Анализ рисков информационной безопасности для корпоративных систем электронной почты

Анализ рисков информационной безопасности для корпоративных систем электронной почты

СОВРЕМЕННАЯ практика систем менеджмента информационной безопасности основывается на анализе рисков И Б. И хотя существует достаточно много различных методик их анализа, все они так или иначе оперируют понятием риска как комбинации вероятности инцидента и его последствий. Выбор же конкретной методики для внедрения и использования в системе менеджмента И Б остается за руководством и должен учитывать специфику организации. В качестве факторов, влияющих на выбор методики анализа рисков И Б, необходимо учитывать: наличие и особенности существующей инфраструктуры управления рисками в организации, сложность защищаемой информационной среды, необходимый уровень детализации в ранжировании итоговых результатов. Однако если руководствоваться требованиями международного стандарта ISO/IEC 27001:2005, то раздел 4.2.1 стандарта устанавливает набор обязательных элементов для процесса анализа рисков:

1. определение критериев принятия риска;
2. идентификация приемлемых уровней риска;
3. идентификация и оценка рисков, включая:
   - идентификацию активов;
   - идентификацию требований бизнеса и законодательства;
   - оценку ценности активов;
   - идентификацию угроз и уязвимостей для активов;
   - оценку вероятности возникновения угроз и уязвимостей;
   - вычисление и ранжирование рисков;
4. охват всех аспектов в границах области действия системы менеджмента ИБ.

В ходе процесса анализа рисков должно быть достигнуто отчетливое понимание факторов, требующих внедрения контрмер, поскольку эти факторы влияют на критические для организации системы и процессы.

Информационные активы систем электронной почты

Сервис корпоративной электронной почты является итогом совместной работы целого комплекса систем, и, как правило, с его функционированием связаны следующие информационные активы:

1. программно-аппаратный комплекс почтового сервера;
2. выделенное Интернет-подключение;
3. корпоративная сеть передачи данных;
4. рабочие станции пользователей системы электронной почты;
5. администраторы системы электронной почты;
6. пользователи системы электронной почты.

Угрозы систем электронной почты

В качестве основных угроз, связанных с корпоративными системами электронной почты, можно выделить:

1. вирусы и вредоносное ПО;
2. утечки конфиденциальной информации;
3. массовые рассылки нежелательной почты;
4. перерывы в электропитании сервера электронной почты;
5. выход из строя сервера электронной почты;
6. сбой Интернет-подключения;
7. отказ в работе корпоративной сети передачи данных;
8. сбой в функционировании рабочей станции пользователя;
9. отсутствие администратора системы на рабочем месте;
10. ошибочную фильтрацию важной бизнес-корреспонденции.

Уязвимости активов систем электронной почты

В то же время информационные активы, связанные с функционированием систем электронной почты, могут обладать рядом уязвимостей, таких как:

1. использование открытых протоколов передачи сообщений электронной почты;
2. отсутствие средств анализа и фильтрации содержимого передаваемой информации;
3. отсутствие резервирования серверов электронной почты;
4. отсутствие резервного питания серверов электронной почты;
5. использование устаревшего ПО на сервере электронной почты;
6. отсутствие резервирования Интернет-подключения;
7. недостаточный уровень защиты корпоративной сети передачи данных;
8. устаревшее ПО на рабочих станциях пользователей;
9. отсутствие адекватных средств защиты на рабочих станциях пользователей;
10. отсутствие действующего договора о поддержке на используемое оборудование и ПО;
11. отсутствующая или устаревшая рабочая документация;
12. недостаточная мотивация труда администраторов системы;
13. отсутствие квалифицированной замены для администратора системы электронной почты;
14. низкая осведомленность пользователей в вопросах И Б;
15. использование механизмов фильтрации без возможности подстройки со стороны пользователя;
16. отсутствие карантина отфильтрованных сообщений.

Риски систем электронной почты

Указанные угрозы систем электронной почты могут через уязвимости активов привести к целому ряду инцидентов информационной безопасности:

1. недоступности сервисов электронной почты;
2. распространению вирусов и вредоносного ПО;
3. потере производительности почтовой системы;
4. потере рабочего времени сотрудников;
5. утечке конфиденциальной информации;
6. несанкционированному доступу к почтовым ящикам сотрудников;
7. утрате важной бизнес-корреспонденции.

Контрмеры

Для устранения выявленных уязвимостей и снижения ущерба от связанных с ними инцидентов информационной безопасности необходимо оценить затраты и потенциальный положительный эффект от внедрения:

1. средств репутационной оценки адреса источника для входящей корреспонденции;
2. средств анализа и фильтрации содержимого передаваемой информации;
3. отказоустойчивой конфигурации серверов электронной почты;
4. системы гарантированного электропитания серверов электронной почты;
5. автоматических систем управления обновлением установленного ПО;
6. отказоустойчивого Интернет-подключения;
7. необходимых средств защиты корпоративной сети передачи данных;
8. адекватных средств защиты на рабочих станциях пользователей;
9. заключения/возобновления договора о поддержке на используемое оборудование и ПО;
10. процедур поддержания рабочей документации в актуальном состоянии;
11. практики подготовки квалифицированной замены для администратора системы электронной почты;
12. программы повышения осведомленности сотрудников в вопросах информационной безопасности;
13. автоматизированных средств фильтрации с возможностью подстройки пользователем и наличием карантина отфильтрованных сообщений;
14. отдельных от основных почтовых серверов средств защиты электронной почты;
15. средств усиленной аутентификации пользователей электронной почты.

Возможности решения PineApp

И хотя единовременного способа устранить указанные риски не существует, компания "АМТ-ГРУП" имеет опыт успешного внедрения решения PineApp Mail-Secure, позволяющего разгрузить основные почтовые серверы и эффективно закрыть широкий спектр уязвимостей систем электронной почты.

Одним из основных преимуществ решения PineApp Mail-Secure является защита на уровне периметра, обеспечивающая:

• устойчивость к mail-бомбингу и DOS-атакам за счет интеллектуального ограничения числа одновременных соединений по одному IP, числа сообщений, допустимых за одну сессию, числа получателей на одно сообщение, максимального числа сессий и сообщений за минуту, час и сутки;
• тар-питинг - ограничение SMTP-соединений для минимизации воздействия mail-бомбинга и борьбы с "зомби" путем искусственного замедления SMTP-соединения;
• PineApp ZDS - система обнаружения "зомби" на основе IP-репутации и комбинированных методов детектирования (ZDS-center, серый список, Commtouch IP reputation).

Стоит отметить, что в практике внедрений "АМТ-ГРУП" до 90% вредоносной почты отсекается PineApp Mail-Secure уже на уровне механизмов защиты периметра, что позволяет достичь очень высоких показателей производительности.

Далее при необходимости применяются средства мно-гоуровнего антиспама и антивируса, причем каждый пользователь системы электронной почты может самостоятельно вносить изменения в свои персональные черные и белые списки с адресами и доменами отправителей. Также для каждого пользователя сохраняется карантин из задержанных системой фильтрации сообщений с периодической отправкой пользователю отчетов о его состоянии.

ПРАКТИКА

Алексей Куканов, начальник департамента информационно-технологического обеспечения исполнительного аппарата ОАО "ОГК-2"

ЭЛЕКТРОННАЯ почта для нашей компании, как и для многих других, является связующим звеном не только внутри компании, но и с внешним миром. Поэтому проблема ее защиты не обошла нас стороной. С 24 декабря 2007 г. в ОГК-2 в эксплуатацию был внедрен комплекс средств защиты электронной почты - PineApp Mail-SeCure. Схема внедрения предполагает обработку всей входящей почты для всех почтовых доменов организации. Обработка осуществляется кластером сканеров, что обеспечивает высокую скорость обработки почты и отказоустойчивость конфигурации. С целью разделения административных функций управления и ведения отчетов от обработки почты была использована конфигурация с выделенным центром управления на базе PineApp Director. Для сокращения обращений пользователей в службу технической поддержки был организован доступ в папки личного карантина на основе учетных записей ActiveDirectory. Это позволило пользователям самостоятельно создавать белые и черные списки адресов и дало возможность разблокировать письма, попавшие в пользовательский карантин. Анализ результатов проводился спустя один месяц, но уже на следующий день после внедрения сотрудники были удивлены непривычной "чистотой" почтовых ящиков. За отчетный период было обработано 98 354 писем общим объемом в 10 Гбайт. Общая статистика показывает, что доля "чистой" почты составила чуть меньше 29%. Стоит отметить, что до настоящего момента были задействованы не все из 17 доступных антиспам-алгоритмов. Например, для спам-эпидемий предусмотрена уникальная технология "серых" списков, или, другими словами, динамических алгоритмов построения списков разрешенной почты, основанных на знании принципов распространения и передачи спам-сообщений. Таким образом, эти технологии могут быть при необходимости задействованы для дополнительной защиты электронной почты.

Проблема злонамеренного кода и вирусов в почтовых сообщениях также была полностью решена. Вирусная статистика отображает всего 0,06% от общего объема почты. Это те сообщения, которые прошли спам-проверку, а ведь именно в них содержится наибольшая часть злонамеренного кода.

Ниже приведена более детальная статистика сообщений с разбивкой на дни и часы.