BI.ZONE Cloud Email Security & Protection (CESP)

Основные статьи:

• Антивирусы
• Антиспам технологии
• DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации

Cloud Email Security & Protection (BI.ZONE CESP) защищает сервис электронной почты от фишинга и спама, проводит проверку вложений на наличие вредоносных ссылок и ПО.

2024

Защита от квишинга в письмах

Обновленный сервис BI.ZONE CESP защищает от квишинга в письмах и учитывает уровень киберграмотности сотрудников. Об этом BI.Zone сообщила 26 апреля 2024 года.

Теперь мошенники не смогут скрыть фишинговые ссылки в электронной почте с помощью QR-кодов, иноязычных знаков препинания, HTTP-якорей или query-параметров. Обновленный BI.ZONE CESP также определяет попытки спрятать большое количество получателей рассылки, а благодаря интеграции с BI.ZONE Security Fitness помогает усилить защиту наиболее уязвимых сотрудников.Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое

По данным BI.ZONE, в 2023 году с фишинговой рассылки начинались 68% целевых атак на российские компании, а в первом квартале 2024 года этот показатель колебался от 70 до 80%. При этом мошенники постоянно расширяют и модифицируют свой арсенал. В 2024 году одними из самых популярных методов маскировки нежелательного контента остаются фишинг с использованием QR-кодов (квишинг) и разные методы сокрытия вредоносных ссылок: за HTTP-якорями, query-параметрами, редко встречающимися символами и знаками препинания.

Ссылки в QR-кодах в большинстве случаев ведут на сайты, правдоподобно имитирующие страницы известных компаний или сервисов. Например, в одной из квишинговых рассылок, которые BI.ZONE CESP обнаружил и заблокировал в первом квартале 2024 года, QR-код вел на поддельную страницу входа в известный почтовый клиент. Если бы пользователь ввел свои логин и пароль, данные отправились бы напрямую к злоумышленникам, а на странице появилось бы оповещение об ошибке.

В свою очередь, HTTP-якори и query-параметры использовались для сокрытия вредоносных ссылок в 30% фишинговых рассылок (по данным BI.ZONE CESP за первый квартал 2024 года). В обычных ссылках HTTP-якори позволяют пользователю переходить сразу на нужный раздел сайта; query-параметры упрощают работу со страницей: навигацию, поиск в каталоге; а владельцы страниц используют их, чтобы собирать и систематизировать информацию о посещениях сайта.

Согласно стандарту RFC 3986, регулирующему структуру и синтаксис URL, браузеры не должны обрабатывать эти символы при переходе по ссылке, если они находятся за специальными разделителями. На практике такие знаки все равно часто учитываются, чем и пользуются мошенники: они добавляют в легитимную на вид ссылку скрытые вредоносные элементы.

Среди других популярных методов преступников: добавление во вредоносные ссылки иноязычных знаков препинания или редко используемых символов, которые могут помешать защитным механизмам распознать URL; массовые рассылки со скрытым числом получателей, поскольку чем шире аудитория, тем больше шансов на результат.

По данным BI.ZONE, в 2023 году преступникам удалось с помощью всего одной рассылки с вредоносным ПО за 24 часа скомпрометировать более 400 российских компаний. А в ходе одной из самых массовых кампаний, обнаруженных и заблокированных BI.ZONE CESP в 2024 году, мошенники попытались разослать письма с вредоносными QR-кодами более чем 4000 пользователей.

С помощью машинного зрения BI.ZONE CESP теперь распознает QR-коды и анализирует содержащиеся в них ссылки. Мы также улучшили механизм парсинга URL, чтобы вредоносные техники нельзя было скрыть за query-параметрами или HTTP-якорями, и постоянно расширяем для наших парсеров набор считываемых символов и форматов, чтобы выявлять любые попытки необычной кодировки, сказал Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.

Кроме того, обновленный сервис BI.ZONE CESP фиксирует техники, которые злоумышленники используют, чтобы скрыть большое число получателей письма. Для таких писем автоматически повышается спам-рейтинг, и они отправляются в карантин, даже если остальные механизмы проверки не зафиксировали в рассылке вредоносной составляющей.

Благодаря расширенной интеграции с BI.ZONE Security Fitness, платформой для повышения киберграмотности сотрудников, в обновленном BI.ZONE CESP улучшена защита от методов социальной инженерии. По итогам тренировок на BI.ZONE Security Fitness формируется рейтинг пользователей, который показывает, кто из них потенциально уязвим к социотехническим атакам. Для таких сотрудников карантин писем будет более строгим и охватит все письма с малейшим подозрением на фишинг. Это снизит вероятность, что такое сообщение будет открыто и спровоцирует компрометацию всей корпоративной инфраструктуры.

Помимо используемых злоумышленниками тактик и техник специалисты BI.ZONE CESP следят на новыми уязвимостями в ПО, которое участвует в SMTP-диалоге. Если для какой-либо уязвимости необходимо манипулировать почтовым трафиком, в BI.ZONE CESP для нее оперативно создаются защитные правила, которые позволяют пользователям обезопасить себя до появления патчей. Это особенно актуально для ПО, которое не обновляется в России официально.

Только за последние 10 месяцев специалисты BI.ZONE CESP закрыли критические уязвимости CVE-2024-21413 (уровень опасности по шкале CVSS — 9,8 из 10 баллов) и CVE-2023-34192 (уровень опасности — 9 из 10). Кроме того, BI.ZONE CESP подтвердил свою устойчивость к ряду уязвимостей среднего уровня критичности SMTP Smuggling (CVE-2023-51764, CVE-2023-51765, CVE-2023-51766) — они активно эксплуатируются при рассылке фиктивных писем от чужого имени.

Важной частью обновления BI.ZONE CESP стало расширение возможностей администрирования на стороне клиента, в том числе при самостоятельной работе с журналом сообщений. Теперь администратор может отправить себе на электронную почту выдачу по любому фильтру журнала. В CSV-документе по каждому письму будут указаны: дата и время, идентификаторы соединения и сообщения, IP-адрес отправителя, email-адреса отправителя и получателя, тема, размер сообщения в байтах, рейтинг статус доставки и действия BI.ZONE CESP.

Сам журнал стал подробнее. В обновленных карточках есть информация о присутствии письма в белом или черном списке по какой-либо характеристике отправителя, получателя или IP-адреса; при наличии ссылок — веб-категориях соответствующих доменов, ссылки на которые содержатся в письме; сработавших правилах расширенного списка. Каждое свойство можно рассмотреть в деталях. Кроме того, теперь появились фильтры по статусу доставки сообщения, категории URL в письме, ответу почтового сервера во время доставки и защищаемому домену.

Процесс настройки конфигурации защищаемых доменов стал прозрачнее. Теперь, когда процесс находится на стороне инженеров BI.ZONE CESP, заказчик может увидеть, какую из четырех стадий он проходит: синхронизация, проверка SMTP-серверов, отправка тестового письма или ожидание изменения MX-записей. На каждой из стадий можно запустить проверку и увидеть актуальный статус.

Доступность в «Инферит Облаке»

Российский облачный провайдер предлагает клиентам сервис BI.ZONE CESP, который обезопасит почту от нежелательных сообщений. Благодаря сотрудничеству с BI.ZONE провайдер «Инферит Облако» усилил линейку решений в области кибербезопасности. Об этом Inferit (Инферит) сообщил 22 марта 2024 года. Подробнее здесь.

2023

Возможность для пользователя самостоятельно настроить фильтрацию входящих и исходящих писем

Компания BI.ZONE 7 августа 2023 года представила обновление облачного сервиса BI.ZONE CESP для защиты корпоративной почты от спама, фишинга и вредоносного ПО. Теперь пользователь сможет самостоятельно настроить фильтрацию входящих и исходящих писем на основе более чем 20 параметров. Это позволит учесть индивидуальные угрозы для компании, а также повысить защиту от внешних угроз и от утечек корпоративных данных. Частота ложных срабатываний при этом не превышает 0,02%.

В обновленной версии решения к встроенным правилам фильтрации почты добавился гибкий механизм формирования спам-рейтинга — специального параметра, определяющего, следует ли пропустить письмо или заблокировать его. Пользователь может настраивать 20 условий, среди которых домен отправителя, тема сообщения, ссылки в теле письма, имена вложенных файлов и др. В зависимости от того, какие из этих характеристик выбраны в качестве приоритетных, спам-рейтинг писем будет повышаться или понижаться. Например, можно считать более подозрительными входящие письма со ссылками на публичные файлохранилища или исходящие с вложенными сканами документов с синими печатями. Таким образом, у BI.ZONE CESP появилась возможность, характерная для решений класса DLP (data loss prevention, система защиты организации от утечек конфиденциальных данных).

Эффективнее стали работать механизмы защиты, например алгоритмы машинного обучения, которые используются для анализа писем. Расширился диапазон параметров, которые умеет учитывать модель, и теперь он включает в себя не только тело письма, но и тему, ссылки в тексте и служебные заголовки (строки, в которых указаны адреса отправителя и получателя, кодировки и другие параметры).

В данной версии системы для каждого пользователя составляется индивидуальный профиль, основанный на количестве ежедневно получаемых и отправляемых писем. Это позволяет с высокой точностью выявлять аномальные активности, которые могут говорить о входящей атаке или взломе аккаунта. Мы также усовершенствовали систему автоматизированного поиска вредоносного исполняемого кода в документах с HTML-разметкой, систему автоматизированного поиска фишинговых ссылок и алгоритм подбора пароля для защищенных архивов. Наконец, наш сервис научился обнаруживать юникод-спуфинг, к которому все чаще прибегают злоумышленники, чтобы подделывать адреса отправителей, сказал Дмитрий Царев, руководитель управления облачных решений кибербезопасности, BI.ZONE.

По данным BI.ZONE, общее число фишинговых писем выросло с начала года в 2,5 раза. Чтобы эффективнее отслеживать реальные атаки, обновленная версия BI.ZONE CESP позволяет пользователям самим предупреждать службу безопасности компании о письмах, которые кажутся им подозрительными. Сотруднику достаточно отметить письмо специальным флажком, чтобы информация о сообщении автоматически ушла в техподдержку, а спам-рейтинг отправителя повысился. Данная возможность стала доступна благодаря интеграции платформы с BI.ZONE Security Fitness — решением для противодействия социотехническим атакам.

Обновленный сервис лучше мониторит публичные репутационные списки: если IP-адрес компании попадает в такой список, ее письма могут не доходить до получателей, а это ставит под угрозу непрерывность бизнес-процессов. При защите с BI.ZONE CESP почтовый трафик направляется с IP-адресов сервиса, а не компании. В случае ошибки почта клиента не окажется в репутационном списке, а представители BI.ZONE свяжутся с держателями баз и устранят проблему. Благодаря такому подходу компании могут быть уверены, что их исходящая почта дойдет до адресата.

Защита от критической уязвимости в MS Outlook, открывающей злоумышленникам доступ к учетным данным жертвы

Российский сервис от BI.ZONE защищает электронную почту от выявленной уязвимости Microsoft Outlook. Об этом компания BI.Zone (Безопасная Информационная Зона, Бизон) сообщила 6 апреля 2023 года.

О программной ошибке в MS Outlook стало известно в марте 2023 года. Критическую уязвимость под названием CVE-2023-23397 эксперты оценили на 9,8 из 10 по шкале CVSS.

Злоумышленник отправляет электронное письмо, которое содержит специально созданное событие календаря или задачу. Пользователю не нужно даже открывать сообщение, достаточно того, что на компьютере запущен Microsoft Outlook. Сразу после этого злоумышленник использует уязвимость и проводит атаку. Он получает учетные данные жертвы и может использовать их.

Команда облачного сервиса по защите электронной почты BI.ZONE CESP оперативно разработала дополнение, которое проверяет письма и вложения в них еще до того, как они попадут к пользователю. Обновление уже автоматически установлено у всех клиентов сервиса, так что их электронную почту злоумышленники скомпрометировать не смогут.

Когда мы только узнали про уязвимость в почтовом клиенте Microsoft, мы сразу оценили, насколько большой ущерб она может принести. MS Outlook официально не обновляется в нашей стране, а значит, такая ошибка в софте несет угрозу именно российским пользователям. Команда BI.ZONE CESP в сжатые сроки создала правила фильтрации, которые защищают наших клиентов от этой уязвимости, сказал Муслим Меджлумов, директор по продуктам и технологиям BI.ZONE.

2022: Обновление сервиса BI.ZONE CESP

24 октября 2022 года компания BI.Zone сообщила о развитии сервиса BI.Zone CESP с целью улучшения защиты электронной почты. В частности, была оптимизирована система фильтрации: вредоносное ПО не останутся незамеченными даже во вложениях с паролем.

BI.ZONE Cloud Email Security & Protection (BI.ZONE CESP) — облачный сервис для защиты электронной почты компании от спама, фишинга и вредоносного ПО.  После обновления BI.ZONE CESP научился анализировать защищенные файлы. Если в письме есть архив с паролем, система сама попытается его подобрать, чтобы узнать, есть ли внутри вредоносное ПО. Еще одна из возможностей — анализ ссылок во вложениях: система ищет и проверяет на фишинг ссылки в прикрепленных файлах и архивах.

Кроме того, улучшился поведенческий анализ. Раньше, когда подозрительное письмо попадало в спам, повлиять на репутацию отправителя мог только сам получатель, если решал принять почту из карантина. Со временем система запоминала выбор пользователя и снижала спам-рейтинг отправителя — показатель, который отражает, насколько письмо подходит под параметры спама. Теперь же система учитывает и действия администратора CESP компании клиента.

Для киберпреступников электронная почта — идеальный вектор атаки. По нашим данным, не менее 70% корпоративных сотрудников попадаются на уловки мошенников во вредоносных письмах. Сервис BI.ZONE CESP блокирует нежелательную и потенциально опасную почту, прежде чем она достигнет почтового сервера и окажется у получателя. Также стоит отметить, что компания предоставляет решение в рамках сервисной модели. Это позволяет избежать трат на установку программного или аппаратного решения в ИТ-инфраструктуре, а для обслуживания не нужно выделять специалистов со стороны клиента, прокомментировал Дмитрий Царев, руководитель направления разработки облачных продуктов кибербезопасности BI.ZONE.

BI.ZONE CESP обеспечивает распознавание спама до 99,9% и минимальный уровень ложных срабатываний. Сервис входит в реестр отечественного ПО.

2021: Включение в реестр российского ПО

23 апреля 2021 года компания по стратегическому управлению цифровыми рисками BI.Zone объявила о внесении ряда своих продуктов в реестр российского ПО. В Единый реестр российских программ для электронных вычислительных машин и баз данных так же включен BI.ZONE CESP. Подробнее здесь.

2020: Открытие бесплатного доступа на фоне эпидемии коронавируса

23 марта 2020 года Сбербанк сообщил, что его дочерняя компания BI.Zone открыла бесплатный доступ к сервисам кибербезопасности. Вплоть до 1 июля 2020 года получить услуги по защите корпоративной сети и сотрудников на удаленном доступе сможет любая российская компания. В числе сервисов и BI.Zone Cloud Email Security & Protection (CESP). Подробнее здесь.