Безопасность корпоративной почты и её критерии

Электронная почта для большинства компаний является основным средством коммуникации. Переписка необходима как для общения внутри самой компании, так и для обмена данными с партнерами, клиентами, поставщиками, государственными органами и т.д. Ни для кого не секрет, что по корпоративной электронной почте пересылается масса конфиденциальной информации: договора, счета, информация о продуктах и ценах компании, финансовые показатели и т.д.

Если такая информация попадает в руки конкурентов, она может существенно навредить компании вплоть до прекращения ее существования. Конкуренты, имея в распоряжении базу клиентов, зная условия работы и цены, смогут предложить им лучшие условия и, таким образом, нанесут финансовые убытки. Также конкуренты могут найти в полученной информации факты нарушения законодательства и передать их в соответственные государственные органы. Это может спровоцировать проведение проверок, а они ничего доброго не предвещают.

Одним словом, если в компании встал вопрос о защите коммуникаций – первым делом необходимо защищать почту, так как основная масса документов пересылается через нее. Но, не смотря на важность, немногие компании задумываются о безопасности почты.

Основные ошибки, которые приводят к перехвату электронной почты:

  • Корпоративная почта используется для регистрации в социальных сетях и ряда других ресурсов. Чем больше адрес почты светится в различных сервисах – тем больше вероятность попадания его в различные списки рассылки спама, а также это часто провоцирует попытки взломать адрес.
  • Пароль, указанный в корпоративной почте, используется для регистрации на различных сайтах. Очень часто сотрудники, регистрируясь на каком-то сайте знакомств или торрент трекере, не утруждаются придумывать какой-то пароль, а вводят тот, что и для корпоративной почты.
  • Указываться простой пароль. В качестве пароля к почте указывается дата рождения, свое имя и т.д., а эта информация доступна в открытом виде во многих источниках.
  • Используются внешние сервисы электронной почты. Многие компании используют площадки Google, Yandex и т.д. для размещения корпоративных доменов. Это считается безопасным, но известны факты, когда почта, размещенная на этих сервисах, попадала в интернет. Также в СМИ постоянно говорят о прямом доступе спецслужб к информации пользователей на этих ресурсах.
  • Почта не шифруется. Известный факт, что пароль к любой почте возможно взломать, причем цены на взлом почтового ящика стартуют от 10-20 USD. Если почта не зашифрованная, то получив доступ к ящику, злоумышленник автоматически получает доступ ко всей коммерческой информации.

Как видно из перечисленного выше, способов получить доступ к почтовому ящику довольно много и защитится от этого довольно тяжело, так как в большинстве случаев речь идет о человеческом факторе. Таким образом, наиболее эффективная мера препятствия утечек информации по электронной почте является ее шифрование. В этом случае, даже если злоумышленник получил доступ к почте, прочитать ее он не сможет.

В серверах установлены 2-х канальные оптические платы для подключения к 2-м разным контролерам СХД. Таким образом, обеспечивается высокая отказоустойчивость доступности дисковой подсистемы.

zashita-pochti.png

Рассмотрим простой пример шифрования почты на базе бесплатного почтового клиента Mozilla Thunderbird, используя механизм шифрования OpenPGP. Для организации шифрования необходимо установить дополнение Enigmail в Thunderbird, а также приложение GnuPG. После чего в ThunderBird появиться вкладка OpenPGP. Далее необходимо сгенерировать личную пару ключей. Делается это так:

  1. Открываем Thunderbird – видим новое меню OpenPGP. Заходим в него и нажимаем на Управление ключами:
    upravlenie-kljuchami.png
  2. Теперь необходимо сгенерировать ключи:
generacija-kljuchej.png

Далее непосредственно генерируется сама пара ключей. Пароль задается, если необходимо иметь дополнительную защиту – этот пароль необходимо будет вводить каждый раз при расшифровке письма. </li>

sozdanie-kljucha.png

Все. Пара ключей открытый и приватный сгенерирована – можно их использовать.</li></ol>

Сам процесс шифрованной переписки можем разложить на 4 элементарных этапа.

  1. Отправляем собеседнику свой открытый ключ.
sozdanie-soobshhenija.png

Собеседник импортирует его себе в контейнер ключей, подписывает его и устанавливает уровень доверия к данному ключу.</li>

upravlenie-kljuchami-openpgp.png

Далее собеседник шифрует письмо нажатием кнопки В«Шифровать сообщениеВ», при этом происходит шифрование текста с использованием открытого ключа получателя, и отправляет его. Отправитель теперь данное письмо прочитать не может ибо для его прочтения нужно иметь закрытый ключ получателя.</li>Письмо приходит получателю в зашифрованном виде и далее происходит его расшифровка закрытым ключом получателя. Данный ключ хранится только у него и не передается никому. При нажатии кнопки «Расшифровать» письмо приобретает читабельный вид.</li>

rasshifrovka.png

</ol>

Как видим, шифровать почту совсем не сложно, да еще и бесплатно!

Внедрение шифрования почты избавляет от большинства рисков утечки информации и при этом не требует никаких затрат, лишь затраты на внедрение и обучения пользователей. Если речь идет о небольшой компании, состоящей из 10 человек, то достаточно всех собрать, объяснить необходимость шифрования – показать как это делается и пригрозить санкциями в случае несоблюдения этого правила. Другое дело, если компания большая и аналогично вышеописанным действиям сделать не получиться.

До всех сотрудников тяжело донести необходимость защиты почты. Также после внедрения процессы шифрования сложно контролировать – со временем сотрудники могут расслабиться и перестать шифровать письма. Обязательно необходимо проводить обучение новых сотрудников. В таком случае с помощью доменных политик возможно настроить принудительное шифрование писем, которые отправляются на адреса домашнего домена и организовать хранение и обмен открытыми ключами с помощью ActiveDirectory. Это избавит от необходимости обмена открытыми ключами при появлении каждого нового сотрудника.

Следующим этапом повышения безопасности почты является организация собственного сервера. Это потребует немного больших затрат на оборудование и лицензии, чем использовать почтовые сервисы. Но все-таки желательно использовать именно собственный почтовый сервер, размещенный на высокодоступной и надежной технической площадке.

Площадка должна быть постоянно доступна, это означает, что электропитание, интернет, кондиционирование должно быть зарезервировано. Программного обеспечения для сервера почты существует очень много, как на базе свободного ПО, так и на базе коммерческого. Здесь однозначный выбор сделать невозможно, так как сервер необходимо подобрать под необходимый компании функционал. Нужно взять во внимание бюджет, выделенный на внедрение сервера. Мы используем MDaemon по ряду причин:

  • Он прост в настройке и администрировании. MDaemon сможет настроить и обслуживать администратор даже с базовым уровнем знаний. Настройка Exchange сервера или Open Source продуктов требует гораздо большую квалификацию и время на внедрение и обслуживание.
  • Функционал отвечает всем требованиям нашего бизнеса. Поддерживает все почтовые протоколы, имеет «аутлукоподобный» Web –интерфейс почты, группы рассылок, перенаправление почты, фильтры спама и т.д.
  • Стоимость гораздо ниже чем Exchange и Kerio. Примерная стоимость лицензий на 50 пользователей MDaemon -20 000 рублей, 50 000 руб – Kerio, 100 000 руб -MS Exchange.
  • Нет каких-то специфических требований. Например, не требуется наличие ActiveDirectory. Продукт может быть установлен на десктопную ОС – например WindowsXP или Windows 7. Продукт не требует СУБД.

Схема функционирования почты будет следующей:

shema-funkcionirovanija-pochty.png
Рисунок 1 — Схема функционирования почты

Собственный сервер дает ряд преимуществ по сравнению с использованием публичных почтовых серверов:

  • Безопасность. Доверять можно только себе. Какими бы не казались безопасными сервисы Google, Yandex и т.д.– они принадлежат другим компаниям и эти компании также имеют туда доступ.
  • Обслуживание. Администратор компании имеет возможность гибкой настройки сервера, а также имеет возможность осуществлять подробный мониторинг. Мониторинг, например, позволит увидеть попытки взлома почтового сервера или его ящиков.
  • Гибкость. Если компания имеет свой почтовый сервер, она не упирается в ограничения сервис-провайдера. Компания может по своему желанию выбирать ПО для почтового сервера, масштабировать систему и т.д.

Таким образом для надежной защиты почты рекомендуется внедрить в компании две глобальные меры: внедрить шифрование почты и организовать свой почтовый сервер. К ним очень хорошо применяется принцип Парето. Первая мера дает 80% эффективности при 20% затрат, а вторая дает остальные 20% эффективности, но требует 80% затрат.

Подводя итог, укажу список рекомендаций, которые так или иначе были расписаны в статье.

Краткий перечень советов при использовании корпоративной электронной почты:

</ul>

  1. Используйте собственный почтовый сервер, расположенный за пределами офиса.
  2. Не создавайте простые имена ящиков, например director@domen.ru – они обязательно попадут в списки рассылок спама, лучше использовать инициал сотрудника и фамилию.
  3. Используйте генерированные пароли к почте.
  4. Не указывайте адрес своей корпоративной почты при регистрации на сайтах не имеющих отношения к работе.
  5. Шифруйте текст всех сообщений, информацией в которых вы не хотели бы делится с конкурентами или другими субъектами.
  6. Файлы прикрепленные к письму также необходимо шифровать, а если есть защищенный корпоративный портал – файл лучше разместить на нем и переслать в письме ссылку.
макет_значок.jpg

EFSOL

  1. Главная
  2. Решения
  3. Информационная безопасность
  4. Защита электронной почты

Достаточно ли надежна электронная почта для отправки информации? Не станут ли письма, отправляемые файлы, адресная книга, достоянием постороннего лица? Хоть единожды, но такие вопросы возникали у любого пользователя, имеющего свой почтовый ящик.

BG-email-marketing.jpg

ЗАКАЗАТЬ

На своем пути к адресату электронное письмо проходит длинный путь, а ведь в этой цепочке может быть внедрено вредоносное программное обеспечение либо владелец сервера намеренно предпринимает определенные действия для получения конфиденциальной информации. Кроме того, сам получатель письма может оказаться злоумышленником, использовать полученную информацию в корыстных целях.

Дополнительной проблемой стало массовое использование сотрудниками в служебных целях собственных мобильных девайсов. Эта тенденция даже получила специальное определение — bring your own device (BYOD). Но статистика свидетельствует, что те, кто приносит на работу собственные мобильные девайсы, активно их использует для служебных надобностей, создают дополнительную угрозу информационной безопасности корпорации. Достаточно, чтобы гаджет был потерян либо украден, как можно ожидать большой скандал, связанный с «утечкой» данных. Репутации компании наносится ущерб, страдают и партнеры.

Достаточно большой список описанных проблем может быть решен комплексно. Для этого существуют системы защиты e-mail, эффективно работающие на десктопах либо мобильных информационно-коммуникационных устройствах.

d81f7e2311764376b12f73460267288f.jpg В нашем блоге на Хабре мы много пишем о создании почтовых рассылок и работе с электронной почтой. Сегодня речь пойдет о нечасто затрагиваемой, но важной теме — насколько безопасны подобные коммуникации, и как защититься при использовании email? Именно этим вопросом задались пользователи ресурса Quora. Мы представляем вашему вниманию лучший ответ, который дал Билл Франклин, бывший сотрудник защищенного почтового сервиса Lavaboom (проект закрылся летом 2015 года).

Есть ли безопасные почтовые сервисы, и чем в этом плане отличаются популярные почтовики

Электронная почта по своему существу небезопасна. Она создавалась для личной переписки, но в действительности электронные письма ненамного безопаснее открытки. Франклин говорит, что когда отправляет из Оксфорда через Gmail письмо на Yahoo! Mail другу в Сан-Франциско, сообщение может быть перехвачено минимум 7 раз: на компьютере отправителя, при передаче на сервер Gmail, на сервере Gmail, при передаче из Gmail на Yahoo!, на серверах Yahoo! Mail, при передаче на компьютер друга и, наконец, на компьютере получателя. Всем известно, что цепь крепка настолько, насколько крепко ее слабое звено, поэтому, даже если оба участника переписки сделают всё возможное, чтобы обезопасить свои компьютеры, им все равно придется полагаться на защиту сервисов Gmail и Yahoo!

Кому может быть нужно взламывать почтовый ящик

Кто может быть заинтересован в получении доступа к чьему-либо почтовому ящику? Прежде всего, это государственные организации, почтовый провайдер и киберпреступники. Разумеется, скрыть переписку от почтового сервиса не получится, обычный пользователь также вряд ли сможет противостоять хакерам. При этом, если у Gmail есть доступ к вашему аккаунту, значит он есть и у Агентства национальной безопасности США (АНБ). И если АНБ встроит бэкдор в почтовый сервис, то им смогут воспользоваться и злоумышленники. Таким образом, пользователю необходимо защитить свой аккаунт от всех трех групп «перехватчиков» потому, что если одна из них получит доступ, то его могут получить и остальные. Причины, по которым они могут захотеть взломать электронный ящик:

  • Государственные органы: массовое слежение и получение данных об отдельных лицах;
  • Gmail: сканирование писем по ключевым словам для размещения рекламы;
  • Хакеры: рассылка спама, кража банковских данных, кража персональной информации – список ограничивается лишь изобретательностью хакеров, которые находят все новые способы получения денег с помощью украденных личных данных.

Ниже представлена диаграмма исследователя информационной безопасности Брайана Кребса — она наглядно показывает, что почтовый ящик среднего пользователя имеет куда большую ценность, чем принято думать.5f6a1fed49ee49a1848a1daa8b54f74e.png

Слабые места

Существует множество способов перехвата электронного письма в семи вышеперечисленных точках доступа. Франклин рассказал о том, как это можно сделать в его примере. Быстрее всего (этот способ занимает около часа) взломать базу в Кардиффе, где берет начало трансатлантический телефонный кабель, установить там узел для перехвата электронного письма и ждать, пока оно будет отправлено. У Агентства национальной безопасности США есть возможность получить доступ к электронному ящику во всех семи точках доступа. И, согласно статьям Джейкоба Эпплбаума (Jacob Appelbaum) и Глена Гринуолда (Glen Greenwald), деятельность АНБ по сбору этим не ограничивается. Вот, к примеру, один из слайдов презентации программы PRISM от АНБ: 0356f28ec77f426fb9824dccd1c96086.png Затраты на программу составляют около 20 млн долларов в годPRISM – это программа наблюдения, запущенная Агентством национальной безопасности США (при участии центра правительственной связи Великобритании), которая используется в том числе для перехвата электронных писем. При этом крупнейшие почтовые провайдеры Microsoft, Yahoo! и Google в числе первых приняли в ней участие. И, тем не менее, электронная почта остается более популярным средством онлайн-коммуникации, чем Facebook или любой другой сервис. Поэтому ее важность для спецслужб, очевидна. А значит, отправляя почтовое сообщение, вы должны допускать, что он окажется на серверах PRISM или других подобных программ, где «сотрудники» смогут их прочитать. Помимо технических недостатков в безопасности электронной почты, мы можем также рассмотреть законы, защищающие конфиденциальность ее пользователей. Огромное количество пользователей отправляют электронные письма с американских почтовых сервисов — например, Gmail.

  • По истечении 180 дней ваши электронные письма на серверах американских почтовых провайдеров становятся собственностью США.
  • Исследование показало, что 55% американских работодателей читают электронную переписку своих сотрудников.
  • Стоит прочесть историю ныне прекратившего свою работу сервиса Lavabit, которым пользовался Эдвард Сноуден. Можно сделать вывод, что невозможно утаить ни один email, пока он находится на сервере американской компании.
  • Читайте серию отчетов Глена Гринуолда «Нигде не спрятаться».

Метаданные, или по-простому данные о данных, имеют важное значение. Например, матаданные этого ответа на Quora – это время его публикации, данные об авторе, продолжительность его пребывания на сайте, месторасположение, браузер, которым он пользуется, данные о его компьютере, местное время… в общем, список получается весьма длинным. В электронных письмах метаданных еще больше. Весь интернет переполнен ими, вероятно, они представляют даже большую ценность, чем сами данные. В своем потрясающем выступлении на тему «Как АНБ предало доверие всего мира – время действовать» Микко Хиппонен (Mikko Hyppönen) рассматривает важность метаданных. Когда вы посылаете email, все метаданные отправляются вместе с ним. Когда вы отвечаете или пересылаете email, вы автоматически пересылаете все метаданные из предыдущего письма. Например, если несколько людей ведут общую переписку по электронной почте, с помощью любого вышеупомянутого способа перехвата любое заинтересованное лицо с легкостью получит доступ к данным о местонахождении всех участников переписки, а также узнает тему обсуждения, даже не читая содержание писем. Подробнее об этом можно почитать в материале под названием «О чем метаданные ваших электронных писем могут рассказать АНБ». Стоит также упомянуть, что, отправляя email на электронный адрес Gmail, даже если вы сами не являетесь его клиентом, вы автоматически предоставляете Google всю информацию – при этом вам не нужно принимать его условия обслуживания (которые подразумевают чтение ваших электронных писем). То же самое касается и других американских почтовых сервисов.

Как обезопасить свой почтовый ящик

Итак, все вышеперечисленное, по сути, говорит о том, что электронная почта небезопасна, данные и метаданные могут многое о вас рассказать, и от вторжения в личную жизнь спастись нереально. Но все не так безнадежно. Как сказал Эдвард Сноуден: «Времена, когда защита частной жизни граждан полностью зависела от государства, остались в прошлом. Мы больше не обязаны просить у правительства неприкосновенности частной жизни, это наше право».

«Все разведывательные службы – абсолютно все – боятся простых и безопасных коммуникационных инструментов», – говорит Джейкоб Эпплбаум.

Асимметричное шифрование – самое надежное и простое решение, но можно сделать и еще кое-что. Достаточно выполнить несколько несложных шагов, чтобы значительно повысить уровень защищенности email-коммуникаций.

Шаг 1. Шифрование

Pretty Good Privacy (PGP) – программа, позволяющая превращать содержание писем в бессмыслицу для всех, кроме отправителя и получателя. Подходит для некоторых весьма простых в использовании почтовых клиентов. Более подробно о ней можно почитать тут.

Шаг 2. Не стоит пользоваться американскими почтовиками

При выборе почтового сервиса стоит учитывать и географический фактор, но не стоит всецело на него полагаться. Например, в Германии и Швейцарии законы, защищающие частную жизнь граждан, более эффективны, чем в США или Великобритании. Поэтому безопаснее использовать почтовые клиенты других стран, например, корейский Naver.

Шаг 3. Не следует доверять почтовому провайдеру

Отказ от американских почтовых сервисов – это хорошее начало, но в идеале следует использовать почтовые провайдеры с нулевым разглашением информации. Нулевое разглашение означает, что сервер не имеет доступа к исходному тексту данных. Более подробная информация об этом представлена здесь.

Шаг 4. Почта на своем сервере (это не так уж сложно)

Запустить свой собственный почтовый сервер не так трудно, как кажется. Таким образом, можно снизить риск взлома email-аккаунта. Это значит, что сам пользователь будет администрировать свой почтовый ящик, и если кому-то понадобится получить его содержимое, то им придется создавать бэкдор для этого конкретного сервера. Вероятность того, что кому-то понадобитесь именно вы, не особенно велика. В заключение, несколько решений для повышения уровня защищенности электронной почты:

  • Mozilla thunderbird с расширением Enigmail;
  • Почтовый клиент Mailpile;
  • Список других относительно безопасных сервисов с оценкой их параметров собран по ссылке.
Ссылка на основную публикацию