FortiMail. Защита корпоративной электронной почты от атак
Электронная почта – один из главных векторов атак на компании. Злоумышленники могут использовать множество способов воздействия– фишинг, спам-рассылки, письма с вредоносным контентом, направленные атаки. При этом пользователи систем часто не знакомы с основными принципами безопасности при работе с электронной почтой, и поэтому являются «слабым звеном» в цепи защиты. Компаниям необходимы решения, которые бы позволяли предотвращать эти риски и контролировать все направления атаки на почтовые сервисы. Для этого используются решения класса Secure Email Gateway.
Дмитрий Павлухин, Аналитик по информационной безопасности ГК ХОСТ подготовил статью, в которой проанализировал возможности одного из главных игроков на рынке – FortiMail от компании Fortinet.
В статье мы поговорим о функциях решения FortiMail, разберем принципы настройки, механизмы защиты, Шифрование IBE, DLP, лицензирование и еще много всего полезного.
Содержание статьи:
- Оценки решения
- Функционал решения
- Режимы работы
- Принцип настройки
- Механизмы защиты
- Антиспам
- Антивирус
- Контентная фильтрация
- Сессионный профиль
- Иные защитные механизмы
- Варианты исполнения
- Линейка продуктов
- Лицензирование
Оценки решения
По данным Gartner – в отчете Secure Email Gateway Market Guide 2019 года, который пришел на смену знаменитому Magic Quadrant, Fortinet признан одним из глобальных игроков рынка, так как реализует все актуальные меры защиты электронной почты, рекомендованные Gartner.
В 2017-2018 годах FortiMail добился высоких оценок таких лабораторий, как NSS Labs, VB, ICSA Labs и SE Labs.
В 2020 году был выпущен новый отчет от ICSA Labs по итогам тестирования почтового шлюза, где была зафиксирована 97,9% точность блокирования вредоносных писем и низкий процент False Positive.
Функционал решения
В статье мы рассмотрим функционал FortiMail для операционной системы версии 6.2.4.
Режимы работы
Будучи решением класса Secure Email Gateway – FortiMail умеет работать в нескольких режимах: будь то классический почтовый шлюз, почтовый сервер или прозрачный режим.
Режим Gateway – классическое внедрение продукта, в котором проверка трафика механизмами защиты происходит на шлюзе и сообщения пересылаются на почтовый сервер. Требует изменения mx-записи домена.
Режим Server объединяет шлюз и сервер в одну сущность. Пользователи могут использовать веб-версию почтового клиента или же подключаться к серверу с любого удобного им десктопного или мобильного клиента.
Режим Transparent – позволяет протестировать решение, не меняя существующие настройки почты, расположив систему между внешним шлюзом и почтовым сервером. Но функционал здесь, конечно же, урезан.
Режим Office 365 – API-интеграция с облачной почтой от Microsoft по принципу извлечения, проверки и возврата писем.
Обычно мы предлагаем нашим заказчикам несколько вариантов тестирования решения, которые бы позволили оценить функционал с минимальными (или отсутствующими) рисками для инфраструктуры:
- Мы стараемся проводить тесты на боевом трафике для точной оценки текущей ситуации с защитой, но обычно на периметре уже есть некий MTA и почтовый сервер. Поэтому мы ставим FortiMail с белым адресом рядом с имеющимся MTA и прописываем ему mx запись с чуть меньшим приоритетом, чем у основного шлюза. Таким образом, часть трафика идет уже через FortiMail, и мы можем оценить работу системы. В дальнейшем можно «играть» с приоритетами mx.
- Развертывание FortiMail в режиме сервера и настройка пограничного MTA на пересылку сообщений на этот сервер FortiMail. Полностью безопасный вариант, но часть функционала протестировать не удается. С другой стороны, это уже больше чем можем предложить Transparent.
- Развертывание FortiMail в режиме Server и получение BCC, прошедшей через пограничный MTA почты.
Принцип настройки
В FortiMail, как и в других продуктах Fortinet, выделяются две сущности: политики и профили защиты.
Политика – это защитный каркас, который работает относительно IP-адресов (IP-based policy) или адресов получателей сообщений (Recipient-based policy). Они могут работать как вместе, так и по-отдельности. Лучше, когда вместе, потому что для политик каждого типа есть набор своих специфических защитных мер.
Профили защиты – это готовый набор параметров и настроек защиты. Если политики – это пистолет, то профили – это его патроны. Для политики, мы выбираем профили для защиты от спама, вирусов, контентной фильтрации и др. Профили содержат в себе десятки технологий инспекции почты и нейтрализации всех известных сегодня почтовых угроз.
Например, создание политики относительно IP, выглядит так:
А относительно получателей, вот так:
Можно заметить сходство. В обоих случаях нам нужно выбрать профили защиты для почтового трафика. В целом очень просто. Выбираем откуда и куда идет трафик и какие профили используются для проверки.
В каждом профиле настраиваются действия, выполняемые с трафиком, походящим под его параметры:
- Discard – это принять сообщение и сразу удалить его, без уведомления SMTP-клиента.
- Reject – не принимать сообщение, и отправить код ответа 550.
- SystemQuarantine и UserQuarantinе – отправить письма в карантин, системный или пользовательский. Если есть потребность складывать письма в карантин, то лучше в системный убирать письма с вирусами и вложениями, а в пользовательский – спам. Исходя из названия, пользователи будут иметь доступ к пользовательскому карантину.
Tag* - действия этого типа вносят предупреждения в тело письма, чтобы пользователь был внимательнее.
Таким образом, главный принцип настройки состоит в создании политики и её ассоциации с необходимыми защитными профилями.
Механизмы защиты
Каждое письмо, проходя на шлюз проходит определенную последовательность проверок и доходит до получателя только в ситуации, когда не было задетектировано ни одним механизмом защиты. При этом первый сработавший «защитник» прерывает дальнейшую проверку и выдает свой вердикт. В этом случае возможны ситуации, когда письмо содержит несколько признаков вредоносности, но отображен будет лишь первый сработавший.
Рассмотрим основные технологии защиты почтового трафика, содержащиеся в профилях. Мы не ставим цель рассмотреть все имеющиеся технологии защиты, потому что для этого есть админ гайд. Здесь мы рассмотрим лишь то, что наиболее важно.
Антиспам
FortiGuard – облачная база знаний от Fortinet, постоянно обогащаемая информацией о возникающих угрозах. Включать однозначно, механизм детектирует большое число вредоносов. Для Антиспама есть настройка Spam Outbreak с отправкой признаков письма на проверку, включить её тоже полезно, но всегда нужно выставлять приемлемый таймаут для такой проверки, потому что по умолчанию он равен 30 минутам, а это не для всех приемлемо.
Greylist – технология, основанная на первичном отказе принять письмо от получателя. Спамеры обычно не пробуют снова отправить письмо. На этом и основана фильтрация. Но по нашему опыту опцию лучше выключать – время доставки письма может расти непредсказуемо.
SPF, DMARC – эти технологии используются на всех современных серверах, поэтому включаем.
Behavior analysis – механизм обнаружения сходств между известными базе FortiGuard спам-письмами и входящим трафиком. Функция полезная, лучше устанавливать low или medium уровень, чтобы избежать False Positive.
Header analysis – Проверка заголовков сообщения на признаки спама. Включаем.
Impersonalization analysis – защита от подделки заголовка письма, когда в поле отправитель задается адрес отправителя, отличный от действительного. (например evilhost@hackyou.com выдает себя за info@hostco.ru). Включать нужно, правда этот компонент лицензируется отдельно.
Heuristic – эвристическое определение вредоносности, основанное на вычислении индекса вредоносности письма (Score). Если индекс больше порога – письмо отбрасывается, меньше – пропускается. Fortinet рекомендует использовать порог по умолчанию. Обычно проблем не вызывает. В иных случаях – нужно либо менять порог, либо отключать.
SURBL, DNSBL – очень полезные фичи фильтрации писем по URL и DNS черным спискам, особенно хорошо здесь то, что можно задать свои источники фидов.
Banned word, Safelist word – Функции, позволяющие решить судьбу письма на основе фраз или слов, содержащихся в теме или тексте письма.
Dictionary – Похоже на Banned Word, но позволяет использовать regexp. При этом ест много ресурсов.
Image spam – Бывает когда спам состоит из картинки, в которую вписан текст. Эта функция позволяет распознать его и блокировать спам с такими картинками. Лучше включать.
Bayesian – То самое машинное обучение FortiMail. Определяет качество письма с помощью формулы Байеса. Перед использованием базу данных нужно натренировать на живом трафике.
Suspicious newsletter – Защита от спама, маскирующегося под новостные рассылки.
Newsletter – Все новостные рассылки. Тут на любителя.
Антивирус
Malware/virus outbreak – Технология, аналогична Spam Outbreak. Включать точно нужно, но будьте внимательнее с таймаутом проверки. Его лучше уменьшить до 10 минут. Меньше – нет смысла, потому что если вам прилетает новая угроза, базы FortiGuard обновляются примерно раз в 10 минут.
Heuristic – Эвристический скан вредоносов. Включать нужно.
File signature check – Проверка вредоносов по хэш-сумме. Включаем. Стоить отметить, что FortiMail позволяет добавлять в систему кастомные сигнатуры.
Grayware – защита от легитимных способов сломать почту, вроде атак mail bomb. Лучше включать.
FortiSandbox – интеграция с песочницей от Fortinet. Позволяет проверять файлы и ссылки, входящие в письма в специальной среде, где производится анализ поведения отправленного ресурса. Будет работать только в случае наличия отдельного апплаенса или облачной подписки на FortiSandbox. Позволяет работать в режиме мониторинга – то есть просто отправлять ресурсы на проверку, либо в режиме блокировки при сработках. Но во втором случае требуется ждать результатов проверки.
На картинке ниже отражена связь IP репутации с используемыми механизмами защиты почты.
Контентная фильтрация
Содержит множество механизмов, опишем их крупными мазками.
Attachment Scan Rules – правила фильтрации вложений по расширениям и MIME-типам. По умолчанию, например, запрещено пропускать письма с исполняемыми файлами. То же самое можно сделать с любыми типами.
Scan Options – настройки принятия и сканирования писем с вложениями, по размеру, количеству вложений, что делать с запароленными файлами и т.д. Общие параметры
Content Disarm and Reconstruction & URI Protection – Фича, которую часто показывают на демонстрациях. Позволяет пересобирать HTML, офисные документы,
PDF, удаляя из них активное содержимое. Может проверять и предотвращать клики на ссылки в письмах, подменять адрес ссылок на адрес FortiMail, блокировать нежелательные и вредоносные ресурсы. Очень полезная вещь.
Archive Handling – Что делать с архивами, пробовать ли подбирать пароли.
File Password Decryption Options – источники для подбора паролей к архивам: тело письма, словари.
Content Monitor and Filtering – позволяет предпринимать действия, при совпадении слов из словаря и содержания вложений.
Сессионный профиль
Включает в себя механизмы управления почтовыми сессиями, разбор заголовков и контента TCP-сессий.
Connection Settings – Управление ограничениями по количеству сообщений, получателей и соединений за период в 30 минут.
Sender Reputation – интегральная оценка репутации отправителей, которая считается исходя из количества «хороших» и «плохих» действий отправителя. При достижении отправителем некоего порога «плохих» действий – его сообщения начинают отбрасываться. Эту фичу нужно включать.
Endpoint Reputation – то же самое, что и Sender Reputation – только для владельцев динамических IP. Выстраивает репутацию относительно других параметров (subscriber ID, login ID, MSISDN). Это больше относится к держателям мобильных устройств. Выхлопа с функции немного.
Sender Validation – валидация отправителей (SFP, DKIM), отправка подписей вместе с сообщениями. Включаем.
Session Settings – Проверка правильности имени домена, синтаксиса сессии. Оставляем по умолчанию.
Unauthenticated Session Settings – Перечень проверок от тех, кто пытается подделывать имена доменов, отправителей.
SMTP Limits – Различные ограничения для писем, связанные с размерами заголовков, количеством получателей и сессий.
Error Handling – Какие поблажки допускаем для тех кто, немного «косячит».
Header Manipulation – Удаление заголовков сообщений
Lists – Белые и черные листы относительно адресов.
Иные защитные механизмы
Шифрование IBE
FortiMail предлагает собственное решение для обеспечения целостности электронной почты, основанное на шифровании относительно адресов получателей сообщений и некоторых других характеристик. Шифрование не требует особых усилий со стороны администратора и пользователей: имеются плагины для популярных почтовых клиентов. Что касается получателей – им приходит уведомление о наличии зашифрованного сообщения и перейдя по ссылке – они могут прочитать его.
Машинное обучение (поведенческий анализ)
О нем уже было частично сказано. Алгоритм анализирует частотность слов, которые были идентифицированы со спамом. После полноценной тренировки появляется возможность отбрасывать письма, в которых встречаются наиболее высокочастотные в спаме слова.
DLP
Возможность блокировать отправку писем относительно ключевых слов или паттернов, содержащихся в тексте. Также поддерживается проверка фингерпринтов документов.
Интеграция с фабрикой безопасности
Статистика и статус FortiMail могут отслеживаться в дашборде FortiGatе, а логи могут отправляться на FortiAnalyzer.
Есть возможность отправлять неизвестные вредоносы в песочницу FortiSandbox.
Или защищать пользователей от перехода по вредоносным ссылкам с FortiIsolator.
Fortinet имеет множество продуктов, которые легко интегрируются между собой и дополняют защиту.
GEO-IP политики
Одна из новых фич - это возможность настраивать IP политики, относительно стран, вместо IP-адресов, что позволяет усилить безопасность и увеличить скорость работы системы, за счет отбрасывания ненужных диапазонов.
Конечно, это не все механизмы, содержащиеся в системе. FortiMail дает большое пространство для творчества, чтобы не дать заскучать искушенному администратору.
Варианты исполнения
FortiMail поставляется в 3 вариантах:
- Железный апплаенс – классический вариант поставки. Обеспечивает максимальное быстродействие за счет оптимизации работы компонентов внутри сервера.
- Виртуальная машина – Гибкий вариант, так позволяет оптимизировать размер оперативной памяти и HDD самостоятельно.
- Облачный сервис – подписка удобна, если инфраструктура находится в облаке, либо хочется передать часть администрирования на сторону вендора.
Линейка продуктов
Железные серверы представлены в форм-факторах 1 и 2 юнита. Таблица соответствия производительности с виртуальными аналогами представлена на картинке ниже:
Из таблицы можно вынести то, что железные решения являются более производительными, в первую очередь за счет использования оптимизированных внутренних компонентов (компания Fortinet сама является производителем апплаенсов)
Лицензирование
Если говорить о железных и виртуальных серверах – то здесь отсутствует ограничение по количеству пользователей для любой лицензии.
Виртуальные машины лицензируются по количеству ядер и защищаемых доменов.
Облачная подписка по количеству пользователей и по времени (от 1 года).
Кроме того, есть лицензирование относительно защитных механизмов устройств. Можно выделить два основных варианта.
Base Bundle: включает в себя антиспам, антивирус и Outbreak Protection в облачной базе знаний FortiGuard, а также почти все вещи, описанные в данной статье.
Хороший джентльменский набор защитных мер.
Enterprise Bundle: включает помимо всех базовых вещей подписку на облачный FortiSandbox, нейтрализацию контента CDR и URI Protection (Описанные в Content Profiles), а также (Антиспам профиль). Это позволяет построить полноценную защиту от почтовых угроз, включая потенциальные zero-day атаки.
Кстати, с помощью специалистов отдела информационной безопасности ГК ХОСТ вы можете бесплатно протестировать данное решение FortiMail и получить триальную лицензию. Оставьте заявку на нашем сайте.