Спам, вирусы, фишинг, вложенные файлы, содержащие вредоносные программы, и другие угрозы — для их обнаружения и блокирования предназначены специальные средства защиты. Однако проблема в том, что поверхности атаки и векторы угрозы не статичны. Новые способы проникновения в системы электронной почты постоянно обнаруживаются и блокируются в течение нескольких часов, но если защита не обновляется своевременно, то ваши серверы электронной почты почти наверняка будут поражены. Перспективными выглядят веб-службы, выполняющие очистку входных потоков электронной почты, поскольку они быстрее развиваются и обеспечивают защиту. Прекрасно, если вы можете использовать веб-службу; хуже, если ваши возможности ограничиваются локальными программами.
В статье, опубликованной Microsoft в дневнике Office, Leading the way in the fight against dangerous email threats (https://blogs.office.com/2016/01/14/leading-the-way-in-the-fight-against-dangerous-email-threats/), автор вспоминает о дискуссии, состоявшейся в сентябре 2012 года. После нее компания объявила о прекращении выпуска локальных продуктов для защиты электронной почты, в том числе Threat Management Gateway (TMG) и Forefront Protection для Exchange (FPE).
В то время я пришел к заключению, что у этого решения есть как положительные, так и отрицательные стороны. Я доказывал, что мир антивирусных программ изменился, и «важнее распознавать пути мутации угроз через методы социальной инженерии и маскировки». Также я утверждал, что нейтрализации угроз проще всего добиться в централизованной среде, такой как Office 365.
С тех пор я не увидел существенных изменений. Мы по-прежнему под угрозой. Она постоянно меняется, и на нас накатывают волны спама, фишинга и атак с использованием методов социальной инженерии.
Произошло следующее: Microsoft отказалась от многих традиционных методов, применявшихся для обнаружения и перехвата вредоносных программ, сосредоточившись на использовании огромных ресурсов Office 365 для возведения еще более хитроумных барьеров против новых векторов угроз.
В публикации Microsoft объясняется, как меняются некоторые методы и развиваются новые технологии. Обратимся к расширенной защите от угроз Advanced Threat Protection (ATP), методу обнаружения и анализа подозрительных вложений перед блокированием содержимого или передачей их пользователю. Некоторые специалисты критикуют ATP в основном из-за задержек в доставке сообщений, которые могут возникнуть, пока ведется проверка. Microsoft превратила процесс в «динамический», поставляя вместе с сообщением заменяющие файлы на время проверки настоящего вложения в фоновом режиме.
Мне понравилась идея автоматической очистки Zero-Hour Auto Purge (ZAP). Она направлена на борьбу с атаками, в которых используется новый метод, не обнаруживаемый существующими на данный момент проверками. ZAP автоматически удаляет сообщения, которые считает содержащими не устраненные пока угрозы, из почтовых ящиков пользователей, а также заменяет ранее удаленные сообщения, которые считались потенциально опасными. Полезно автоматизировать этот процесс, поскольку в противном случае администраторам придется использовать, например, команду Search-Mailbox для поиска и удаления элементов из почтовых ящиков.
Кроме того, имеет смысл обратиться к MailTips (или советам по безопасности) в OWA, чтобы помочь пользователям в обработке сообщений. Это актуально в том случае, если они примут совет к сведению. Другая возможность OWA — отчеты о сообщениях фишинга (отправители которых просят выслать им конфиденциальную информацию).
Я не уверен в необходимости защиты от фишинга с использованием внутренних адресов, надежность которой, как утверждается, возросла на 500% (то есть вовсе отсутствовала в прошлом?). Приведенный в публикации пример абсурден, поскольку я не могу представить себе финансового директора, спешно переводящего сумму в 25 тыс. долл. в ответ на письмо от главного управляющего. В большинстве компаний действуют строгие процедуры, позволяющие предотвратить такие происшествия, но, думаю, совсем избежать их нельзя. Поэтому хорошо, что мощь Больших Данных привлечена, чтобы помешать руководителям совершить глупейшие ошибки.
Конечно, сотрудники, ответственные за эксплуатацию локальных серверов Exchange, могут поинтересоваться, получат ли они какую-нибудь выгоду от проделанной работы. Отвечаю коротко: нет, по крайней мере ощутимой практической пользы не будет. Exchange 2013 и Exchange 2016 по-прежнему располагают защитой от вредоносных программ, но далеко не на уровне, доступном в Office 365.
Огромная потребность в ресурсах — одна из причин отставания локальных решений. Например, рассмотрим проверку подозрительных вложенных файлов. Удастся ли выделить достаточное количество локальных ресурсов для перехвата входящих вложенных файлов, которые могут содержать новые угрозы? Вряд ли на этот вопрос можно ответить утвердительно.
Локальные серверы по-прежнему могут оснащаться традиционными антивирусными решениями для защиты пользователей. Однако подозреваю, что в долгосрочной перспективе мы будем направлять входящую почту через «облачную» санитарную службу, так же как Exchange Online Protection используется в гибридных вариантах Exchange сегодня.
Учитывая масштаб современных угроз и скорость их изменения, наиболее перспективным выглядит использование централизованных антивирусных служб. Простые проверки для обнаружения таких вирусов, как I Love You (https://en.wikipedia.org/wiki/ILOVEYOU), в свое время оживившие этот рынок, более не обеспечивают достаточную защиту.