Обзор BI.ZONE Cloud Email Security & Protection 3.0, облачного сервиса защиты электронной почты

1. Введение
2. Функциональные возможности BI.ZONE CESP
3. Архитектура BI.ZONE CESP
4. Применение BI.ZONE CESP
5. Выводы

Введение

Спам и фишинг применяются злоумышленниками для атак на организации через пользователей, и почта часто становится исходной точкой взлома. По данным BI.ZONE, каждый третий работник переходит по фишинговым ссылкам. При этом, по информации из доклада «Cost of a Data Breach 2021», средний ущерб от атаки с помощью социальной инженерии составляет 4,47 млн долларов США.

Безопасность электронной почты — это комплекс мер и средств защиты от спама, фишинга и вредоносных программ. На рынке ИБ представлено много платформ подобного рода. Однако интеграция и эксплуатация платформы на стороне организации требуют вычислительных ресурсов для установки и настройки решения, а также времени на запуск системы защиты. Кроме того, для сопровождения платформы понадобится сотрудник, который умеет её администрировать. Поэтому MSS-провайдеры, в том числе и в России, предлагают услуги по защите электронной почты.

Мы сфокусируем внимание на облачной услуге для защиты электронной почты от спама, фишинга и вредоносных программ — BI.ZONE Cloud Email Security & Protection (CESP).

Функциональные возможности BI.ZONE CESP

BI.ZONE CESP позволяет блокировать вредоносную и нежелательную почту прежде, чем она достигнет сервера компании-заказчика.

Механизмы фильтрации BI.ZONE CESP:

• снижают нагрузку на почтовый сервер,
• анализируют SMTP-заголовки на предмет вредоносной активности,
• находят аномалии внутри HTML-разметки,
• противодействуют активности ботнетов,
• блокируют вредоносные программы,
• блокируют спам, используя машинное обучение,
• блокируют вредоносные ссылки, находящиеся внутри тела сообщения и во вложениях,
• выявляют известные индикаторы компрометации внутри письма.

Существует два варианта подключения сервиса электронной почты к BI.ZONE CESP:

• анализ только входящего почтового трафика;
• анализ входящего и исходящего почтового трафика.

Если клиент выбирает первый вариант, то подключение почтового сервиса к BI.ZONE CESP осуществляется в течение пары часов. Во втором случае длительность подключения увеличивается до нескольких дней и требуются изменения со стороны клиента.

В BI.ZONE CESP защита электронной почты от вредоносных вложений осуществляется на базе нескольких антивирусных ядер.

Для защиты от спама в BI.ZONE CESP применяется технология лингвистического анализа контента. Нежелательные письма отфильтровываются до их поступления на почтовый сервер, что снижает нагрузку на него.

Для защиты от фишинга в BI.ZONE CESP осуществляется анализ страницы, на которую ведёт ссылка. Строится лингвистическая самообучающаяся модель для анализа тем писем, формируется статистическая модель репутации отправителей. На базе внутреннего рейтинга принимается решение о блокировке.

Также в BI.ZONE CESP применяется технология Greylisting («серые списки»), что позволяет на время задерживать сообщения и отсеивать письма отправленные ботами.

BI.ZONE CESP проверяет URL, FQDN, почтовые и IP-адреса по обширной базе индикаторов компрометации BI.ZONE ThreatVision, а также использует широкий спектр динамических проверок содержимого сообщений: детектирует скомпрометированные цифровые отпечатки устройств, исследует HTML-разметку письма на скрытые тексты, ссылки, изображения, CSS и пр.

Для исходящего почтового трафика в BI.ZONE CESP выполняются проверки на предмет фишинга и спама, что позволяет выявить скомпрометированное устройство в инфраструктуре клиента и заблокировать рассылку.

Маскировка скрывает инфраструктуру, в том числе IP-адрес расположенного в ней сервера электронной почты, так что адресное пространство не попадёт в чёрные списки. Кроме того, сервис обеспечивает защиту от кибератак на пользовательские и серверные приложения электронной почты, совершаемых путём эксплуатации уязвимостей.

Функция доставки сохраняет очередь поступающих писем, когда почтовый сервер недоступен, а после восстановления его работоспособности повторно отправляет задержанную почту.

В рамках сервиса обеспечивается хранение писем в карантине: BI.ZONE CESP поместит туда сообщения, которые были помечены как опасные, и будет хранить их две недели. При этом служба будет присылать отчёты о письмах в карантине и пользователи смогут сами указывать, какие из них нужно доставить.

В рамках BI.ZONE CESP осуществляется обогащение политик через собственную платформу киберразведки (Threat Intelligence). TI-платформа BI.ZONE ThreatVision агрегирует информацию о потенциальных угрозах безопасности изо внутренних и внешних источников. По результатам анализа письмо получает в BI.ZONE CESP спам-рейтинг.

Архитектура BI.ZONE CESP

Подключение к сервису BI.ZONE CESP не требует вычислительных мощностей на стороне заказчика: все необходимые ресурсы находятся в облачной инфраструктуре компании BI.ZONE. Компании-клиенту нужно только настроить приём почты для своего домена.

Достаточно изменить в DNS-зоне MX-запись для почтового домена, указав IP‑адрес BI.ZONE CESP, чтобы входящая почта начала обрабатываться сервисом.

Рисунок 1. Архитектура BI.ZONE CESP

BI.ZONE CESP предоставляет распределённую и отказоустойчивую сеть фильтрации, а также команду инженеров, имеющих сертификаты в области информационной безопасности. Инженеры будут поддерживать механизмы фильтрации в актуальном состоянии, помогать в их настройке с учётом специфики почтового трафика, а также реагировать на инциденты в области производительности и доступности услуги.

Рисунок 2. Концептуальная схема работы BI.ZONE CESP

Проверка писем происходит в несколько этапов. По результатам каждого этапа BI.ZONE CESP автоматически принимает решение о том, пропускать письмо на следующий этап или нет.

На первом этапе фильтрации BI.ZONE CESP проверяет отправителя на предмет соблюдения базовых правил работы с SMTP (следование политикам DMARC, соответствие IP-адреса отправителя SPF-записи почтового домена, валидность DKIM-подписи, корректность проведения SMTP-диалога, правильность имени почтового сервера отправителя).

После того как отправитель пройдёт указанные проверки, BI.ZONE CESP примет письмо и начнётся процесс контентного анализа: лингвистическое исследование, проверка элементов HTML-разметки письма, валидация SMTP-заголовков, проверка FQDN / URL по серым спискам цифровых подписей DKIM, поиск FQDN- / URL- / IPv4-индикаторов по базе данных BI.ZONE ThreatVision, анализ URL на предмет фишинга, проверка частей письма с помощью Fuzzy Hash.

В рамках проверки письму может быть начислено некоторое количество баллов спам-рейтинга.

Проверка вложенных файлов, в том числе архивов (поддерживается распаковка до определённых степеней вложенности), на наличие вредоносного кода осуществляется многоэтапно. Если архив защищён паролем, BI.ZONE CESP попытается его подобрать, чтобы узнать, есть ли внутри вредоносная программа. Вначале отсеиваются объекты с подозрительными расширениями (.iso, .dmg, .exe, .rtf и др.). Затем выполняется проверка хеш-сумм вложений по базе данных индикаторов компрометации из BI.ZONE ThreatVision. За ней следует сигнатурное и эвристическое исследование вложения с помощью нескольких антивирусных ядер.

По итогам всех проверок каждому письму начисляется суммарное значение спам-рейтинга, с помощью которого BI.ZONE CESP предпринимает одно из действий:

• если спам-рейтинг ниже, чем порог «Не спам» для данной группы защиты, письмо доставляется;
• если спам-рейтинг выше, чем порог «Не спам», но ниже, чем порог «Спам», письмо доставляется с пометкой в теме;
• если спам-рейтинг выше, чем порог «Спам», письмо помещается в карантин.

Применение BI.ZONE CESP

Для управления ресурсами и просмотра статистики сервиса BI.ZONE CESP предусмотрен личный кабинет.

Рисунок 3. Авторизация в личном кабинете BI.ZONE CESP

В личном кабинете пользователю (здесь и далее речь идёт об ИТ- и ИБ-специалистах компании-клиента) доступны разделы «Статистика», «Журнал сообщений», «Управление списками», «Настройка» и «Мои отчёты».

В разделе «Статистика» на виджетах представлена аналитика по работе сервиса. Отображаются наиболее важные оперативные данные об общем количестве писем и о том, как BI.ZONE CESP их обрабатывает.

Рисунок 4. Раздел «Статистика» в личном кабинете BI.ZONE CESP

Выводимые сведения разнообразны: решения, которые были приняты в результате обработки писем; обнаруженные в письмах типы угроз, ввиду которых эти письма подверглись блокировке; топ отправителей, самые популярные адресаты, популярные страны отправителей и т. п.

Пользователю доступна фильтрация информации по защищаемым доменам и по времени (для отображения данных за нужный период).

Рисунок 5. Раздел «Статистика» в личном кабинете BI.ZONE CESP

В разделе «Журнал сообщений» можно ознакомиться с данными по обработанным письмам.

Рисунок 6. Раздел «Журнал сообщений» в личном кабинете BI.ZONE CESP

В центральной части интерфейса отображается основная аналитика по обработанным письмам.

На боковой панели справа выводится детальная информация о письме, в том числе сведения об отправителе и получателе, тема, спам-рейтинг, причина блокировки, статус доставки, время отправки и ответ почтового сервера, гиперссылки, обнаруженные в письме, в том числе во вложениях, валидация отправителя, данные обработки и подсчёта спам-рейтинга.

Пользователю доступны фильтры для поиска писем в списке сообщений.

Рисунок 7. Фильтры для поиска писем в разделе «Журнал сообщений» BI.ZONE CESP

Пользователь также может добавить отправителя в чёрный или белый список, отметить письмо как «спам» или «не спам», выполнить доставку письма из карантина.

Стоит отметить, что отображаются только служебные данные и сведения по обработке сообщения. Содержимое письма не показывается. Все письма, попавшие в карантин, размещаются в защищённом хранилище BI.ZONE.

В разделе «Управление списками» представлены чёрный и белый списки, которые служат для указания, соответственно, заведомо вредоносных и заведомо легитимных атрибутов письма.

Рисунок 8. Управление белым списком в BI.ZONE CESP

При обнаружении того или иного элемента списка в процессе фильтрации письму начисляется определённое значение спам-рейтинга.

Рисунок 9. Добавление записи в чёрный список в BI.ZONE CESP

Элементами чёрного и белого списков могут быть хеш-сумма файла (SHA-256), IP-адрес, URL, почтовый домен, почтовый адрес.

Одна из основных настроек обработки сообщений — группа защиты. От неё зависят пороговые значения спам-рейтингов, маркеры спама, почтовый адрес для уведомлений о поступлении нового письма в карантин, а также то, будут ли вложения проверяться на вирусы.

Рисунок 10. Добавление группы защиты в BI.ZONE CESP

В разделе «Мои отчёты» формируются сводки по работе сервиса. Можно сделать это однократно или настроить расписание, чтобы отчёты формировались с определённой периодичностью.

Рисунок 11. Формирование отчёта в BI.ZONE CESP

Отчёт отправляется на указанные адреса электронной почты. Пример сформированного отчёта представлен ниже.

Рисунок 12. Пример отчёта BI.ZONE CESP

Выводы

BI.ZONE Cloud Email Security & Protection 3.0 (CESP) — облачный сервис для многоуровневой защиты электронной почты от спама, фишинга и вредоносных программ. Позволяет блокировать вредоносную и нежелательную почту прежде, чем она достигнет сервера компании. Сервис проверяет URL, FQDN, почтовые и IP-адреса по обширной базе индикаторов компрометации, а также использует широкий спектр динамических проверок содержимого письма.

Вся инфраструктура BI.ZONE CESP расположена в облаке. Такой подход позволяет достичь значительной экономии, ведь клиент BI.ZONE CESP может использовать более производительную инфраструктуру и ресурсы, нежели те, которые он способен развернуть локально. При этом для обслуживания BI.ZONE CESP клиенту не понадобится выделять специалистов со своей стороны. Отпадает потребность во внедрении системы безопасности «на местах» и её дальнейшем обслуживании (обновления, апгрейды, дополнительное администрирование и пр.).

Все угрозы отфильтровываются в облаке BI.ZONE, не доходя до корпоративной сети клиента, что существенно снижает риски для безопасности со стороны электронной почты.

При обработке почтового трафика отображаются только служебные данные, содержимое письма недоступно. Тем самым обеспечивается конфиденциальность переписки.

Достоинства:

• Российская платформа — сервис BI.ZONE CESP внесён в реестр отечественного ПО.
• Оперативное и гибкое развёртывание по модели SECaaS.
• Техническая поддержка в режиме 24×7.
• Настройка правил фильтрации с учётом специфики почтового трафика домена обеспечивается экспертами BI.ZONE.
• Защита от активности ботнетов, вредоносных программ и спама.
• Постоянное пополнение базы угроз TI-платформы BI.ZONE ThreatVision, по которой проводится анализ данных.

Недостатки:

• Доступность сервиса корпоративной почты зависит от устойчивости функционирования инфраструктуры MSS-провайдера.
• Отсутствует поддержка локальных и гибридных схем интеграции для защиты электронной почты.