Top.Mail.Ru
Вход
Регистрация

Kaspersky Security для почтовых серверов: исчерпывающее решение для борьбы с email-атаками на корпоративную инфраструктуру

Kaspersky Security для почтовых серверов: исчерпывающее решение для борьбы с email-атаками на корпоративную инфраструктуру

Kaspersky Security для почтовых серверов: исчерпывающее решение для борьбы с email-атаками на корпоративную инфраструктуру

Kaspersky Security для почтовых серверов – основное решение «Лаборатории Касперского» по защите почты в смешанных, Microsoft- и Linux-средах. Одно из его ключевых преимуществ – возможность легкой и бесшовной интеграции с другими продуктами «Лаборатории», в частности, с решениями, позволяющими получать актуальные данные об угрозах. В апреле 2024 года вышло большое обновление Kaspersky Security для почтовых серверов, содержащее значительные изменения и улучшения функционала.

Защита почты: всегда актуальная задача ИБ

Большинство бизнесов продолжает использовать электронную почту, и тенденция к росту числа атак именно на этот сервис сохраняется. В результате анонимного опроса, проведенного среди руководителей департаментов ИБ, выяснилось, что, с одной стороны, большинство (83%) из них считают почту основным вектором атак, и при этом более половины (65%) не полностью готовы к митигации всех связанных с такими атаками рисков. Кроме того, 94% директоров ИБ не устраивает встроенная защита, предоставляемая такими продуктами, как MS Office 365 и Google Workspace.

Одновременно с тем от компаний требуется постоянно укреплять безопасность для соответствия нормативным требованиям, и это происходит на фоне трансформации рабочих процессов, связанных с прошедшей пандемией и курсом на импортозамещение. Подходы к работе поменялись, и теперь необходимо защищать не только корпоративные ноутбуки, но и личные устройства сотрудников, причем политики и запреты помогают не всегда – работники продолжают входить в рабочую почту с мобильного и открывать мессенджеры на ноутбуке. Как следствие, специалисты «Лаборатории Касперского» решили сосредоточиться на поддержке и облегчении работы ИБ отделов, не путая их широким ассортиментом приложений и продуктов.

С 2012 года за защиту почты отвечали два решения «Лаборатории»: KLMS (Kaspersky Linux Mail Security) и KSMG (Kaspersky Security for Mail Gateway)․ KLMS было предназначено для определенных специфических сценариев, а KSMG был универсальным продуктом. В 2024 году команды разработчиков объединились, и два решения были совмещены в одно – Kaspersky Security для почтовых серверов, работающее в Microsoft-, Linux- и смешанных средах. Перед объединением в 2023 году была выпущена специальная версия KLMS для компаний, которым критична сертификация ФТОС; новое совмещенное решение планируется сертифицировать в конце 2024 года.

Kaspersky Security для почтовых серверов включает в себя Kaspersky Security for Mail Gateway 2.1 (Virtual Appliance и Standalone), Kaspersky Security для MS Exchange 9.7 и Kaspersky Security для Microsoft Office 365.

Kaspersky Security for Mail Gateway 2.1

В апрельском релизе два приложения:

  • KSMG Virtual Appliance։ решение, содержащее ОС и Postfix MTA (mail transfer agent) в виде ISO-образа. Здесь обновлен Postfix и заменена ОС – Rocky Linux вместо устаревшей и не поддерживаемой CentOS;
  • KSMG Standalone – обновленный аналог KLMS․

Релиз содержит значительное количество обновлений и нововведений.

Новый интерфейс

Специалисты компании провели ряд UX-исследований с заказчиками, на основании которых разработали новый веб-интерфейс продукта с оформлением согласно новой корпоративной дизайн-схеме. Дашборд предоставляет информацию о письмах, прошедших анализ в системе, наглядно показывает, сколько из них было отмечено теми или иными защитными движками. Есть статистика по спаму, вирусам, контентной фильтрации, проверке ссылок, проверке подлинностей отправителей. Появился новый виджет «Защита KATA», где можно отслеживать события внутри сендбокса. По событиям можно кликать, чтобы рассмотреть детали; на виджете представлены графики, наглядно демонстрирующие всплески вредоносного трафика определенных типов.

Общие сведения

В разделе «Общие сведения» добавились три новые вкладки:

  • вложения: позволяет увидеть все вложения, включая имя, результаты проверки различными движками, размер, хэш конкретного объекта;
  • MIME parts;
  • ссылки: все ссылки, найденные в письме, и результаты их проверок на вредоносный код и фишинг.

Эти вкладки позволяют более точно оценить уровень угрозы, точечно работать с инцидентами и вести предметный диалог с пользователем. Так, если обнаружена подозрительная ссылка, ее можно проверить на портале Kaspersky Threat Intelligence; бесплатная версия позволит убедиться, что ссылка действительно опасная, узнать тип угрозы, когда она была создана и на кого зарегистрирована, платная версия предоставляет еще больше деталей. Таким образом, в случае массовой атаки можно собрать достаточно информации для принятия эффективных ответных мер.

MIME parts

Ноу-хау от «Лаборатории Касперского», отсутствующее в западных решениях – отдельная вкладка для анализа MIME-частей. Почтовые клиенты по-разному отображают вложения, часто игнорируя некоторые из них, чем пользуются злоумышленники. Чтобы обнаружить скрытые объекты и провести их анализ, добавлена расширенная статистика, отображающая все MIME-объекты, содержащиеся в письме, их объем и хэш. Если эти объекты вызывают подозрение, отправление будет заблокировано.

События

Раздел «События» собирает все подозрительные ссылки, хэши, имена файлов и общие сведения о письме. Эти данные экспортируются в SIEM, облегчают работу команд реагирования на инциденты или САП (стандартных операционных процедур) и позволяют создавать более сложные правила корреляции, основанные на представленных в «Событиях» индикаторах компрометации.

Хранилище

Теперь в карантине («Хранилище») можно выбрать сразу несколько событий для отправки получателям; добавлена информация о том, выпускалось ли письмо из карантина; добавлены две новые вкладки для просмотра письма в RAW-формате и в виде HTML․ Во втором случае есть возможность безопасно догрузить контент с внешних ресурсов, что необходимо для принятия обоснованного решения по выпуску письма из карантина. Кроме того, по запросу компаний с несколькими командами ИБ добавился раздел с историей правки писем: он позволяет коллегам из разных смен быть в курсе действий друг друга.

Учетные записи с ролями

Добавлена возможность создавать учетные записи локальных администраторов с назначением роли. Представлен широкий список полномочий для сотрудников.

Раздел правил

Правила позволяют управлять почтовым трафиком в полуавтоматическом режиме. Теперь в общем списке пиктограммами отображаются используемые каждым правилом движки, нет необходимости заходить в подробности для получения этой информации. Изменилась структура страниц конкретных правил, в будущем она будет использована для других разделов. В правилах появились:

  • отдельная вкладка отправитель-получатель, где можно создавать и редактировать большие списки;
  • возможность отправки скрытых копий на внешние системы, например, в DLP для анализа утечек;
  • модификация заголовков, в частности, для сокрытия информации о внутренней почтовой инфраструктуре.

Информация о движках

В ходе общения с департаментами ИБ заказчиков специалисты «Лаборатории Касперского» выяснили, что даже опытные инженеры часто не могут ответить на вопрос, что именно произойдет с письмом, если оно попадет под какое-либо заданное правило. Поэтому в новой версии появилась возможность просмотра и выбора действий: например, сокрытие или видимость письма для пользователя в персональном карантине.

Контентная фильтрация

Одно из ключевых обновлений релиза – полностью переработанный раздел «Контентная фильтрация». По сути, здесь собраны дополнительные своды правил в рамках общего правила, назначаемые на конкретные домены и конкретных отправителей. Появилась возможность задавать приоритеты и уровни строгости действий для случаев, когда письмо одновременно подпадает под несколько правил. Есть возможность задавать условия в рамках конкретного выражения (правила): тип вложения, его имя, размер, тема письма, тело письма, заголовок, отправитель, получатель, скрытая копия. Каждое из них имеет свой набор настроек, при этом в разделах могут использоваться различные методы их добавления: текст, маска, регулярное выражение, словарь. Словари позволяют централизованно вести список условий, не добавляя, например, расширения файлов в каждое правило, если этот список одинаков для всех. Такие словари можно использовать для разных атрибутов – тело, тема, имя вложения, отправитель, получатель, скрытая копия.

Кроме того, добавились:

  • поддержка новых гипервизоров, включая российский «РЕД Виртуализация»;
  • поддержка новых ОС для KSMG SA: на данный момент это Rocky Linux, RedHat и Ubuntu, в следующем релизе также появятся российские системы;
  • интеграция с актуальными версиями КАТА;
  • проверка получателей из LDAP-кэша в веб-интерфейсе;
  • логирование успешных и неуспешных попыток входа в веб-интерфейс продукта: это первый шаг к полноценному аудит-логу, планируемому в следующем релизе.

Kaspersky Security для MS Exchange 9.7

Новая версия приложения готовится к сертификации ФСТЭК. Ключевые изменения:

  • добавлена поддержка взаимодействия с новой версией KSC 14.2;
  • работа по безопасной версии протокола LDAPS вместо устаревшего LDAP;
  • добавлена поддержка NTLM 2.0 и Kerberos;
  • появилась возможность блокировки b2b рассылок;
  • обновлены ОС и БД;
  • и другие дополнения.

Kaspersky Security для Microsoft Office 365

Хотя для большинства российских компаний MS Office 365 уже не актуален, остаются крупные организации с представительствами за пределами РФ, которые используют как этот офисный пакет, так и решения «Лаборатории Касперского». Поэтому продукт по-прежнему активно развивается, за последние два года был выпущен ряд обновлений, в частности:

  • защита от List linking атак (массовые атаки под видом легитимного трафика на ящики для заявок от пользователей, своего рода почтовый DDoS, для борьбы с которым требуется специальная эвристика);
  • новая роль администратора карантина с возможностью просмотра того, что оттуда выпущено;
  • дополнительные стандарты аутентификации – GraphIA и OAuth;
  • дополнительные методы обнаружения фишинга;
  • защита от перехвата разговоров;
  • и другие обновления.

Переход на версию 2.1

При переходе с KSMG 1.1 необходимо выполнить экспорт-импорт конфигурации, после чего применить ее на KSMG VA 2.1 (прямого импорта нет, поскольку в версии 2.0 изменилась архитектура решения). Для перехода с версий 2.0 и 2.0.1 опция прямого перехода присутствует, однако необходимо учесть, что изменения в Postfix необходимо будет внести вручную, так как в новой версии обновлены как сам продукт, так и ОС. Специалисты рекомендуют параллельное развертывание версии 2.1 с импортом конфигурации и последующим ручным переносом изменений Postfix․ Трафик следует перенаправлять на 2.1 с помощью балансировщика для проверки работоспособности решения, после чего, в случае отсутствия каких-либо проблем, можно подключать новые инстансы в кластер до полного перехода. В будущих релизах не планируются серьезные изменения на структурном уровне, поэтому будет доступен прямой переход.

Для перехода с KLMS также предусмотрен механизм экспорта/импорта и возможность апгрейда, однако большинство компаний, использующих KLMS, нуждаются в сертификации ФСТЭК, поэтому их переход планируется с выпуском KSMG 2.1.1.

Для решения вопроса сайзинга при переходе на новую версию стоит воспользоваться специальным руководством, разработанным специалистами «Лаборатории Касперского».

Планы развития

Следующий релиз KSMG запланирован на четвертый квартал 2024 года, его ключевой особенностью станет акцент на потребностях российского рынка. На данный момент анонсированы:

- KSMG VA на базе российской ОС;

- поддержка российских ОС для KSMG Standalone;

- сертификация ФСТЭК;

- полноценный аудит-лог как в графическом интерфейсе, так и с отправкой событий в SIEM;

- настраиваемые уведомления отправителю и получателю (конструктор нотификаций);

- доступ пользователя к карантину общего почтового ящика;

- улучшение UserDigest – исключения по группам AD;

- редактируемый шаблон действий пользователя при удалении вложения;

- интеграция с новыми версиями КАТА;

- дополнительные функции защиты от спуфинга для компаний с распределенной инфраструктурой и/или большим количеством доверенных партнеров (для отражения атак, направленных на небольшие дочерние структуры, где ИБ слабее);

- расширение экспортируемых событий в SIEM непосредственно из GUI;

- Software Bill of Materials – видимость компонентов продукта.

Экспертное решение

«Лаборатория Касперского» собрала ведущих специалистов по ИБ России, имеет большие департаменты разработки и аналитики. Эксперты следят за всеми новыми угрозами, поддерживают огромную базу знаний Kaspersky Automated Security Awareness Platform с симулятором фишинговых атак, которой готовы делиться с пользователями.

Специалисты компании «Системный софт», Платинового партнёра «Лаборатория Касперского», обладают большим опытом внедрения решений в области информационной безопасности, готовы подробно рассказать о продукте Kaspersky Security для почтовых серверов, продемонстрировать его возможность и помочь интегрировать в инфраструктуру компании. Это позволит обеспечить исчерпывающую защиту корпоративной почты и закрыть возможные пробелы в структуре ИБ.

ПОЛУЧИТЕ КОНСУЛЬТАЦИЮ ЭКСПЕРТА!

Дарья Чеборюкова, Руководитель направления Kaspersky ООО «Системный софт»


Самое читаемое