BI.ZONE CESP
Cloud Email Security & Protection
Сервис BI.ZONE CESP позволяет избавить организации любых размеров и сфер деятельности от проблемы защиты электронной почты и гарантирует строгое выполнение SLA.
Предотвращает попадание вирусов, используя для проверки несколько антивирусных движков
Распознает рассылки спама, проводит лингвистический анализ контента и фильтрует нежелательные письма до их поступления на почтовый сервер, тем самым снижая нагрузку на него
Проверяет сообщения исходящей почты на предмет фишинга или спама, что позволяет выявить скомпрометированное устройство в инфраструктуре и заблокировать рассылку
Поддерживает технологию Greylisting («серые списки»), что позволяет на время задерживать сообщения и отсеивать письма, отправленные ботами
Обнаруживает фишинговые ссылки путем анализа страницы, на которую ведет ссылка, строит лингвистическую самообучающуюся модель для анализа тем писем, формирует статистическую модель репутации отправителей и на базе внутреннего рейтинга принимает решение о блокировке
Проверяет индикаторы FQDN/URL/IPv4 по базе данных BI.ZONE ThreatVision, детектирует скомпрометированные цифровые отпечатки устройств, исследует HTML-разметку письма на скрытые текст, ссылки, изображения, CSS-ссылки и пр.
Преимущества
Будем непрерывно анализировать ваш входящий и исходящий почтовый трафик, чтобы выявлять вредоносные письма при минимальном количестве ложных срабатываний
Снимем с вас вопросы настройки и управления BI.ZONE CESP, обеспечим поддержку инфраструктуры, настройку политик защиты и управление доменами
Решим проблему потерянных сообщений: BI.ZONE CESP сохранит очередь поступающих писем, когда ваш почтовый сервер недоступен, а после восстановления его работоспособности повторно отправит задержанную почту
Скроем вашу инфраструктуру, в том числе IP-адрес расположенного в ней сервера электронной почты, за BI.ZONE CESP, что позволит избежать попадания адресного пространства в черные списки
Личный кабинет
Наши проекты
СДЭК входит в пятерку лидеров на рынке экспресс‑доставки в России: компания обрабатывает около 300 тысяч заказов в сутки.
Критически важный инструмент бизнеса для СДЭК — электронная почта. Чтобы помогать клиентам и быть на связи с партнерами, сотрудники компании ежедневно разбирают 50 тысяч писем.
BI.ZONE CESP защитил корпоративную почту СДЭК от киберугроз.
Почта — один из основных векторов компрометации инфраструктуры. Дело в том, что успех email‑атак зависит от человеческого фактора, а он причина 95% случаев нарушения кибербезопасности. У СДЭК 30 тысяч почтовых ящиков, поэтому рано или поздно кто‑то из сотрудников почти наверняка открыл бы вредоносное письмо.
Компания решила защитить электронную почту и провела пилотирование иностранного продукта, но вендор ушел с российского рынка. В итоге безопасность почты оказалась под угрозой.
У оператора экспресс‑доставки была неделя, чтобы перейти на другой продукт.
Всего за 2 дня наши специалисты подключили сервис BI.ZONE CESP. При этом от СДЭК не потребовалось выделять сотрудников и вычислительные ресурсы, а стоимость решения оказалась в 2 раза ниже стоимости зарубежного, на котором проводили пилотный проект.
Мы настроили мониторинг потока сообщений для 30 тысяч почтовых ящиков и защитили компанию от следующих видов угроз:
- фишинга
- спама
- вредоносных вложений
- ботнет‑активностей
- писем с подменой email‑адресов
BI.ZONE CESP обеспечил надежную защиту корпоративной почты СДЭК: за 4 месяца сотрудники компании не получили ни одного потенциально опасного письма. Система отследила и заблокировала больше 1,8 млн вредоносных писем, которые могли нанести урон компании. Еще 3,3 млн спам‑сообщений попало в карантин, откуда получатель при необходимости мог запросить доставку любого письма.
Сервис выявил письма даже с такими вредоносными вложениями, которые не распознал ни один из десятков антивирусов на VirusTotal — популярном ресурсе, позволяющем проверять файлы на наличие зловредов. Доставка подобного письма пользователю могла привести к заражению рабочей станции и стать точкой начальной компрометации всей сети компании.
CTO «СДЭК Диджитал» Павел Куликов отметил:
«BI.ZONE пришла на помощь в достаточно сложной ситуации, когда мы могли остаться без почтовой защиты. Сервис подключили всего за 2 дня, что приятно удивило.
Команда BI.ZONE CESP показала себя профессионалами, готовыми разбираться в самых нестандартных ситуациях. Мы столкнулись с рядом задач по сложной настройке пересылки и переадресации писем, но в BI.ZONE быстро находили решения, которые соответствовали нашим ожиданиям. Хотя иногда легитимные письма попадали в карантин, их легко можно было из него достать, благодаря удобному механизму уведомления.
Но самое главное, что за все время работы с BI.ZONE CESP до наших сотрудников не дошло ни одного вредоносного письма. Спасибо ребятам за качественный сервис».
Сертификаты
Как попробовать
-
Мы подключим тестовый аккаунт на 30 дней
-
Поможем провести пилотирование
Вам также может подойти
Видео
Как защитить электронную почту: опыт СДЭК с BI.ZONE CESP
Запись вебинара от 15 декабря 2022 г.
#вебинар
Поговорили о защите электронной почты от популярных видов email‑атак. А коллеги из СДЭК поделились опытом внедрения нашего сервиса
Запись вебинара от 15 декабря 2022 г.
BI.ZONE CESP — облачный сервис защиты электронной почты
Запись вебинара от 9 апреля 2020 г.
#вебинар
Запись вебинара от 9 апреля 2020 г.
Публикации
|
Пользователи BI.ZONE CESP в безопасности: отражена новая атака по email
6 апреля 2023 г.
|
Читать |
Электронная почта — один из самых популярных векторов атак, поэтому ее защита является важным аспектом в стратегии безопасности компании. Число атак в интернете с каждым годом растет, а значит, и риск взлома или утечки конфиденциальных данных повышается. Поэтому выбор эффективных систем защиты так важен для безопасности компании.
Конечно, необходимо выбирать сложные пароли для почты и не забывать про алгоритмы шифрования. И то, и другое можно внедрить разными способами, например использовать программы, плагины или приложения, которые автоматически создают ключи и шифруют передаваемые данные. Однако этого может быть недостаточно: мошенники далеко не всегда взламывают электронную почту или перехватывают переписки. Злоумышленники часто выбирают другой подход — используют методы социальной инженерии, чтобы обмануть жертву и получить нужную информацию. Поэтому лучше, чтобы опасные сообщения просто не доходили до адресата. Специализированные сервисы помогают решить этот вопрос безопасности: они фильтруют трафик, чтобы во входящие не попадало ничего подозрительного.
1. Спам
Это нежелательная рассылка с сомнительным или рекламным содержимым. Спам не предполагает мошенничества и не содержит вложенное вредоносное ПО, которое может зашифровать данные или украсть пароли. Однако он бывает очень навязчивым и неприятным, часто отвлекает, усложняет поиск нужной информации.
2. Флуд
Email‑флуд — это массовая рассылка однотипных сообщений, часто просто с набором символов или слов. Флуд быстро засоряет электронную почту, из‑за чего пользоваться ею становится почти невозможно.
3. Вредоносные программы (malware)
Они выглядят как обычное вложение, но внутри — нелегитимное ПО, которое поможет злоумышленникам получить удаленный доступ к компьютеру адресата, скомпрометировать его персональные данные и нарушить работу системы. Вредоносы маскируются по‑разному: отображают иконку PDF‑файла вместо EXE, используют нестандартные или «безобидные» расширения — .pif, .vba, .cmd, .ps1, .doc, .xls, .jar, .pdf, .zip — и т. д.
4. Спуфинг
Это подделка электронных писем от легитимных отправителей. Мошенники выдают себя за надежный источник, чтобы вызвать доверие у пользователя и получить доступ к информации.
5. Компрометация сервера
В рамках этой атаки применяются эксплоиты. Это специальные программы (фрагменты кода или последовательность команд), которые позволяют использовать уязвимости конечного программного обеспечения. Цель — получить контроль над системой и выполнять различные нелегитимные действия, например, красть данные или изменять права и привилегии пользователя.
6. Компрометация корпоративного email (business email compromise, BEC)
BEC — это атака на получателей почты с помощью методов социальной инженерии. Злоумышленники завоевывают доверие сотрудника в переписке, а затем убеждают его выполнить нелегитимные действия.
Для разных типов угроз подойдут разные рекомендации.
Спам, флуд. Выполнить конфигурацию параметров защиты на сервере электронной почты и в настройках доменной зоны / DNS‑сервера: DKIM, DMARC, ARC, SPF, PTR, RBL, whitelisting/blacklisting/greylisting.
BEC, спуфинг. Разработать для почтового сервера программные дополнения профилирования отправителя и поведенческого анализа писем, а для спуфинга — и сигнатурного.
Вредоносы. Установить антивирусное ПО на конечных устройствах.
Компрометация сервера. Настроить на межсетевом экране политику безопасности входящих сетевых пакетов, регулярно обновлять серверное/пользовательское ПО.
Универсальная рекомендация — использовать специализированное решение по защите электронной почты, а также обучать сотрудников кибергигиене и закреплять навыки тренировками.
Особенное внимание стоит уделить защите от фишинговых атак, таких как BEC и спуфинг. Их успех зависит от действий сотрудников, то есть человеческого фактора, а он причина 95% нарушений кибербезопасности
Фишинг (от англ. phishing) — это группа кибератак, в которых применяют методы социальной инженерии, чтобы выдать мошеннические сообщения за легитимные и вызвать доверие получателя. В группу входят BEC, спуфинг, вишинг и другие виды киберугроз. Цель — подтолкнуть к действию, из‑за которого случится утечка конфиденциальной информации, например корпоративных паролей или данных карт.
Изначально к фишингу относили электронные письма с вредоносным ПО или ссылками на мошеннические сайты. Теперь фишеры — преступники, промышляющие фишингом — используют и другие способы, а также их комбинации:
- мошеннические СМС (смишинг),
- сообщения в мессенджерах или социальных сетях,
- поддельные веб‑ресурсы и рекламу в интернете,
- телефонные звонки (вишинг).
В ходе атаки злоумышленники манипулируют человеком, втираются в доверие, давят на эмоции. Вот примеры таких сценариев, основанных на эксплуатации чувств:
- Страх. Жертва получает уведомление, в котором сказано, что данные на компьютере будут уничтожены. Нужно перейти по ссылке, чтобы остановить процесс.
- Невнимательность. Пользователь не замечает ошибку в адресе отправителя:
sberbanck.ru,yadnex.ru. - Жадность. Человеку приходит купон на скидку 55% при оплате прямо сейчас.
- Раздражение. Получатель хочет отписаться от рассылки, а для этого нужно перейти по ссылке.
- Желание помочь. Сотрудник получает сообщение: «У вашего коллеги ошибка в отчетах, нужно срочно исправить. Подскажите номер его мобильного телефона».
- Авторитет, срочность. Якобы налоговая инспекция требует немедленно оплатить штраф.
Несмотря на многочисленные вариации, общая черта всех фишинговых атак — использование обмана для получения выгоды. Опишем несколько видов фишинга.
Адресный фишинг
Адресный фишинг отличается направленностью на конкретного человека или организацию, злоумышленники даже могут делать персонализированный контент. Подготовка такой кибератаки отнимает больше времени и усилий по сравнению с обычным фишингом: нужно знать имена, должности, email‑адреса и другую информацию.
Например, жертвой адресного фишинга может стать сотрудник, занимающийся авторизацией платежей: на почту придет якобы распоряжение от гендиректора перевести крупную сумму поставщику. Внутри — ссылка на поддельный сайт платежной системы, откуда средства уйдут на счета мошенников.
Обман 419, или «нигерийские письма»
Этот далеко не новый вид мошенничества появился в Нигерии в 1980‑х годах, еще до распространения интернета. Жертва получает сообщение от иностранца о крупной сумме денег, которую по какой‑то причине отправитель не может получить сам, и поэтому просит помочь за значительное вознаграждение. Деньги мошенники обычно получают одним из двух способов:
- просят номер счета получателя и обещают перевести туда средства, если жертва заплатит якобы комиссию;
- убеждают дать доступ к банковскому счету получателя.
Один из самых известных примеров — сообщение от имени нигерийского принца или другого высокопоставленного человека, которому срочно нужна помощь, чтобы вывести из Нигерии несколько миллионов долларов.
Такие фишинговые атаки также известны как «обман 419», потому что именно этот номер у статьи за мошенничество в УК Нигерии.
Телефонный фишинг
Включает в себя вишинг (голосовой фишинг) и смишинг. В первом используются телефонные звонки, а во втором — СМС‑сообщения.
Злоумышленники могут дополнительно подключать телефонный фишинг, чтобы повысить эффективность целевых атак: тогда сообщения на почту сопровождаются звонками и СМС.
Типичный пример голосового фишинга: мошенник представляется сотрудником полиции, налоговой или службы безопасности банка и начинает запугивать жертву. Например, сообщает, что банковский счет со всеми средствами заблокирован или пришло постановление, которое нужно срочно обжаловать. После этого злоумышленник пытается выведать паспортные и банковские данные или называет реквизиты, куда жертва должна перевести деньги для оплаты штрафа.
При фишинге размер организации и ее устойчивость к киберугрозам не имеют значения: фишеры получают данные обманом, а не пытаются найти брешь в периметре. Компания может внедрить разные меры безопасности — использовать средства защиты информации, подключаться к почте и другим ресурсам только через VPN, настроить двухфакторную аутентификацию — и все равно стать жертвой фишинга. Надежных паролей и антивирусных программ недостаточно — необходимо заботиться о системе безопасности на всех уровнях.
Печальный пример: в 2019 году злоумышленники смогли украсть почти 77 млн евро
Подобные ситуации лишний раз доказывают: современным организациям нужно учитывать риски, использовать все возможности для построения безопасности и противостоять фишингу как внутри периметра, так и за его пределами.
Сервис поможет выстроить защиту ящиков электронной почты от ряда угроз.
1. Активность бот‑сетей
Мошенники могут применять их для разных целей. Один из сценариев — исчерпание ресурсов email‑сервера, после чего он перестает получать сообщения.
2. Подмена email‑адресов
Пользователь может принять источник за доверенный и попасться на уловки мошенников: передать пароли для успешного прохождения аутентификации в сети компании, изменить настройки безопасности, дать доступ к конфиденциальной информации.
3. Отправка вредоносных вложений
Запуск вредоносного ПО грозит множеством проблем для IT‑инфраструктуры: распространением зловреда на всю внутреннюю сеть, шифрованием данных, взломом учетных записей и т. п.
4. Компрометация сервера
Она позволяет использовать уязвимости сервера электронной почты для нелегитимных действий. Например, можно удаленно исполнять команды, чтобы выкрасть данные или изменить уровень доступа пользователя.
5. Встраивание фишинговых ссылок
Переход по фишинговой ссылке часто заканчивается компрометацией учетных данных.
6. Отправка спама, флуд
Сотрудники получают нежелательный контент, который заполняет входящие и мешает рабочей переписке.
BI.ZONE CESP отфильтрует сообщения с подобным содержимым для безопасности почты, инфраструктуры компании и конфиденциальных данных.
Во время подключения мы настраиваем сервис под инфраструктуру заказчика: у каждого клиента разное количество почтовых ящиков, поэтому нагрузка на серверы BI.ZONE будет разная. Настройка необходима, чтобы балансировка трафика шла равномерно и все запросы обрабатывались.
После настроек системы почтовый трафик организации перенаправляется на сервис BI.ZONE CESP, и дальше выстраивается непрерывный процесс под управлением команды BI.ZONE:
- мы выявляем и отправляем в карантин нелегитимные сообщения,
- анализируем их,
- корректируем механизмы детектирования,
- создаем новые правила мониторинга.
Все механизмы фильтрации для анализа содержимого электронной почты основаны на машинном обучении. Поэтому первые несколько дней они могут работать не очень точно, пока не обучатся, и отправлять легитимную почту в карантин. В личном кабинете администратор BI.ZONE CESP может нажать кнопку «Это не спам», чтобы достать безопасное сообщение из карантина. Это поможет механизмам машинного обучения совершенствоваться, и такие ситуации больше не будут повторяться.
У нас есть круглосуточная техподдержка, которая постоянно следит за работой сервиса. В любой момент можно сообщить об инциденте, высказать пожелания по работе сервиса или проконсультироваться.
BI.ZONE CESP интегрирован с платформой BI.ZONE ThreatVision для получения данных об актуальных киберугрозах. TI‑платформа агрегирует информацию о потенциальных угрозах безопасности из внутренних и внешних источников (данные BI.ZONE и партнеров). По результатам ее анализа BI.ZONE CESP присваивает сообщениям спам‑рейтинг — показатель того, насколько они похожи на спам.
Платформа BI.ZONE ThreatVision собирает информацию об артефактах, которые были замечены в какой‑либо вредоносной деятельности. Наполнение и валидацию данных контролирует BI.ZONE‑CERT (computer emergency response team) — группа реагирования на компьютерные инциденты. Например, если криминалисты из BI.ZONE‑CERT провели исследование для одного из заказчиков и нашли семплы зловредных файлов, то все эти артефакты будут помещены в общую базу данных. BI.ZONE CESP тоже будет учитывать эту информацию при фильтрации, и если на сервер придет сообщение с похожими артефактами, то оно сразу уйдет в карантин.
Да, BI.ZONE CESP работает с серверами, которые применяют шифрование почтового сетевого трафика. Использовать зашифрованное соединение необходимо всегда, иначе посторонние могут перехватить сетевой трафик и получить доступ к конфиденциальной информации.
Между почтовым сервером отправителя и узлами фильтрации BI.ZONE CESP устанавливается защищенное соединение через протокол шифрования SSL/TLS. Только после этого происходит передача email‑сообщения: узлы фильтрации анализируют его и также в защищенном виде доставляют на сервер адресата.
Да, если почтовый сервер клиента поддерживает технологию STARTTLS: узлы фильтрации BI.ZONE CESP должны использовать для доставки отфильтрованной и легитимной электронной почты только соединение с шифрованием. Это дает возможность обезопасить сообщения от перехвата злоумышленниками: они смогут узнать только тип шифрования или приблизительное количество данных, но не увидят содержимое.
Нет, сервис не поддерживает такую технологию. Мы фильтруем сетевой трафик между серверами электронной почты и не устанавливаем на устройства пользователей никакое ПО. Поэтому не получится проверить сообщения, защищенные s/MIME — стандартом для шифрования и подписи с помощью открытого ключа.
Да, сервис поддерживает эту функцию: она позволяет устанавливать между почтовыми серверами только безопасные соединения — защищенные шифрованием.
Сервисная модель позволяет получить комплексную защиту электронной почты без выделения собственных специалистов и мощностей. Всю работу выполняет команда BI.ZONE: мы предоставляем инфраструктуру и оборудование, поддерживаем работоспособность и отказоустойчивость.