FortiMail: полный обзор
FortiMail — в первую очередь антиспам-шлюз, а также решение для полноценной защиты корпоративной почты. Это узкоспециализированный продукт, который масштабируется до целой экосистемы — фабрики безопасности FortiNet.
Но прежде чем переходить к описанию угроз, возможностям масштабирования и моделям развертывания, давайте определимся, для чего нужны подобные узкоспециализированные решения.
Ежегодные исследования Verizon показывают, что почта остается любимым каналом для проникновений хакеров. Поэтому компании сначала прикрывают этот рубеж, а потом постепенно добавляют другие компоненты в свою систему ИБ.
По оценкам аналитических агентств и независимых тестов, FortiMail занимает лидирующее место среди подобных решений.
От каких угроз FortiMail защищает корпоративную почту:
-
- Спам. Любой продукт в первую очередь защищает почту от спама. Тем не менее FortiMail постоянно развивает алгоритмы анализа контента, чтобы избавить сотрудников от разбора спама. Можно создавать свои словари для фильтрации, например рекламных писем, по ключевым словам или URI.
- Фишинг. По отчету Verizon об инцидентах с данными за 2020 год, через почту проходит 96% фишингового трафика. Через фишинг реализуется больше всего успешных атак. FortiMail защищает от него, используя рекурсивное прохождение по ссылкам, удаление вредоносного контента из вложений и проверку ссылок непосредственно во время клика.
- Спуфинг и имперсонация (Business Email Compromised). Человек часто не замечает подмену доменов и имен. Для борьбы с этой проблемой используется машинное обучение, а также сравнение имени отправителя с Display Name.
- Вирусы, зловреды и шифровальщики. Verizon уверен, что угроза шифровальщиков (ransomware) только растет. Для вирусов с известными сигнатурами, таких как Petya или WannaCry, в FortiMail есть предварительная проверка, так называемый Outbreak Prevention, который сразу же отправляет инфицированные файлы в карантин. Сложные случаи отправляются на проверку в песочницу.
- Атаки изнутри сети. Предположим, что злоумышленник получит доступ к хостам при помощи социальной инженерии. В этом случае с них разошлют спам, а IP почтового сервера окажется в черных списках партнеров и клиентов. Понадобится много сил и бюрократии, чтобы его оттуда убрать. Чтобы не допустить этого, в FortiMail устанавливается порог отправляемых за день писем. Если его превысить — система забьет тревогу.
Комплексная защита писем: от проверки домена до сквозного шифрования
В FortiMail встроены продвинутые функции анализа писем. Пока не будут проверены DMARC- и SPF-записи домена, а также весь контент, начиная от заголовков и заканчивая вложениями, пользователь письмо не получит.
Защита от имперсонации с помощью машинного обучения
Спуфинг эффективен потому, что человеку сложно различить два домена с одной разной буквой в названии. При этом злоумышленники используют символы других алфавитов, похожие на оригинальные.
Например:
guccì.com и gucci.com
аррӏе.com и apple.com
Замена символов используется и при подмене адресата в почтовых письмах. Если поставить рядом два письма — фейковое и настоящее, найти различия будет довольно просто.
Обычно сравнить домены нет возможности. Видно только подмененный злоумышленниками домен, а верный вариант сотруднику нужно держать в голове. Когда таких доменов около 50 и параллельно горят дедлайны по проекту, это сделать непросто. Да еще и отправитель — босс, поэтому сотрудник спешит выполнить указание, открывая ссылку с вредоносным файлом.
Алгоритмы машинного обучения не ошибаются из-за эмоций или невнимательности. Им нужно некоторое время на обучение, чтобы запомнить, с каких почтовых ящиков приходят письма, как сотрудники строят предложения, как подписываются. На основе этой статистики можно сопоставить адрес отправителя и должность из заголовка или подписи. Например, в тексте письма подпись генерального директора, но отправлено с Gmail, а не с почтового ящика компании. Значит, письмо подменили.
Предварительный анализ для известных сигнатур
Перед тем как вирус атакует сеть, существует вероятность, что он уже был детектирован другими компаниями. Тогда нужно вычислить хеш подозрительного файла из письма и передать его в лабораторию Fortinet. Лаборатория ответит, и FortiMail заблокирует файл, если он скомпрометирован. Такая предварительная проверка экономит трафик и обнаруживает вирусы намного быстрее, потому что не приходится отправлять каждое вложение на анализ в песочницу.
Распознавание атак нулевого дня в песочнице
Благодаря SMTP письма стоят в очереди на анализ до тех пор, пока FortiSandbox не убедится, что все безопасно. Пользователь получит файл только после анализа.
Сначала происходит сравнение вложения с сигнатурами известных зловредов. Если ничего не найдено — антивирус анализирует поведение с помощью эвристических алгоритмов. Например, ищет признаки того, что файл может запускаться в виртуальной машине. Но даже после успешного прохождения этих стадий потенциальным зловредом проверка не закончена: антивирус берет паузу и повторно просматривает сигнатуры. Если они не изменились — вложение проходит на следующий этап; если была попытка отправить запрос на внешний сервер — файл помечается как подозрительный.
Рекурсивный анализ ссылок и их модификация
FortiMail определяет безопасность ссылок в письмах двумя способами:
- Рекурсивный анализ ссылок. Предположим, сотруднику приходит письмо из эйчар-отдела, в котором просят заполнить анкету в вордовском файле. В письме ничего подозрительного нет, в документе тоже нет никаких макросов, но есть ссылка для анонимной оценки работы другого сотрудника. И она приведет к заражению. То есть вредоносная ссылка лежит не в письме, а глубже — в вордовском файле или на сайте, куда попадаешь из документа. FortiMail пытается пройти за пользователя по вложенным ссылкам и определить их безопасность.
- Проверка ссылок во время клика. Представим, что письмо пришло после окончания рабочего дня. Сотрудник откроет его следующим утром, а почтовый шлюз спешит проверить ссылки сразу же, в момент получения. Но там еще ничего нет, потому что хитрый злоумышленник загрузит туда вредоносный файл только с утра. Или там стоит капча, которую шлюз не сочтет опасной, а за нее пройти не сможет. FortiMail модифицирует ссылки так, чтобы они проверялись, когда пользователь по ним кликнет. При скачивании файл попадет в песочницу, а не к пользователю напрямую. Вдобавок мы будем защищены от перенаправления домена.
Удаление вредоносного контента из вложений
Если FortiMail обнаружил макросы или фишинговые ссылки в вордовских или pdf-файлах, он модифицирует документы и уберет компрометирующие данные, оставив вложения в первоначальном виде.
Сквозное шифрование для критически важной информации
Допустим, Бобу нужно передать уникальные технологические карты Алисе на производство. SSL/TLS недостаточно, потому что, когда информация достигнет почтового сервера, данные между MTA будут передаваться в незашифрованном виде. Для таких случаев в FortiMail предусмотрен режим сквозного шифрования Identity-Based Encryption: чтобы Алисе посмотреть письмо Боба, ей нужно залогиниться со своим ключом. И в этом случае есть два режима работы: когда письма нельзя скачать с FortiMail и когда их можно сохранить локально.
Масштабирование до фабрики безопасности
Другие решения из экосистемы FortiNet дополняют защиту, предоставляемую FortiMail. Песочница FortiSandbox, файрвол FortiGuard, защита сервера FortiClient и аналайзер FortiAnalyzer усиливают безопасность на рубежах и формируют удобную управляемую систему.
Объединение устройств в фабрику безопасности дает большую прозрачность и управляемость. Специалист ИБ получает логи со всех рубежей в одном месте: ему легче проводить расследования, искать уязвимости и создавать сценарии автоматизации.
Пример интеграции с FortiSandbox, FortiGuard, FortiAnalyzer и FortiClient
Первое дополнение, которое стоит сделать к антиспам-шлюзу, — подключить песочницу FortiSandbox. В этом случае почта становится для нее еще одним источником данных, а FortiAnalyzer — точкой сбора информации со всех устройств. Специалист ИБ видит, что в песочнице найдена новая сигнатура, и смотрит в FortiAnalyzer, откуда этот файл попал в систему. Допустим, в песочницу его отправил FortiMail. Тогда новая сигнатура появится во всех клиентах. Если сотрудник вставит флешку с таким файлом, FortiClient мгновенно его заблокирует и отправит на карантин.
Дополнительно можно настраивать сценарии автоматизации. Например, как только файрвол распознает попытки подключения на нелегитимные сайты, клиент целиком будет помещен в карантин и подсвечен в FortiAnalyzer как скомпрометированный хост, а админу придет уведомление на почту.
Альянс производителей оборудования для ИБ
Есть около 70 видов решений для кибербезопасности, которые обычно ничего не знают друг о друге, чем и пользуются злоумышленники. Для борьбы с этой проблемой FortiNet и создала альянс партнеров.
В экосистему входят Microsoft, Cisco, HPE, Oracle, Eset и другие известные компании. Их продукты встраиваются в экосистему FortiNet, дополняют ее или совместимы с ней. Благодаря этому участники альянса могут обмениваться данными и вместе противостоять угрозам. Например, если Eset признала файл вредоносным, остальные компании в альянсе мгновенно его детектируют без отправки в песочницу. Это экономит ресурсы, обогащает базу и устанавливает стандарты обмена данными.
Варианты развертывания в сети
У FortiMail есть три разных варианта встраивания в сеть, которые по-разному влияют на топологию. В первом случае это почтовый сервер FortiMail, во втором — шлюз, а в третьем — прозрачная установка практически без изменений:
- Почтовый сервер как способ использовать все функции по максимуму. Например, в этом режиме можно включить сквозное шифрование для критически важной информации. У FortiMail есть процедура миграции, где описано, как и в каком виде выгрузить информацию с текущего сервера, чтобы быстро ее перенести.
- Шлюз (Gateway mode, MTA mode). FortiMail работает как SMTP Relay для почтового сервера. Для миграции нужно только сменить mx-записи. Если почтовый сервер спрятан за файрволом, а FortiMail стоит в dmz-сегменте, то трафик просто пробрасывается на его внутренний IP.
- Прозрачный режим. Позволяет оценить работу антиспама и антивируса, но несколько урезанный по функционалу по сравнению с остальными режимами. Подходит для тестирования возможностей и проведения пилотов, если не хочется ничего менять в настройках сети — ни L3-топологию, ни адресацию. В этом режиме меняется только канальная топология.
Балансировка нагрузки
Для повышения отказоустойчивости есть возможность подключить второй FortiMail-сервер как резервный или создать кластер из 2–25 серверов.
– Резервный сервер (Active-passive) – Если один сервер падает, второй его подхватывает. Но при этом в основное время второй простаивает. Такой схемы, как у FortiGate — low balance, low sharing здесь нет.
– Отказоустойчивый кластер (Config only) – Можно распределять нагрузку при помощи FortiADC между 25 серверами. Чем хорош этот вариант:
- Uptime до 99,99%.
- Чтобы избежать создания сложных настроек конфигураций на роутерах.
- Улучшение времени отклика от сервера до 25%.
Коротко о преимуществах FortiMail
- Отсеивает 99,5% спама по результатам независимых тестов, занимает первые строчки в рейтингах.
- Мощные средства защиты, которые эффективно борются с фишингом, спамом, зловредами, вирусами и направленными на компрометацию атаками (Business email compromise).
- Интеграция в фабрику безопасности и поддержка альянса производителей решений для ИБ.
- Высоконагруженные отказоустойчивые конфигурации на 2–25 серверов.
- Прозрачное ценообразование, которое зависит от объема принимаемых и отправляемых писем, а также от функций безопасности, которые могут потребовать установки дополнительных устройств.
Источник:
https://blog.infra-tech.ru/fortimail-review/
Авторы:
Станислав Звягинцев