Об авторе: Александр Дворянский, директор по специальным проектам Angara Security.
Весной 2022 года два известных поставщика ИТ-решений, Cisco и Fortinet, перестали поддерживать свои антиспам-решения. К сожалению, когда ИТ-вендор решает уйти с рынка, для компаний, использующих его продукты, это означает, что при появлении вопросов, их больше некому задавать. Можно провести аналогию с автомобилем: он у вас есть, но чинить его негде.
Своим уходом вендор лишает пользователей возможности полноценно использовать продукт: базы не будут обновляться, техподдержка не будет осуществляться. Если система сломалась или требует перенастройки, она не перестанет работать в ту же минуту, но с каждым днем будет становиться все менее эффективной. В цифрах это выглядит примерно так: сначала антиспам-решение защищает на 99% вместо 99,9%, спустя сутки, к примеру, — 95%, еще через сутки — 90% и так далее. Через короткий промежуток времени продукт превратится в «тыкву», то есть перестанет выполнять свою работу, потому что эффективность методов фильтрации будет равняться нулю.
Зачем нужен антиспам
Среднестатистический сотрудник отдела кадров или продаж в компании часто переписывается с внешними контактами, нередко его почтовый ящик доступен в открытых источниках. Это означает, что электронный адрес может оказаться в распоряжении и спам-ботов, и злоумышленников. Такие рассылки не только раздражают и отнимают время, но могут содержать и вредоносные вложения, и ссылки на вредоносные ресурсы. Спам — один из самых популярных каналов для распространения угроз у злоумышленников, ведь почта — основной инструмент коммуникации в подавляющем большинстве компаний. И если сегодня доля рекламного спама уменьшается, то доля зловредного — в разы увеличивается.
Когда антиспам работает полноценно, пользователь не сталкивается с необходимостью отсеивать ненужные сообщения в почте, ведь вендор работает на опережение. Он мониторит ситуацию в сфере информационной безопасности и, впервые получив письмо, где используется новый метод обхода антиспам-систем, добавляет его в свои базы, тем самым защищая клиентов. Кроме того, антиспам сегодня неразрывно связан с антифишингом. Поэтому компании рассматривают борьбу с нежелательными сообщениями в связке со сканированием почтового трафика на вредоносные ссылки и ПО, используя для этого комплексные решения для защиты почты.
А теперь представим, что сотрудник получил 100 писем в день, из них только 30 по работе, а 70 — спам. Такая ситуация действительно может происходить, если продукт не обновляется. С каждым днем спама становится все больше. Если раньше человек концентрировался на 30 письмах, то теперь, помимо обычных задач по разбору корреспонденции и ответа на нее, ему нужно будет заниматься и тем, чтобы отличать ненужное и возможно опасное для компании письмо от нормального. Спамеры все время совершенствуют свои методы, поэтому часто, чтобы разбираться в их уловках, нужно обладать достаточно высоким уровнем цифровой грамотности. С каждым днем объем нежелательных входящих в компаниях, где стоит решение, которое перестало обновляться, будет увеличиваться. Если не ограничить этот «мусорный» поток, то электронной почтой будет невозможно пользоваться по прямому назначению, она будет завалена.
Что думают российские разработчики
По мнению Михаила Прибочего, управляющего директора «Лаборатории Касперского» в России и странах СНГ, нет сомнений в том, что компании будут искать замену решениям как для защиты корпоративной почты, так и интернет-шлюзов для сканирования входящего и исходящего трафика.
Михаил Прибочий, «Лаборатория Касперского»:
«Только за март 2022 года спрос на эти два класса систем увеличился в пять раз по каждому из направлений. При этом доля нежелательных сообщений в почтовом трафике сохраняется на высоком уровне. Ежегодно она составляет почти половину всех входящих писем. Например, в 2021 году она составила 45,56%, а система «Антифишинг» предотвратила более 253 млн переходов по фишинговым ссылкам. Наши технологии позволяют отсечь спам, блокировать вредоносные сообщения, содержащие вирусы и фишинговые адреса, и контролировать передачу данных через электронную почту
Важно помнить, что спам — это не только информационный мусор, но и письма, которые могут позволить украсть данные и деньги. Это, например, сообщения, которые содержат ссылку на якобы легитимный, а на самом деле поддельный ресурс. Часто злоумышленники применяют в текстах в качестве крючков, позволяющих привлечь внимание пользователя, названия банков, крупных компаний, онлайн-магазинов. Если атака нацелена не только на отдельного человека, а на всю инфраструктуру компании, то такое письмо может стать первым этапом на пути заражения внутренних систем или машин. В одном из худших сценариев путем рассылки спама может распространяться программа-шифровальщик, которая блокирует доступ к конфиденциальным данным. Успешное применение такого ПО серьезно нарушает бизнес-процессы, что приводит к крупным денежным и репутационным потерям».
По данным Group-IB, в России за три недели — с 17 февраля по 10 марта 2022 года — количество вредоносных почтовых рассылок выросло в два раза по сравнению с тремя неделями ранее: чаще всего рассылают шпионское ПО (72%), бэкдоры (131%), загрузчики (325%).
Дмитрий Волков, CEO Group-IB:
«С учетом работы на удаленке, многие заказчики рассматривают облачную защиту почтового трафика. При выборе такого решения важно убедиться, что оно защищает не только от известных угроз, но и способно выявлять неизвестные, противодействуя средствам обхода песочницы. У нашей компании тоже есть такое решение — оно в режиме реального времени анализирует и блокирует письма, содержащие вредоносные объекты и ссылки».
Василий Севостьянов, начальник отдела технического сопровождения продаж Dr.Web:
«Антиспам — важный элемент противодействия проникновению вредоносных объектов в корпоративную сеть. Очень часто трояны попадают в защищенный периметр именно через почту, особенно если пользователь не знаком с основами информационной безопасности и открывает все письма и вложения подряд. Для максимальной эффективности антиспама важно, чтобы необходимость его обучения была сведена к минимуму, поскольку она мешает оперативному реагированию на новые волны спам-рассылок».
Антиспам-фильтр — это первый барьер, который отсеивает угрозы. Компаниям придется не только определиться с выбором нового поставщика, но и решать вопросы интеграции решения с различными системами, используемыми в инфраструктуре компании, например с SIEM-системой, песочницей, и гибко настраивать продукт, чтобы защищаться именно от тех атак, которые могут быть направлены на эту компанию.