Топ 6 лучших подходов сфере безопасности электронной почты для защиты от фишинговых атак и от компрометации корпоративной электронной почты
advanced threat protection, exchange online protection, security, информационная безопасность
Большинство кибератак начинается с электронной почты – пользователя обманом заставляют открыть вредоносное вложение, нажать на опасную ссылку и раскрыть свои учетные данные или отправить конфиденциальные данные в ответ. Злоумышленники обманывают своих жертв с помощью писем по email с тщательно продуманным содержимым, создавая ложное чувство доверия и / или срочности. Для этих целей они используют различные приемы – подделывают доверенные домены или бренды, выдают себя за известных пользователей, используют ранее скомпрометированные контакты для запуска кампаний и / или убедительный, но вредоносного контент в электронном письме. В контексте организации или бизнеса, целью злоумышленников может стать любой пользователь. В случае взлома такой сотрудник послужит каналом для потенциального нарушения, что может обойтись бизнесу очень дорого.
Независимо от типа кибератак, будь то изощренные межгосударственные атаки, целевые схемы фишинга, компрометация корпоративной электронной почты или атаки программ-вымогателей, количество таких атак стремительно растет, а хакеры используют все более изощренные схемы. Поэтому для каждой организации крайне важно в свою стратегию безопасности включать надежное решение для защиты электронной почты.
Итак, что же самое важное для IT-специалистов и команд по обеспечению безопасности в решениях для защиты всех своих пользователей, от рядовых сотрудников до высшего руководства? Вот 6 советов, которые помогут вашей организации обеспечить надежную защиту электронной почты:
Вам нужно многофункциональное, адаптивное решение для защиты организации
По мере развития решений для обеспечения безопасности злоумышленники также быстро адаптируют под них свои методологии, стремясь оставаться незамеченными. Все более популярными становятся полиморфные атаки, нацеленные на обход обычных защитных мер. Поэтому организациям нужны решения, которые, помимо основных векторов атак, фокусируются на атаках нулевого дня и на целевых атаках. Проверки безопасности, основанные исключительно на стандартах или известных сигнатурах и репутации, в таком случае не помогут.
Для обнаружения атак, основанных на полезной нагрузке, нужны особые решения, которые включают широкие возможности детонации для файлов и URL-адресов. Расширенные модели машинного обучения, которые рассматривают содержимое и заголовки электронных писем, а также шаблоны отправки и графики связи, важны для предотвращения широкого спектра векторов атак, включая векторы без полезной нагрузки, такие как компрометация корпоративной электронной почты. Возможности машинного обучения значительно расширяются, когда источник воздействующего на него сигнала широкий и богатый. Поэтому следует отдавать предпочтение решениям, которые могут похвастаться обширной базой сигналов безопасности. Это также способствует обучению самого решения и его быстрой адаптации к изменяющимся стратегиям атак. Это особенно важно в условиях часто меняющегося ландшафта угроз.
Сложность создает проблемы. Простая в настройке и обслуживании система снижает вероятность взлома
Сложные потоки электронной почты могут содержать движущиеся части, которые трудно поддерживать. Например, сложные потоки маршрутизации почты для включения защиты для внутренних конфигураций электронной почты могут создавать проблемы соответствия требованиям и безопасности. Продукты, для работы которых требуется ненужный обход конфигурации, также могут создавать некие пробелы в безопасности. Например, конфигурации, которые используются для гарантии доставки определенных типов электронных писем (например, имитационные электронные письма), часто плохо продуманы и могут использоваться хакерами как слабое место.
Решения, которые защищают электронную почту (внешнюю и внутреннюю) и полезны без сложных конфигураций или потоков электронной почты – большое преимущество для организаций. Кроме того, следует подбирать решения, которые простыми способами устраняют разрыв между командами безопасности и командами обмена сообщениями. Последние часто преследуют цель: гарантировать доставку почты. Из-за этого они создают правила обхода с чрезмерными разрешениями, что плохо сказывается на безопасности. Чем раньше такие проблемы будут обнаружены, тем лучше это повлияет на общую безопасность. Решения, которые предоставляют в подобных случаях информацию специалистам по безопасности, могут значительно сократить время, необходимое для исправления таких недостатков. Тем самым снижается риск дорогостоящего взлома хакерами.
Кибератаки неизбежны – это лишь вопрос времени. Проверьте, чтобы у вас были настроены функции обнаружения и устранения угроз после доставки
В векторе предотвращения угроз безопасности ни одно решение не гарантирует эффективность на 100%, поскольку хакеры постоянно меняют свои методы работы. К любым противоположным утверждениям относитесь скептически. Согласие с менталитетом «предположить нарушение» гарантирует, что основное внимание будет уделяться не только предотвращению, но и эффективному обнаружению и реагированию на угрозы. Когда атака проходит через барьеры защиты, крайне важно, чтобы службы безопасности быстро обнаруживали нарушение безопасности, всесторонне идентифицировали любое потенциальное воздействие и эффективно устраняли угрозу.
Решения, которые предлагают сценарии для автоматического расследования предупреждений, анализа угрозы, оценки воздействия и принятия (или рекомендации) действий по устранению последствий, играют решающую роль для эффективного и действенного реагирования. Кроме того, командам IT безопасности нужен богатый опыт расследования и поиска, чтобы в теле электронного письма легко идентифицировать конкретные индикаторы взлома или другие сущности. Проверьте, чтобы ваше решение позволяло службам безопасности выявлять угрозы и легко их устранять.
Еще один важный компонент эффективного реагирования ¬- обеспечение службам безопасности надежного источника сигналов о том, что видят в своих почтовых ящиках конечные пользователи. Ключевой момент – удобный способ для конечных пользователей сообщать о проблемах, которые автоматически запускают программы безопасности.
Ваши пользователи – это мишень для хакеров. Вам нужна постоянная модель, которая будет работать для повышения осведомленности и готовности пользователей к атакам
Информированные и осведомленные сотрудники могут существенно сократить количество случаев нарушения безопасности через атаки по электронной почте. Любая стратегия защиты не будет считаться полноценной, если не уделять внимание повышению уровня осведомленности конечных пользователей.
Ключевой компонент этой стратегии – повышение осведомленности пользователей с помощью симуляторов фишинга, обучение их тому, на что следует обращать внимание в подозрительных электронных письмах, чтобы пользователи не стали жертвами реальных атак. Другой, часто упускаемый из виду, но не менее важный компонент этой стратегии – обеспечить возможность повседневным приложениям конечных пользователей способствовать повышению их осведомленности. Для пользователей очень важны решения, которые дают релевантные подсказки, предлагают простые способы проверки достоверности URL-адресов и упрощают отправку сообщений о подозрительных электронных письмах в приложении. Все это не должно снижать производительность.
Ключевую роль играют решения, у которых есть возможности моделирования фишинга. Подбирайте решения с глубокой интеграцией электронной почты с клиентским приложением. Это позволяет пользователям просматривать исходный URL-адрес, скрытый за любой ссылкой, независимо от способа защиты. Так пользователи могут делать обоснованные выводы. Также важны подсказки или советы для повышения осведомленности пользователей о данном электронном письме или сайте. Кроме того, очень важны простые способы оповещения о подозрительных электронных письмах, которые, в свою очередь, автоматически запускают рабочие процессы в ответ.
Хакеры подлавливают пользователей там, где их активность самая высокая. По такому же принципу должна работать и ваша система безопасности
Пока фишинг через email является главным вектором атак, злоумышленники и фишинговые атаки будут направлены на те места, где пользователи организовывают совместную работу, общаются и хранят свою конфиденциальную информацию. Поскольку набирают все большую популярность формы обмена, совместной работы и общения, отличные от электронной почты, также возрастает число атак, нацеленных на эти векторы. Поэтому важно, чтобы стратегия организации по борьбе с фишингом не фокусировалась только на электронной почте.
Проверьте, чтобы выбранное вами решение обеспечивало целевые возможности защиты для служб совместной работы, которые используются в вашей организации. Такие возможности, как детонация, которая проверяет подозрительные документы и ссылки при совместном использовании, критически важны для защиты пользователей от целевых атак. Проверка ссылок при клике в клиентских приложениях обеспечивает дополнительную защиту независимо способа доступа к контенту. Ищите решения, в которых реализованы такие возможности.
Злоумышленники мыслят не узко. Решения для защиты должны это учитывать
Хакеры ориентируются на самое слабое звено в защите организации. Они выискивают первоначальную уязвимость для входа в систему, а затем, оказавшись внутри, ищут различные способы масштабировать и усилить свое влияние. Обычно они добиваются цели, пытаясь скомпрометировать других пользователей, перемещаясь внутри среды организации, повышая, по возможности, свои привилегии, и, наконец, достигая критически важной системы или репозитория данных. По мере укрепления своего влияния в среде организации они доберутся до различных конечных точек, удостоверений, почтовых ящиков и служб.
Условия для снижения воздействия таких атак – быстрое обнаружение и реагирование. Это возможно лишь тогда, когда защита этих систем не действует узко. Вот почему так важно иметь комплексное представление о решениях безопасности. Ищите решение для защиты электронной почты, которое хорошо интегрируется с другими решениями безопасности, такими как защита конечных точек, CASB, защита личных данных и т. д. Обращайте внимание на многофункциональность интеграции, выходящую за рамки интеграции сигналов, а также сильную с точки зрения потоков обнаружения и ответа.