Serviciul de email este de foarte multi ani principalul mijloc de comunicare intr-o organizatie. Angajatii folosesc emailul pentru a comunica cu clienti, parteneri, vendori si cu alti colegi de-ai lor. Avand in vedere ca aproape toata lumea dintr-o organizatie foloseste serviciul emailul, acesta a devenit o tinta predilecta pentru atacatori. Emailul reprezinta principalul vector de atac folosit de hackeri pentru a ataca o companie, angajatii si datele lor. Email-ul este folosit de hackeri si ca un canal de distributie pentru a raspandi malware si continut malitios.
Email-ul este un serviciu vital pentru organizatie. De-a lungul timpului, el a evoluat pentru a indeplini noile cerinte de business prin adaugarea de noi functionalitati. Acum, cloud-ul a devenit noua casa pentru email. Organizatiile isi migreaza treptat serverele de email on-premises intr-o infrastructura de tipul as a Service (IaaS) sau adopa solutii de email cloud-native ca Microsoft 365 si Google Workspace.
In 2021 solutiile de securitate pentru email trebuie sa ofere protectie pentru:
- spam si emailuri nedorite – aceste tipuri de email pot fi filtrate prin utilizarea mecanismelor de reputatie a adreselor IP si a domeniilor folosind fluxuri de inteligenta cibernetica.
- business email compromise (BEC) si phishing – aceste tipuri de email sunt printre cele mai folosite de atacatori pentru a convinge utilizatorul sa execute o actiune care sa duca la divulgarea unor informatii secrete sau la compromiterea unui sistem. Tehnicile traditionale de detectie folosesc anumite reguli de compunere a emailului pentru a identifica mesajele malitioase. Tehnicile moderne de detectie folosesc inteligenta artificiala pentru a identifica mesajele legitime si apoi pentru a le separa de cele malitoase.
- fisierele atasate – acestea pot contine adesea malware, de aceea sunt necesare masuri de protectie atat pentru malware-ul cunoscut, cat si pentru cel necunoscut, ca detectia pe baza de semnaturi si sandboxing-ul in cloud. Alte masuri de protectie includ analiza fisierelor care sunt protejata de parole (arhive, pdf-uri) si dezactivarea continutului activ (scripturi, macrouri) din fisierele pdf sau office.
- URL-uri incluse – filtrarea email-urilor care contin URL-uri malitioase este foarte importanta pentru protejarea utilizatorului si a organizatiei. Cei mai multi vendori de email in cloud folosesc tehnici de rescriere a URL-ului pentru a fi scanate atunci cand sunt accesate, dar si pentru a putea detecta categoria URL-ului si daca URL-ul trebuie blocat. Sandboxing-ul in cloud este o alta metoda care poate fi folosita pentru a accesa URL-ul intr-un mediu controlat si pentru a examina comportamentul acestuia.
- domeniul de email folosit. Aceasta protectie se obtine folosind mecanismul DMARC. DMARC impiedica atacatorii sa foloseasca domeniul organizatiei in campanii de spam, de phishing sau de spoofing. DMARC intotdeauna foloseste SPF si DKIM pentru a specifica cine poate trimite email-uri in numele organizatiei si daca emailul este autentic sau nu.
Securitatea organizatiei nu trebuie sa fie compusa din blocuri functionale separate, monolitice. Sistemele de protectie trebuie sa comunice intre ele pentru a schimba informatii si pentru a raspunde rapid in fata unei amenintari. Solutia de securitatea a emailului trebuie sa poate trimite loguri catre un SIEM sau un alt tool de colectare centralizata a logurilor folosit de departamentul de SOC. Logurile pot fi folosite pentru a crea playbook-uri care sa automatizeze raspunsul la un incident de securitate fara a astepta ca un operator sa faca acest lucru manual.
Un alt aspect care trebuie considerat este instruirea utilizatorului printr-un program de “security awareness”. Organziatia nu se poate baza numai pe tehnologie pentru a fi protejata. Oamenii trebuie sa cunoasca pericolele cu care se pot confrunta in activitatea lor de zi cu zi, cum pot fi identificate si cum sa raspunda in fata acestora. Trainingul periodic, infograficele si newsletterele pot fi modurile prin care sa se insufle o educatie cibernetica la locul de munca. Managementul companiei poate sa recompenseze angajatii care adera la bunele practici de securitate ale organizatiei, ceea ce va face adoptia acestora mai populara si mai usoara.
Organizatiile trebuie sa evalueze constant modul in care solutia lor de securitate pentru email le protejeaza si modul in care aceasta se integreaza cu celelalte sisteme de securitate. Este foarte important ca politica de securitate a companiei sa includa o sectiune dedicata care sa explice modul in care serviciul de email trebuie sa fie utilizat pentru a minimiza gradul de expunere in fata amenintarilor cibernetice. Securitatea organizatiei este un efort comun la care trebuie sa participe atat departamentul IT prin tehnologii, echipamente si proceduri, cat si utilizatorii prin exersarea unui comportament corect, dar si persoanele din managementul companiei.
Mihai Dumitrascu, Sr Systems Engineer