проекта была проведена интеграция eSafe Mail с корпоративной информационной системой на платформе IBM Lotus Notes/Domino. В течение полутора месяцев eSafe Mail функционировал в пилотном режиме. После анализа специалистами IBA полученных результатов комплекс был внедрен в инфраструктуру компании в полном объеме.

«Такая важная составляющая бизнеса как модернизация и поддержка инфраструктуры всегда требует детального анализа и тщательного выбора продуктов и решений, особенно если речь идёт о безопасности и защите информационных ресурсов, - комментирует Леонид Бокун, директор по информационному обеспечению компании IBA. - Мы остановили свой выбор на комплексной системе защиты от спама eSafe Mail Pack. Благодаря инновационным технологиям, мощному функционалу и производительности данной системы мы фактически забыли о том, что такое спам».

«IBA в Центральной и Восточной Европе – это имя, и мы гордимся тем, что такая крупная компания выбрала Aladdin eSafe Mail Pack для защиты корпоративных почтовых ресурсов от нежелательной корреспонденции и вредоносного программного обеспечения, которое всё сложнее детектировать классическими антиспам системами, - говорит Владимир Бычек, руководитель направления Content Security компании Aladdin. – Кроме того, хотелось бы отдать должное высокой квалификации специалистов компании IBA: внедрение eSafe Mail Pack они практически полностью реализовали самостоятельно на высоком профессиональном уровне».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Китайских геймеров атакует подписанный Microsoft руткит FiveSys

Исследователи из Bitdefender обнаружили еще один руткит с валидной подписью Microsoft. Судя по всему, его распространителей интересуют аккаунты пользователей онлайн-игр в Китае.

По данным экспертов, вредонос, именуемый FiveSys, существует в интернете более года. Злоумышленники используют его для перенаправления трафика на кастомные прокси-серверы, список которых вшит в код (300 доменов в TLD-зоне .xyz).

Редирект работает и для HTTP, и для HTTPS; в последнем случае руткит устанавливает в систему корневой сертификат, чтобы браузер жертвы не выдал тревожное предупреждение. Исследователи полагают, что атаки FiveSys нацелены на кражу учетных данных геймеров и перехват внутриигровых покупок.

Для перенаправления трафика используется специальный скрипт автоматической настройки прокси, который вредоносный драйвер извлекает из ресурсов и скармливает браузеру. Функции самозащиты FiveSys включают блокировку редактирования реестра Windows и установки конкурирующих зловредов, которых он отслеживает по обновляемому списку цифровых подписей (в настоящее время 68 хешей).

Новый руткит состоит из множества компонентов; так, в Bitdefender идентифицировали несколько бинарников режима пользователя, предназначенных для загрузки вредоносных драйверов. Последних, по оценкам, должно быть четыре, но экспертам попалось только два образца — PacSys (доставляет скрипт автонастройки прокси) и Up.sys (загружает и запускает некий исполняемый файл).

Каким образом операторам удалось раздобыть цифровую подпись Microsoft, чтобы беспрепятственно внедрять FiveSys на Windows-машины, установить не удалось. Эта подпись WHQL (Windows Hardware Quality Labs) удостоверяет, что продукт успешно прошел тестирование в специализированной лаборатории и будет стабильно работать на любом оборудовании Windows.

Компания с 2016 настаивает на том, чтобы все драйверы, выпускаемые для ее ОС, имели WHQL-подпись. Однако практика показала, что это препятствие можно обойти — достаточно вспомнить недавний инцидент с Netfilter.

Эксперты сообщили в Microsoft о новой находке, и скомпрометированную подпись уже аннулировали. Отчет по итогам исследования Bitdefender доступен (PDF) на сайте компании.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru