Управление системами фильтрации электронной почты и веб-трафика

ИБ-аутсорсинг
на базе DLP-системы

СёрчИнформ КИБ
30 дней для тестирования ИБ-аутсорсинга ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Задача фильтрации электронной почты является актуальной и для государства, и для компаний. На уровне государства она это позволяет повысить уровень безопасности граждан, обеспечить защиту от киберугроз. На уровне компаний – снизить риски утечки конфиденциальных данных, пересылаемых недобросовестными сотрудниками по электронной почте.

Что такое система фильтрации электронной почты?

Использование электронной почты в государственной организации или компании связано с двумя угрозами – утечкой данных и проникновением в локальную информационную сеть вирусов, способных навредить данным и оборудованию, на котором они хранятся.

Проблема вирусов

Эпидемии вирусов происходят все чаще. Они могут на долгие сроки вывести из строя серверы, зашифровать или уничтожить информацию. В 2019 году компьютеры по всему миру атаковали трояны, способные полностью заменить библиотеку данных собственной информацией. 
Зловреды попадают на компьютер или мобильный разными способами. Зачастую пользователи загружают вредоносный файл на устройства при скачивании непроверенных программ или при получении по электронной почте письма с вредоносным вложением. Оно может открываться непроизвольно, и в итоге для возвращения права работать с информацией жертве приходится заплатить вымогателям. 

Проблема утечек

Фильтрация электронной почты в компаниях является необходимой мерой профилактики утечек информации, поскольку через почтовые ящики часто бесконтрольно передаются большие объемы ценных данных. Так утекают сведения о клиентах банков и салонов сотовой связи, которые затем передаются конкурентам или выставляются на продажу на площадках в даркнете. Борьба с утечками в большинстве компаний ведется на уровне организационных мер, разграничения доступа пользователей, но логины и пароли нередко передаются сотрудниками друг другу для упрощения работы, проконтролировать ситуацию и выявить действительного виновника крайне сложно. Необходимы специализированные программы, позволяющие обеспечивать фильтрацию электронной почты. 

Средства борьбы

Иногда организации не готовы идти на усиление защиты специальными программными средствами, считая их лишними расходами.

Антивирусы и блокировщики электронной почты, по мнению службы безопасности, могут полностью обезопасить компанию. 

Иногда СБ не учитывает, что специализированный софт решает задачи лучше:

  • минимизирует финансовые потери, возникающие от действия вирусов или утечек информации;
  • защищает данные от утраты или искажения;
  • помогает выполнить требования регуляторов, касающиеся защиты персональных данных клиентов.

Программы, позволяющие фильтровать почту, действуют по принципу анализа контента – ищут пакеты, содержащие слова, ранее введенные в текстовый анализатор. 

При подборе нужной программы консультанты, помогающие клиенту, дополнительно обеспечивают: 

  • аудит системы защиты от утечек и проникновения вирусов, выявление недостатков;
  • выработку рекомендаций, как обеспечить нужный уровень безопасности для конкретной организации с учетом ее матрицы угроз;
  • подбор нужной программы и ее настройку согласно задачам компании;
  • техническое сопровождение.

Основными предложениями для внедрения на российском рынке являются продукты компании Cisco. Фильтрацию электронной почты обеспечивает Cisco Email Security Appliance (ESA), а дополнительную защиту в виде фильтрации доступа предлагает Cisco ASA с сервисами Firepower, FTD. Эти программные продукты помогут обеспечить защиту всех используемых каналов коммуникации, почта будет ограждена от спама и вирусов.

Комплексным решением станет внедрение DLP-системы. Она объединит возможности различных продуктов и не только отфильтрует веб-трафик электронной почты, но и заблокирует передачу конфиденциального контента.

Системы веб-фильтрации

Часто источниками опасности для информационных систем становятся отдельные вредоносные сайты. Пользователи, посещая их, не только получают доступ к запрещенному контенту, например, нарушающему законодательство о защите авторских прав, но и иногда самостоятельно скачивают файлы, содержащие вредоносные программы. Такие программные продукты могут быть выполнены в различных версиях:

  • утилиты – вспомогательные программы, предназначенные для решения стандартизированных задач;
  • дополнения для браузеров;
  • прикладные программы (приложения);
  • дополнения к интернет-шлюзам;
  • облачные сервисы.

Все типы ПО ограничивают доступ к сайтам, на которых есть риск нахождения вирусов. Они предотвращают заход на фишинговые сайты, созданные мошенниками как аналоги реально существующих и предназначенные для сбора паролей и других данных пользователей. Но они могут использоваться и для других целей, в рамках компании программы решают задачи ограничения для сотрудников возможности посещать сайты, определяемые политиками безопасности. Обычно это:

  • сайты развлекательного характера;
  • социальные сети;
  • сайты конкурентов.

Но если сотрудник использует на рабочем месте собственное мобильное устройство с выходом в Интернет через Wi-Fi или иными способами, такое ограничение не решит задач, поставленных перед ним службой безопасности. Корпоративные мобильные устройства должны подключаться к единой системе безопасности компании, позволяющей контролировать данные, передаваемые по каналам электронной почты и с таких устройств, даже в ситуации использования пользователями прокси-серверов.

Средства интернет-фильтрации на первом этапе своего развития использовали механизм сверки запрашиваемых URL-адресов со своей базой и введенными вручную сетевыми администраторами черными списками методом регулярных выражений. По мере развития нейтронных сетей и технологий машинного обучения к методикам добавились распознавание образа и анализ языка. Это позволяет осуществлять фильтрацию не только по адресу сайта, но и на основании анализа всей размещенной на нем информации. Программы находят ключевые слова или поисковые фразы, и, если их процент превышает допустимый изначально заданными параметрами, доступ к странице и исходящий от нее веб-трафик блокируются.

Дополнительные функции продвинутых версий таких программ:

  • проверка данных, передаваемых по защищенному HTTPs-трафику;
  • надежность SSL-сертификатов.

Точная настройка интернет-фильтра позволит проверить и исходящий веб-трафик, выявив в нем определенный контент, и заблокировать передачу.

Среди популярных решений:

  • Traffic Inspector – обеспечит комплексную безопасность веб-трафика, отфильтрует и входящий контент, и сведения, направляемые по каналам электронной почты. Имеет сертификаты ФСТЭК РФ. Traffic Inspector Next Generation – новое поколение ПО. Она не только проконтролирует контент, передаваемый по каналам электронной почты, но и минимизирует риск внешних атак;
  • SkyDNS – простой в управлении облачный сервис с минимальными настройками. Гарантирует фильтрацию доступа в Интернет по контентному признаку.

При выборе программы следует ориентироваться на следующие параметры:

  • цена решения;
  • объем функций и наличие возможности контентной фильтрации;
  • наличие сертификатов, если есть необходимость обеспечить сохранность персональных данных.

На общероссийском уровне

Не только компании, но и государство иногда нуждается в фильтрации информации, передаваемой по каналам электронной почты. Создание системы фильтрации интернет-трафика, проходящего через каналы электронной почты и мессенджеры, стало одной из приоритетных задач правительства, существующей в рамках реализации программы «Цифровая экономика». Программа утверждена в 2017 году, на 2019-2020 годы она предусматривает разработку и внедрение Национальной системы фильтрации интернет-трафика (НаСФИТ). Инициаторами внесения этого проекта стали сенатор Елена Мизулина и неправительственная организация «Лига безопасного интернета».

Правительство должно выделить ресурсы, и к 2020 году система заработает в полную силу. Она решит следующие задачи:

  • защита детей от вредоносного контента, деструктивных сект, иных способов вовлечения в незаконную деятельность, ограничивая доступ в Интернет;
  • выявление данных, угрожающих безопасности государства.

Система может работать на двух уровнях, осуществлять фильтрацию трафика только в образовательных учреждениях и осуществлять мониторинг переписки по электронной почте, в мессенджерах и социальных сетях в пределах всего Рунета. Во втором случае требуется привлечение большого объема ресурсов. Предлагается также реализовать принцип «белых сайтов», посещение которых доступно для всех, и ресурсов ограниченного доступа, для посещения которых нужно будет писать заявление провайдеру. Пока информации о ходе реализации программы нет, эксперты предполагают, что сроки ее введения в действие будут отодвинуты.

На любом уровне управление системами фильтрации почтового трафика включает в себя постановку задачи и выбор программного решения. Успех всецело зависит от профессионализма ИТ-служб.

05.12.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними