Элвис-Плюс

Решения компании Элвис-Плюс

Средства мониторинга и фильтрации содержимого электронной почты

1. Введение

Электронная почта — один из наиболее широко используемых видов сервиса как в корпоративных сетях, так и в сети Интернет. В процессе информационного обмена электронная почта:

  • обеспечивает внутренний и внешний информационный обмен

  • является компонентой системы документооборота

  • формирует транспортный протокол корпоративных приложений

  • является средством образования инфраструктуры электронной коммерции.

Однако, следует отметить, что несмотря на все неоспоримые преимущества использования электронной почты, существует немало опасностей (см. рис.1), сопряжённых с её применением.

Рис.1 Проблемы и негативное воздействие различных факторов на незащищенную почтовую систему

Рис.1 Проблемы и негативное воздействие различных факторов на незащищенную почтовую систему

2. Риски использования электронной почты

Компания подвергается рискам в силу ряда свойств электронной почты. Например, благодаря применению стандарта MIME электронная почта может переносить большие объемы информации различных форматов данных в виде прикрепленных к сообщениям файлов. Достоинство электронной почты превратилось в угрозу, поскольку электронная почта стала представлять собой практически идеальную среду для переноса вредоносных программ, в том числе компьютерных вирусов, «троянских» программ и т. п. Если надлежащий контроль электронной почты не обеспечен, это может привести к чрезвычайно серьезным последствиям и даже нанести компании непоправимый ущерб.

Серьезную опасность для корпоративной сети представляют различного рода атаки с целью «засорения» почтовой системы. Это, в первую очередь, пересылка в качестве вложений в сообщениях электронной почты файлов больших объемов или многократно заархивированных файлов, как правило, с большой глубиной вложенности архива.

Открытие таких файлов или попытка «развернуть» архив может привести к «зависанию» системы. При этом одинаково опасны как умышленные атаки этого типа, так и неумышленные, когда пользователи отправляют электронные письма с вложениями большого объема, просто не подумав о том, к каким последствиям может привести открытие подобного файла на компьютере адресата.

Отсутствие контроля над почтовым потоком, как правило, становится причиной того, что сотрудники компании используют электронную почту в целях, не связанных с деятельностью компании (например, для обмена видео-файлами и графикой, частной переписки, ведения собственного бизнеса с использованием почтовых ресурсов компании, рассылки резюме в различные организации и т. п.). Это приводит к резкому падению производительности труда в целом по компании.

Кроме того, к такому же результату может привести непродуктивное использование почтовых ресурсов в трудовой деятельности сотрудников (например, чрезмерное увлечение почтовой перепиской в случаях, когда необходимости в такой переписке нет, использование электронной почты не по назначению и т. п.).

Вообще передача в электронных письмах графических, видео и звуковых файлов, которые, как правило, имеют большой объем, даже если такая передача предусмотрена условиями ведения бизнеса, приводит к значительной перегрузке сети, а значит и к дополнительным финансовым затратам на ее обслуживание.

К «засорению» трафика также ведет получение спама. В принципе сам по себе спам безвреден, если не считать, что такого рода почта является «группой риска» с точки зрения переноса вирусов. Однако большое количество ненужной почты загружает каналы, «замусоривает» почтовые ящики, отнимает время на удаление ненужных писем и повышает вероятность случайного удаления нужных. Конечно, рассылка, например, сообщений рекламного характера, напрямую не преследует цели «засорить» почтовую систему организации, однако косвенно приводит к крайне негативным последствиям. Использование списков рассылки, в которую могут входить все пользователи одной корпоративной сети, и получение одновременно всеми этими пользователями сообщений рекламного характера грозит компании снижением производительности ее сетевых ресурсов.

Переписка с внешними корреспондентами таит наибольшую угрозу в силу определенных особенностей электронной почты. К таким особенностям относятся: невозможность контролировать маршрут передачи писем, а также их копирование и перенаправление, осуществлять аутентификацию отправителя/получателя, возвращать письма после их отправления. Кроме того, невозможен либо затруднен контроль количества отправляемых копий письма. Содержимое сообщения может быть прочитано в процессе передачи его по Интернет, поскольку заголовки и содержимое электронных писем передаются в открытом виде.

Другой проблемой, связанной с особенностями электронной почты, является то, что электронная почта позволяет неконтролируемое накопление информации в архивах и практически неуничтожима. В противоположность бытующему мнению, удалить электронную почту непросто. Резервные копии сообщений могут оставаться на персональных компьютерах отправителя и получателя или в сети компаний, где они работают. Если электронная почта послана через коммерческую службу или через Интернет, то она будет передаваться через несколько различных серверов. Каждый сервер в цепочке между отправителем и получателем может сохранить копию сообщения в своих архивах. Даже методичное выяснение местонахождения каждой копии электронного письма с последующим его удалением не дает никакой гарантии того, что сообщение не осталось на жестком диске компьютера или сервера. С помощью широко доступного программного обеспечения даже рядовой пользователь сможет восстановить сообщение электронной почты после того, как его якобы удалили.

Все эти особенности, а также простота копирования электронной почты и невозможность проконтролировать данную операцию приводят к тому, что сотрудник может передать корпоративную информацию любому количеству людей как внутри, так и за пределами компании анонимно и без соответствующего разрешения, сразу или по истечении какого-либо времени. При этом, такая информация может представлять собой как служебную информацию компании (тексты договоров, сведения о планируемых сделках и т. п.), так и пароли, системные данные, исходные коды программ или другую конфиденциальную информацию и интеллектуальную собственность компании. Это, в конечном итоге, грозит серьезным нарушением конфиденциальности и может привести к весьма неприятным для компании последствиям.

В отличие от бумажной корреспонденции, электронную почту очень легко неумышленно отправить по неверному адресу. Причиной этого может быть как неумелое пользование адресными книгами, так и ошибка в указании адреса получателя или, что еще хуже, случайный выбор опции, предусматривающей рассылку сообщения большой группе пользователей, в то время как сообщение является конфиденциальным

Одно из основных отличий электронной почты состоит в том, что отношение к ней намного менее формально, чем к другим видам коммерческих коммуникаций. Во-первых, большинство пользователей относятся к электронной почте как к чему-то временному, то есть поступают с ней по принципу «прочитал и выкинул». При таком отношении существует риск случайного удаления значимой информации. Кроме того, существует опасность потери переписки с важным клиентом.

Во-вторых, такое отношение к электронной почте приводит к тому, что из-за кажущейся недолговечности электронных сообщений люди часто используют их для того, чтобы выразить чувства и мнения в выражениях, которые они никогда не позволили бы себе употребить в традиционных письмах. Публикация таких писем в сети может нанести серьезный ущерб репутации компании или явиться причиной юридических исков к ней.

Еще одна область связана с потенциальной юридической ответственностью компании и ее сотрудников — это нарушение авторского права. Защищенные этим правом материалы могут содержаться или в сообщении электронной почты, или в присоединенных файлах. К подобным материалам относятся графическая, аудио, видео и различная текстовая информация, т. е. вся та информация, которая может быть представлена в электронном виде и передана по компьютерным сетям. Копирование или распространение любого из этих материалов без предварительного согласия автора или владельца авторских прав является нарушением закона. Если компания допускает, чтобы материалы почты, защищенные авторским правом, использовались сотрудниками, не имеющими на это полномочий, она может быть привлечена к ответственности за прямое или косвенное пособничество нарушению авторского права.

3. Требования к системе фильтрации содержимого электронной почты

При рассмотрении вопроса выбора той или иной системы фильтрации содержимого электронной почты следует принимать во внимание все вышеописанные риски. Данная система должна обеспечивать полный комплекс мер противодействия угрозам. В функции системы должен входить контроль почтового трафика и ведение архива переписки по электронной почте. Система фильтрации должна выполнять следующие функции:

  • Текстовый анализ электронной почты (анализ ключевых слов и выражений с помощью встроенных словарей). Данная возможность позволяет обнаружить и своевременно предотвратить утечку конфиденциальной информации, установить наличие непристойного или запрещенного содержания, остановить рассылку с пама, а также передачу других материалов, запрещенных политикой безопасности.

  • Контроль отправителей и получателей сообщений электронной почты. Данная возможность позволяет фильтровать почтовый трафик, тем самым реализуя некоторые функции межсетевого экрана в почтовой системе.

  • Разбор электронных писем на составляющие их компоненты (MIME-заголовки, тело письма, прикрепленные файлы и т. п.), устранение «опасных» вложений и последующий сбор компонентов письма воедино, причем с возможностью добавлять к сообщению электронной почты необходимые для администраторов безопасности элементы (например, предупреждения о наличии вирусов или «запрещенного» текста в содержании письма).

  • Блокировка или задержка сообщений большого размера до того момента, пока канал связи будет менее всего загружен (например, в нерабочее время). Циркуляция в почтовой сети компании таких сообщений может привести к перегрузке сети, а блокировка или отложенная доставка позволит этого избежать.

  • Способность определять реальный тип файлов по сигнатуре (двоичному коду). Данная способность позволяет предотвратить попытки «обойти» политику безопасности и спрятать реальное содержимое файла путем подмены его расширения. Кроме того, способность определять реальный тип файлов позволяет анализировать не только текст сообщения, но и текст, содержащийся в прикрепленных файлах.

  • Распознавание графических, видео и звуковых файлов. Как правило, такие файлы имеют большой размер, и их циркуляция может привести к потере производительности сетевых ресурсов. Поэтому способность распознавать и задерживать данные типы файлов позволяет предотвратить снижение эффективности работы компании.

  • Обработка сжатых/архивных файлов. Это дает возможность проверять сжатые файлы на содержание в них запрещенных материалов.

  • Распознавание исполняемых файлов. Как правило, такие файлы имеют большой размер и редко имеют отношение к коммерческой деятельности компании. Кроме того, исполняемые файлы являются основным источником заражения вирусами, передаваемыми с электронной почтой. Поэтому способность распознавать и задерживать данные типы файлов позволяет предотвратить снижение эффективности работы компании и избежать заражения системы.

  • Распознавание и способность анализировать текстовые файлы. Данная способность позволяет доставлять адресатам только те сообщения, которые разрешены в соответствии с политикой использования электронной почты.

  • Контроль и блокирование спама. Циркуляция спама приводит к перегрузке сети и потере рабочего времени сотрудников. Функция контроля и блокирования спама позволяет сберечь сетевые ресурсы и предотвратить снижение эффективности работы компании. Основными способами защиты от спама являются: проверка имен доменов и IP-адресов источников рассылки спама по спискам, запрос на указанный адрес отправителя (блокировка в случае отсутствия ответа), текстовый анализ спам-сообщения на наличие характерных слов и выражений в заголовках электронной почты (from/subject), проверка заголовков на соответствие спецификации RFC-822 и т. п.

  • Способность определять число вложений в сообщениях электронной почты. Пересылка электронного письма с большим количеством вложений может привести к перегрузке сети, поэтому контроль за соблюдением определенных политикой информационной безопасности ограничений на количество вложений обеспечивает сохранение ресурсов корпоративной сети.

  • Контроль и блокирование cookies, вредоносного мобильного кода (Java, ActiveX, JavaScript, VBScript и т. д.), а также файлов, осуществляющих автоматическую рассылку (так называемые «Automatic Mail-to»). Эти виды вложений являются крайне опасными и приводят к утечке информации из корпоративной сети.

  • Категорирование ресурсов почтовой системы компании («административный», «отдел кадров», «финансы» и т. д.) и разграничение доступа сотрудников компании к различным категориям ресурсов сети (в т. ч. и в зависимости от времени суток).

  • Реализация различных вариантов реагирования, в том числе: удаление или временная блокировка сообщения; задержка сообщения и помещение его в карантин для последующего анализа; «лечение» зараженного вирусом файла; уведомление администратора безопасности или любого другого адресата о нарушении политики безопасности и т. п.

  • Добавление к электронной почте специальных служебных сообщений, предупреждающих о юридической ответственности лиц в случае совершения ими правонарушений при использовании электронной почты.

Одним из основных критериев оценки систем контекстного анализа для российского рынка является поддержка продуктом различных кодировок кириллицы (Win’1251, DOS’ 866, ISO’8859.5, KOI’8, MAC, cp866), что дает возможность анализа русскоязычных текстов. Большинство продуктов иностранного производства не способны обеспечить поддержку кодировок кириллицы, а это в значительной степени снижает возможность их использования на территории РФ.

Большое значение для систем контроля содержимого имеет удобство администрирования системы, что предполагает наличие русскоязычного интерфейса, возможность разделения функций управления и администрирования системы, то есть разграничения доступа различных категорий пользователей к средствам управления системой.

И наконец необходимо сказать о важности сертификации средств контроля содержимого электронной почты Гостехкомиссией РФ. Во-первых, потому что при проведении испытаний того или иного продукта Гостехкомиссия подтверждает его соответствие определенным техническим условиям, а это является подтверждением качества данного продукта. Во-вторых, сертификация позволяет использовать продукт в государственных структурах, где наличие сертификата является обязательным требованием.

Сравнительный анализ систем контроля содержимого электронной почты, проведённый специалистами нашей компании показал, что среди представленных в настоящее время на российском рынке продуктов наиболее полнофункциональными и отвечающими современным требованиям являются: системы «Дозор-Джет» и MAILsweeper for SMTP.

4. Выводы

В настоящее время деятельность компаний все больше зависит от электронной почты. Удобство и практичность электронной почты очевидны. Однако не учитывать проблемы, которые возникают в связи с неконтролируемым ее использованием, уже нельзя. Последствия для компаний могут быть непредсказуемыми. В настоящее время существуют средства реализации серьезных преимуществ электронной почты, позволяющие снять угрозу надежности, конфиденциальности и продуктивности компании — это системы контроля содержимого электронной почты. Сегодня популярность таких средств растет в геометрической прогрессии. По прогнозу компании International Data Corp., к 2003 г. около 3,9 млн. различных организаций будут применять программы мониторинга электронной почты.

Необходимость систем контроля содержимого электронной почты подтверждается «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации», разработанными Гостехкомиссией при Президенте РФ в 2001 г. (СТР-К)1.

Таким образом, все перечисленные выше факты еще раз подтверждают необходимость применения в системах безопасности корпоративных сетей систем контроля содержимого электронной почты, которые способны не только обеспечить защиту системы электронной почты и стать эффективным элементом управления почтовым потоком, но и значительно повысить эффективность деятельности предприятия или организации.


1В статье 6.3.11.5 этого документа говорится: «В целях контроля за правомерностью использования абонентских пунктов и выявления нарушения требований по защите информации осуществлять анализ принимаемой из Сети и передаваемой в Сеть информации, в т. ч. на наличие вирусов. Копии исходящей электронной почты и отсылаемых в Сеть файлов следует направлять в адрес защищенного архива абонентских пунктов для последующего анализа со стороны администратора (службы безопасности)».


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Toolbar | КПК-версия | Подписка на новости  | RSS