Защита экосистем электронной почты. Четыре основные тактики

Известный эксперт в области кибербезопасности Кейт Ибаргуэн рассказывает об основных правилах организации безопасной корпоративной электронной почты.

Защита экосистем электронной почты. Четыре основные тактики

Сегодня слишком часто компании организуют экосистемы электронной почты, которые они не готовы безопасно использовать. Поскольку безопасность электронной почты — это постоянно меняющийся ландшафт, компании должны начать с концентрации внимания на наиболее важных проблемах в этом ландшафте киберугроз, рассказал на страницах Securityweek Кейт Ибаргуэн (Keith  Ibarguen) [1], директор по продуктам Cofense.

Какие же угрозы сегодня являются наиболее актуальными и насущными для экосистемы электронной почты организации? Согласно данным Центра защиты от фишинга Cofense, наиболее распространенными с 2021 года здесь являются три типа атак:

  • Фишинг учетных данных
  • Компрометация деловой электронной почты (BEC)
  • Вредоносное ПО
BEC (Business Email Compromise) – фишинговые аферы с использованием электронной почты. Цель BEC – обманом заставить людей совершить платеж или предоставить злоумышленнику конфиденциальную информацию.

По данным аналитиков Cofense, фишинг учетных данных составляет около 70% всех атак, при этом BEC отстает от них всего лишь на 7%, а остальная часть приходится на вредоносное ПО (наряду с некоторыми другими малочисленными угрозами). Если сопоставить эти цифры с потерями компаний от успешных фишинговых атак с учетными данными, станет ясно, что защита от этих атак должна быть главным приоритетом. Это, конечно же, не означает, что атаки BEC и вредоносного ПО не нужно останавливать.

Успешные атаки на почту, как и последующие атаки программ-вымогателей, часто очень прибыльны для злоумышленника и ужасно болезненны для жертвы. Для всех трех видов атак существует несколько основных тактик, которые компании должны использовать, чтобы обеспечить защиту своей экосистемы электронной почты.

  1. Обучение пользователей

Фишинговые атаки с учетными данными направлены на кражу имен пользователей и паролей и чаще всего выполняются с использованием поддельных представлений реальных страниц входа. Поэтому обучение пользователей имеет решающее значение и является первым и основным шагом к обеспечению безопасности предприятия. Обучение реальным навыкам здесь имеет ключевое значение, поскольку в отрасли существует тенденция концентрироваться на объеме, а не на качестве. Другими словами, не тратьте время своих сотрудников на неактуальные обучающие симуляции, важнее помочь им добраться до сути необходимых знаний.

Это правило также верно и в отношении угроз BEC и вредоносных программ. Вложения от неизвестных отправителей всегда подозрительны, и тот, кто предлагает подарочные карты, банковские переводы или другие финансовые операции от имени руководства компании, никогда не должен оставаться без проверки. Все эти типы атак профилактируются в первую очередь обучением сотрудников.

  1. Формирование отчетов

Второй вариант подхода заключается в том, чтобы предоставить сотрудникам возможность сообщить об угрозе сразу, когда они ее заметят. Ваш центр управления безопасностью (SOC) не может реагировать на то, чего они не видят, поэтому возможность оперативного формирования и предоставления отчетов позволяет вашему SOC получать необходимую информацию о том, что приходит к сотрудникам по электронной почте. Системы отчетности жизненно важны для безопасности компании, поэтому выберите ту, которая проста в развертывании, поддерживает те платформы, которые используются в вашей организации, способна предоставлять обратную связь пользователям, когда они сообщают о симуляциях и, что наиболее важно, пересылает подозрительное электронное письмо в ящик SOC для анализа.

  1. Быстрый ответ

Третий подход заключается в создании потенциала быстрого реагирования, позволяющего быстро сориентироваться и отреагировать на реальную угрозу. Если вы можете одновременно идентифицировать «проблему» и реагировать на «проблему», тем самым нейтрализуя или ограничивая угрозу, ваша организация сможет пережить атаку. И дело здесь не ограничивается только сотрудником, обнаружившим потенциально вредоносное электронное письмо, – важно найти всех получателей этого электронного письма. Большинство атак отправляют в компанию более одного электронного письма, поэтому, если вы нашли одно, у вас, вероятно, есть и еще. Поиск других важен, поскольку вы не хотите, чтобы угрозы лежали в почтовых ящиках пользователей, как бомбы с часовым механизмом.

  1. Анализ после доставки

Наконец, программные возможности, которые могут развиваться и заблаговременно обнаруживать угрозы, еще больше снижают риск. Безопасные почтовые шлюзы или SEG — это один из эффективных методов, но мы постоянно наблюдаем, как угрозы проходят через эти шлюзы, что обуславливает необходимость анализа атак и возможностей реагирования на них. У каждой SEG на рынке сегодня есть недостатки, поэтому зачастую системы киберзащиты компании объединяют насколько почтовых шлюзов последовательно, чтобы повысить вероятность обнаружения угрозы. Решение для анализа атак после доставки, основанное на знаниях о том, что и как проходит через имеющиеся SEG, является более эффективным с функциональной точки зрения, а также более рентабельным в итоге.

Понимание компаниями наиболее распространенных киберугроз важно сегодня для того чтобы определить, куда компании направить свои ограниченные силы и ресурсы. Все типы атак по электронной почте опасны, но при наличии хорошо организованных возможностей обучения, отчетности, анализа, обнаружения и реагирования вы снижаете риск стать жертвой любого из имеющихся вариантов атак по электронной почте.

[1]Кит Ибаргуэн – директор по продуктам в Cofense с более чем 25-летним техническим и управленческим опытом. Работал на руководящих позициях в Агентстве национальной безопасности (США), а также сотрудничал с многочисленными некоммерческими и коммерческими компаниями.

По материалам Securityweek

 

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных