10 kroků k nejlepší ochraně firemních e-mailů
10 kroků k nejlepší ochraně firemních e-mailů | 1
Obsah Proč je e-mail tolik zranitelný?
4
Jaké škody může způsobit hacker prostřednictvím e-mailu?
5
Rozšířenější a závažnější počítačové útoky
6
Spam – přetrvávající problém, možná víc než kdy jindy
7
Nová hrozba – ThingBot
8
Je čas se bránit!
9
Krok č. 1 – nastavte si vhodné heslo
10
Krok č. 2 – braňte se únikům dat na základě jejich obsahu
11
Krok č. 3 – zastavte spam dříve, než opravdu zatuchne
12
Krok č. 4 – kontrola obsahu prostřednictvím filtrování a monitoringu
13
Krok č. 5 – zbavte se malware
14
Krok č. 6 – předcházejte porušení pravidel
15
Krok č. 7 – dodržujte compliance
16
Krok č. 8 – školení a osvědčená praxe
17
Tipy a triky pro školení Vašich IT uživatelů
18
Krok č. 9 – braňte se phishingu
19
Krok č. 10 – implementujte obranu i do hloubky
20
O společnosti GFI
21
10 kroků k nejlepší ochraně firemních e-mailů | 2
E-mail představuje neměnnou konstantu. E-mail je všude. E-mail je kouskem nás, který ovšem může dobře existovat bez nás samotných. Více než 180 miliard zpráv je odesláno a přijato každý den. Mnoho z nás dostane stovky zpráv každý týden, ne-li denně. Každý z těchto zdánlivě nevinných e-mailů může být zdrojem útoku, může obsahovat malware případně způsob, jak zničit Vaši společnost. Bylo by příliš snadné zastavit hackery v případě, pokud by útočili prostřednictvím e-mailových zpráv. E-mailová zpráva je bohužel zranitelná ve více ohledech, což samotní hackeři dobře vědí a neustále se snaží přicházet se způsoby, jak se prostřednictvím e-mailové zprávy infiltrovat do Vaší společnosti. A situace se zhoršuje každým dnem. Musíte proto chránit svou síť před útoky, a to prověřením jejích základů a ujištěním se, že činíte vše pro bezpečí Vaší e-mailové infrastruktury. Musíte být nejen ve střehu, ale dokonce natěšení na nové i stávající útoky, díky čemuž pak lépe zvládnete problémy, vyplývající z takových útoků, přičemž nevyžádaná pošta je Vaší nejmenší starostí. V této elektronické knize představíme současnou situaci a nabídneme Vám 10 možností, jak se s výše popsanými problémy vypořádat.
10 kroků k nejlepší ochraně firemních e-mailů | 3
Proč je e-mail tolik zranitelný? E-mail je jedním z nejsnazších způsobů pro hackery, jak získat přístup do Vaší sítě. Jakmile se do ní dostanou, získají klíče k Vašemu království. Nejenže mohou získat vyšší přístupová práva k síti, zaútočí-li na slabá místa a chyby v systému a jeho aplikacích, ale mohou si také prohlížet obsah e-mailů všech uživatelů a kromě jiných problémů mohou použít takovou informaci k převzetí a používání jejich identity. E-mail je zranitelný. Obecně neplatí, že problémem jsou jen slabě nastavená hesla a uživatelé, kteří snadno podlehnou sociálnímu inženýringu. Hackery zajímají i e-mailové adresáře uživatelů. Kolikrát jste již obdrželi
falešný e-mail od někoho z přátel nebo kolegů, protože jejich adresář byl napaden? A právě proto, že se jedná o e-maily od osob, kterým důvěřujete, je rádi otevřete. Proto velmi jednoduše dojde k situaci, kdy zaměstnanec s velmi malou obezřetností spadne do takové pasti a třeba klikne na infikovaný hypertextový odkaz. Lidé, skrývající se za těmito hrozbami, jsou organizovaní mezinárodní zločinci, kteří používají velmi sofistikované metody.
10 kroků k nejlepší ochraně firemních e-mailů | 4
Jaké škody může způsobit hacker prostřednictvím e-mailu?
@
@
Občas považujeme některé e-mailové útoky jen jako obtěžující. Například když robot převezme kontrolu nad Gmailem tetičky Kateřiny a pošle nám falešnou zprávu. Třeba Vy se takovému nebezpečí vyhnete ale jiní nikoliv. A ti, kteří naletěli, pravděpodobně poškodili další uživatele včetně těch, které mají ve svých pracovních nebo soukromých adresářích.
@
@
@
Zneklidňující na těchto incidentech je, že uživatel se o útoku dozví právě až od některého ze svých kontaktů, který ho upozorní na podezřelý e-mail. A pokud byl e-mailový účet převzat jen za účelem rozesílání spamu, oběť si všimne nejvýše toho, že se výkon počítače významně snížil. Tyto útoky jsou jen špičkou ledovce. Existuje mnoho rafinovanějších a nebezpečnějších útoků.
@
@
@
@ Například zavirované e-mailové zprávy předsta-
vují závažný problém. Vrátíme-li se v čase zpět do roku 1999, tak si někteří z nás možná vzpomenou na příšerný virus Melissa. Ten prostřednictvím e-mailu přetěžoval e-mailový systém infikovanými zprávami, čímž ho dostal do kolen.
@
Virus se rozšiřoval tak, že uživatele klamavě vybízel k otevření přílohy, obsahující seznam údajných přístupových hesel k bezplatné pornografii. Útoky byly odraženy až poté, co již došlo k určitým škodám. To ale neznamená, že virus byl na dobro zničen. Naopak se díky viru Melissa ostatní hackeři přesvědčili o tom, co vše bylo v tomto ohledu možné, převzali jeho kód a vypustili jeho novou verzi. Právě to, že hackeři sdílejí kódy virů, je hlavním motorem počítačových útoků.
@
@
@ @
@
@
Dokonce i úplný nováček programátor může drobnou úpravou kódu znovu oživit již známý kousek malware. V případě viru Melissa hackeři zcela nepokrytě ukázali svou sílu, přičemž hlavní roli sehrály e-mailové zprávy.
@
10 kroků k nejlepší ochraně firemních e-mailů | 5
Rozšířenější a závažnější počítačové útoky Hackeři milují snadné cíle a zejména takové, které jsou všudypřítomné. To je důvod, proč byl dlouho Microsoft® software hlavním cílem útoků. E-maily jsou na tom podobně co do výše uvedené charakteristiky, proto je běžný e-mailový uživatel konfrontován s tzv. phishingem, infikovanými webovými odkazy, s útoky na slabiny spojenými s přiděleným oprávněním, útoky na adresáře. Nárůst množství e-mailové komunikace vytváří větší problém: dnešní uživatelé mají firemní e-mail, pravděpodobně také pracují s různorodými webovými e-mailovými účty, což multiplikuje počet přenašečů útoku. Pro mnoho z nás představuje e-mailový účet aplikaci, se kterou strávíme nejvíce času. Je tedy těžké udržet krok s objemem důvěryhodné pošty, natož pak s nevyžádanou. Proto tváří-li se infikovaný e-mail jako důvěryhodný, snadno zmate i zkušeného uživatele.
Namísto e-mailové adresy, na kterou by bylo možné odpovědět, byla Bridggie tak laskavá, že původní zprávu vytvořila ve formě elektronické pozvánky v rámci MS Outlook. Otevřením takové pozvánky může dojít k závažným útokům. Samozřejmě takové žádosti o schůzku musí být ihned zcela odstraněny, a to nikoliv jen přesunutím do složky spam. A stejně tak jako byste neměli odpovídat na nevyžádanou poštu, neklikejte na tlačítko odmítnout v rámci pozvánky, protože to je v podstatě podobná odpověď. Umožní-li se zaměstnancům pracovat s více účty, dojde k znásobení počtu útoků, kterým budete čelit. Nejlepší je omezit uživatelův přístup k firemnímu e-mailovému systému na dobu, po kterou pracuje ve firemní síti. Předpokládáme, že jste implementovali obranné mechanismy vícevrstvé bezpečnosti. Nechráněné účty jsou také významným zdrojem úniků dat a malware.
E-mail je dokonalým nositelem červů – druhu malwaru, který se rozmnožuje a šíří z velké části prostřednictvím e-mailu. Tito červi navíc díky začínajícím podvodníkům (tzv. script kiddies) nikdy nehynou, protože jsou jimi jednoduše „vylepšeni“ a představují ještě větší nebezpečí. Vezměme takový léta známý vir Win32/Brontk. Jedná se o klasického červa, který se šíří hromadnou korespondencí. Typicky si tento červ rozesílá zprávy s nevinně vypadající přílohu s cílem dostat se ke kontaktům v adresáři napadených koncových uživatelů. Může dělat i horší věci, červ typu Win32/Brontk dokáže vypnout Vaše zabezpečení jako je antivir, nebo dokonce může napadnout a zneužít e-mail k zahájení tzv. DoS útoků (Denial-of-service). Pak tu máme peněžní podvody podobné těm, jako jsou například známé nigerijské podvodné dopisy. V jednom případě píše Bridggie William z Keni, že její manžel zemřel po operaci srdečních tepen a zanechal po sobě více než 10 milionů dolarů. Vzhledem k tomu, že sama Bridggie umírá na rakovinu, tak chce, aby jí příjemce poskytl bezpečné místo pro všechny tyto peníze.
Na druhou stranu pokud uživatelé hodně surfují na internetu, sdílejí data, má pro Vás smysl poskytovat podporu těmto webovým klientům. Uživatelé je sice mohou používat pro nepracovní účely, ale je potřeba mít jistotu, že jsou chráněni, protože způsob jejich používání může zásadně ovlivnit celou společnost.
10 kroků k nejlepší ochraně firemních e-mailů | 6
Spam – přetrvávající problém, možná víc než kdy jindy Spam je často považován jako pouhé obtěžování. Naše složky s doručenou poštou jsou denně přeplněny tímto odpadem. Nevyžádaná pošta je hlavním kanálem pro útoky hackerů, ať se jedná o malware nebo phishing. A spam je čím dál více nebezpečnější než dříve. Hackeři se nepokouší jen nalákat na koupi falešného zboží, ale chtějí získat Vaše informace, Váš adresář a používat Vaše připojení k tomu, aby získali vyšší práva a mohli tak zaútočit na firemní síť. Ze zprávy Security Intelligence Report společnosti Microsoft vyplývá, že: „…více než 75 procent e-mailových zpráv odeslaných přes internet je nevyžádaných. Nejenže všechny tyto nechtěné e-mailové zprávy zatěžují schránky příjemců a infrastrukturu providerů, ale také to vytváří prostředí, ve kterém se zaslaný malware a snahy o phishing mohou rozšiřovat. Poskytovatelé e-mailů, sociální sítě a další on-line komunity vnímají spam, snahy o phishing a další e-mailové útoky jako nejvyšší prioritu.“ A jde o mnohem víc. Spam představuje plýtvání produktivním časem tím, jak Vaši zaměstnanci hloubají nad doručenou poštou a vyloženě se probírají tím vším odpadem. A spamu přitom neubývá. Sice ho již není takové množství jako v minulých letech, ale ani nemizí. Navíc den ode dne se stává nebezpečnějším, a to hlavně kvůli phishingu a dalšímu software, který je speciálně navržen, aby narušil nebo poškodil počítačové systémy.
10 kroků k nejlepší ochraně firemních e-mailů | 7
Nová hrozba – Thingbot Když se zamýšlíme nad útoky hackerů, představujeme si za klávesnicí někoho, který nemá nic lepšího na práci než způsobit problémy. Ale většina útoků je nyní automatizovaná a vyvstává tu nová hrozba. Stále více a více malých zařízení a dokonce i spotřebiče jsou nyní IP zařízení, která mohou komunikovat mezi sebou i s naší sítí. Jedná se o internet věcí (IoT) a machine-tomachine (M2M) komunikaci. Problém spočívá v tom, že počet zařízení, která mohou být použita při útoku, nebo která mohou být cílem útoku, se zvyšuje rychlým tempem. A když se bavíme o pojmu internet věcí, tyto nové útoky jsou nazývány jako ThingBot a používají zmíněná zařízení a spotřebiče k zahájení tzv. botnet útoků (útoku internetových robotů). Při těchto samotných botnet útocích došlo v loňském roce k převzetí kontroly nad více než 100 000 malých zařízení s cílem dále rozšířit útok, což vyústilo ve více než 750 000 spamových a phishingových zpráv, které byly odeslány během krátkých dvou týdnů. Mnoho druhů útoků může být zahájeno tímto způsobem, včetně malware a šíření nevhodného obsahu a spamu, což s sebou nese další problémy. E-mailové útoky nepocházejí pouze z našich počítačů, je zde dostatek důkazů o tom, že tzv. chytré ledničky a inteligentní termostaty, naše mobilní telefony, domácí routery a další spotřební elektronika se rychle stává zdrojem útoků.
10 kroků k nejlepší ochraně firemních e-mailů | 8
Je č as se bránit!
Síť Vaší společnosti, aplikace a data jsou nezbytné pro chod Vašeho podnikání. I v případě malého útoku může dojít k vážným škodám. A v případě většího pak třeba může dojít i ke krachu. Základem všeho je ochrana, která musí být důkladná a dostatečná.
Zde je 10 tipů a akční plán, jak nadobro zabezpečit e-mail: 1. nastavte si vhodné heslo 2. braňte se únikům dat na základě jejich obsahu 3. zastavte spam dříve, než opravdu zatuchne 4. kontrola obsahu filtrováním a monitoringem 5. zbavte se malware 6. předcházejte porušení pravidel 7. dodržujte compliance 8. školení a osvědčená praxe 9. braňte se phishingu 10. implementujte obranu i do hloubky
10 kroků k nejlepší ochraně firemních e-mailů | 9
Krok č. 1 Nastavte si vhodné heslo
1
Co je často první a také jediná forma ochrany e-mailu? Nejčastěji jde o heslo. Vzhledem k tomu, že uživatelé obecně používají univerzální heslo pro vstup do více aplikací, pak v případě jeho prolomení se nebezpečí násobí. Bohužel jsou hesla obvykle velmi slabá a křehká jako čerstvě snesené vajíčko. Dokonce i mnoho sdílených účtů nastavených IT specialisty mají nesmyslně jednoduchá hesla. Kolikrát Vám už někdo říkal, abyste pro přihlášení vyťukali do klávesnice „heslo“ nebo „administrator“ nebo „host“. V případě záludnějšího administrátora by se pak jednalo o “heslo123, “admin123”, nebo “host123”. A zrovna tohle by jistě zastavilo motivovaného hackera. Je dobré mít více různých hesel pro různé e-maily a další účty, dojde-li totiž k jeho zjištění, ostatní přístupy zůstávají nedotčeny. Pokud se rozhodnete pro nějaké univerzální, hlavní heslo, ujistěte se, že je dostatečně složité a je pravidelně měněno. Aby to nebylo tak jednoduché, e-mail již není pouhým e-mailem. Často je v něm integrovaný Facebook a odkazy na další sociální sítě a v neposlední řadě také různé notifikace ze služeb jako je LinkedIn, Amazon nebo eBay, které mohou o uživateli prozradit velmi mnoho. Pokud se hacker dostane do Vašeho e-mailu, tak první věc, kterou udělá je, že vyzkouší, zda Vaše heslo funguje i v těchto dalších službách. Pokud ano, získají o Vás tolik informací, že krádež Vaší identity je už pro ně úplnou hračkou, případně zneužijí tyto informace k zahájení falešných osobních útoků nebo způsobení jiných nepříjemností. Tyto útoky mohou pocházet i od lidí, které znáte. Pokud mají Vaši e-mailovou adresu a vědí, že milujete motorky Harley-Davidson, mohou po několika pokusech přijít na to, že Vaše heslo je „harley1234“ nebo něco podobného. Bývalí partneři jsou také dalším příkladem těch, kteří by se mohli o podobný typ útoku pokusit.
Vaši uživatelé musí mít složité heslo, které si budou pravidelně měnit. Čím složitější a snadno zapomenutelné heslo mají, tím spíše je nutné jim poskytnout bezpečný způsob pro jejich uchování. Nejlepší tak je mít hesla v zašifrovaném souboru. Ujistěte se, že uživatelé nepřilepují hesla napsaná na papírové lístečky na monitor (ani jeho zadní část), nebo je nenechávají ležet na vrchu zásuvky. Inklinujeme k myšlence, že jsou to právě koncoví uživatelé, kteří jsou tím opravdovým rizikem, ale podle průzkumu Ping Identity z roku 2013 bylo zjištěno, že 83 procent bezpečnostních specialistů používá jedno heslo pro přihlašování do vícero aplikací. Poradenská společnost Trustwave, specializující se na bezpečnost, se zabývala miliony hesel, které byly zneužity, a zjistila, že v mnoha případech byla hesla příliš slabá. Polovina těchto hesel se vyznačovala nízkou úrovní bezpečnosti, ale obsahovala alespoň kombinaci čísel, horních a malých písmen, což není zas tak špatné. Kolem 90 procent hesel pak nemělo žádné speciální znaky. A co hůř, nejoblíbenějším heslem současnosti zůstává „Password1“, které je stejně nevhodné jako „admin“ nebo „guest“.
„Vaši uživatelé musí mít komplexní heslo, které si pravidelně obměňují.“ 10 kroků k nejlepší ochraně firemních e-mailů | 10
Krok č. 2 Braňte se únikům dat na základě jejich obsahu
2
Únik dat představuje zásadní problém. Z firem unikají ven data jako například čísla kreditních karet, rodná čísla, někdy i zdravotní informace. To, co opravdu potřebujete, je směrnice, která nařizuje, že se takové informace nesmí za žádných okolností dostat ven bez explicitního souhlasu vedení. Potřebujete nástroj, který dokáže na základě kontroly klíčových slov upozornit na možný únik dat. Skenování komunikace na základě klíčových slov by se týkalo jednak samotných e-mailů (termíny jako rodné číslo a důvěrné jsou dva příklady výrazů, na které je třeba dávat pozor) a pak také příloh. Přeci nechcete brokerovi prozradit Vaše výsledky za čtvrtý kvartál ještě před jejich oficiálním vyhlášením, že ano? Skenování musí být opravdu nastavitelné tak, aby bylo možné hledat hluboko v obsahu zprávy a moci skenovat například předmět, text zprávy, záhlaví a obsah. A stejně jako chcete u bezpečnostní aplikace vícero nástrojů pro komplexní ochranu proti spamu a malware, tak chcete nástroj na kontrolu obsahu, který pracuje s řadou analytických a komparativních technik. Rozlišujeme tři hlavní druhy úniků dat: a) neúmyslný, b) záměrný a provedený koncovým uživatelem, c) záměrný a provedený hackerem. V každém z těchto případů může dojít ke zneužití důvěrných dat. Konkurent může získat Vaše finanční nebo intelektuální vlastnictví, zloději mohou získat osobní data zákazníků. Únik dat může být stejně nebezpečný jako útok zvenčí. Někdy mohou Vaši koncoví uživatelé neúmyslně odeslat e-mailem důvěrná data. Nebo mohou zneužít adresář kontaktů a rozesílat soukromé informace desítkám, stovkám příjemců.
Dále třeba bude-li zaměstnanec chtít úmyslně zveřejnit informace, tak k tomu pravděpodobně použije nejjednodušší, největší a všudypřítomný komunikační prostředek: e-mail. Přitom ale není běžné rozesílat e-mailem důvěrné firemní plány. Podle analýzy Verizon Data Breach Investigations Report z roku 2015 vyplývá, že původcem 20 procent všech incidentů jsou lidé zevnitř firmy. A vzhledem k tomu, že tito lidé znají fungování firmy a už mají přístup k síti, mohou napáchat více škody než hacker, který spíše jen tuší kde důvěrná data hledat. Konkrétně může dojít k zneužití informací o platebních kartách (skimming), předání seznamu zaměstnanců personálním agenturám nebo prodeji důvěrných firemním plánů.
“Rozlišujeme tři hlavní druhy úniků dat: a) neúmyslný, b) záměrný a provedený koncovým uživatelem, c) záměrný a provedený hackerem.” 10 kroků k nejlepší ochraně firemních e-mailů | 11
Krok č. 3 Zastavte spam dříve, než opravdu zatuchne
3
Věděli jste, že v roce 2014 pocházelo sedm procent ze všech bezpečnostních útoků ze spamu, který obsahoval malware? Přitom o rok dříve to byla jen tři procenta. Věděli jste, že deset procent veškerého spamu v sobě skrývá infikované URL adresy? Věděli jste, že v loňském roce spam dosáhl své nejvyšší úrovně od roku 2010? Spam není jen na obtíž, ale představuje skutečné nebezpečí pro Vaše podnikání. Spam odčerpává významnou část pracovní produktivity, proto je více než vhodné se ho zbavit. Analytická společnost Ferris Research se zabývala touto problematikou a mimo jiné zjistila, že koncový uživatel, který obdrží pět nevyžádaných zpráv denně a nad každou z nich stráví 30 sekund, tak ve výsledku ztratí 15 hodin ročně. Obchody bez řádné antispamové ochrany si mohou být zcela jisty, že obdrží násobky výše zmíněného počtu nevyžádaných zpráv každý den a v důsledku toho tak budou zbytečně plýtvat časem svých zaměstnanců. Další zbytečné náklady na spam se promítají do ceny za internetové připojení, disky nebo on-line datová úložiště pro jejich uchovávání. Jak se tedy bráníte této hrozbě? Obrana může být zajištěna prostřednictvím technických opatření, vnitropodnikových směrnic a školení. Další z technik je pečlivě hlídat e-mailové adresy a instruovat uživatele, aby je jen tak nezveřejňovali na jakékoliv webové stránce. Je dobré mít firemní směrnici, která by vymezovala, jakým způsobem mohou být e-mailové adresy zveřejněny.
Další možností je školit uživatele, aby maximálně využívali antispamové filtry a dávali pozor na to, jak pracují se zprávami ve složce nevyžádané pošty v prostředí poštovního klienta. Zajistěte, aby nikdy neotevírali a neodpovídali na spam. Jejich otevřením se malware nebo phishing iniciuje k útoku. Tím, že se na spam odpoví, se jednoduše prokazuje, že daná e-mailová adresa je platná a že je dotyčný dobrým terčem. A na závěr doporučujeme vytvořit e-mailové adresy dostatečně komplexní, aby je bylo obtížné odhadnout.
“Spam není jen na obtíž, ale představuje skutečné nebezpečí pro Vaše podnikání.”
10 kroků k nejlepší ochraně firemních e-mailů | 12
Krok č. 4 Kontrola obsahu prostřednictvím filtrování a monitoringu IT specialisté a vyšší management vědí, že firemní data představují největší aktivum firmy, přičemž některá data jako finanční výsledky, údaje o klientech, připravované produktové strategie jsou cennější než ostatní data. A v případě jejich odcizení může dojít k zásadnímu ovlivnění chodu podniku. Zároveň nevhodný obsah představuje také riziko. Zatímco mnozí věří, že jediná reálná bezpečnostní hrozba přichází od hackerů zvenčí, útoky zevnitř firmy mohou být mnohem zákeřnější a nebezpečnější. A v případě e-mailové zprávy Vaši koncoví uživatelé často ani vědí, že mohou nějaký problém způsobit. Některé z těchto problémů jsou zaviněny neúmyslně šířeným malware nebo tím, že se někdo ze zaměstnanců stane obětí phishingu. Jiný problém ovšem představuje selhání zaměstnance. V takovém případě nás může ochránit právě program, monitorující a kontrolující obsah e-mailové komunikace. Existuje mnoho různých důsledků, jak tyto útoky mohou dopadnout, ať se již jedná o únik dat, podání trestního oznámení, je-li prostřednictvím e-mailu porušen zákon, a žaloby, pakliže zaměstnanec například zneužije e-mail k sexuálnímu obtěžování. Stále častěji soudy rozhodují v neprospěch organizace s tím, že jsou to právě ony, které odpovídají za to, co se děje v prostředí jejích systémů, včetně e-mailové komunikace. Monitorování obsahu e-mailů může pomoci vyřešit většinu z těchto problémů, ochránit firmu tím, že blokuje zprávy s nevhodným obsahem. Monitoring obsahu e-mailu může také pomoci dodržování směrnice a nařízení.
4 Společnost Frost & Sullivan, která se zabývá tímto trhem, nedávno zveřejnila výsledky průzkumu mezi 12 396 pracovníky v oblasti IT bezpečnosti v rámci reportu „Analysis of the Global Web and E-mail Content Security Market“. Pro prodejce je klíčové, aby bylo možné integrovat správu obsahu e-mailové komunikace mezi další bezpečnostní nástroje s cílem usnadnit správu programu a licence. „V současné době po všeobecném zveřejnění a rozšíření informací o problematice řízení bezpečnosti obsahu, budou prodejci motivováni k tomu, aby nabízeli sjednocený balíček bezpečnostních produktů s jedním přístupovým místem. To znamená, že se trh konsoliduje a zároveň zjednoduší pro zákazníky a navíc dojde ke snížení administrativní zátěže bezpečnostních specialistů,” sdělil společnosti Frost & Sullivan pan Frank Dickson, ředitel průmyslové síťové bezpečnosti. Díky poptávce po tomto druhu zabezpečení poroste trh z 3,07 miliardy dolarů v roce 2013 na 3,35 miliard USD v roce 2017.
“Zatímco mnozí věří, že jediná reálná bezpečnostní hrozba přichází od hackerů zvenčí, útoky zevnitř firmy mohou být mnohem zákeřnější a nebezpečnější.” 10 kroků k nejlepší ochraně firemních e-mailů | 13
Krok č. 5 Zbavte se malware
5
Malware všeho možného druhu neubývá, ale naopak je ho čím dál více a je zákeřnější. Neustále dochází k novým útokům a je třeba se bránit nejen známým hrozbám, ale také zeroday útokům. Stejně jako v případě nevyžádané pošty budete potřebovat multifaktoriální bezpečnostní nástroj pro zajištění opravdové ochrany. Dobře nastavené filtrování obsahu je další způsob, jak potírat i útok nulového dne. Dobře nastavené filtrování rozezná a zablokuje takové přílohy, které by mohly obsahovat virus.
“Dobře nastavené filtrování rozezná a zablokuje takové přílohy, které by mohly obsahovat virus.”
10 kroků k nejlepší ochraně firemních e-mailů | 14
Krok č. 6 Předcházejte porušení pravidel
Společnost Verizon se každoročně zabývá problematikou krádeží dat ve své analýze „Data Breach Investigations Report“. Jedno znepokojivé zjištění je, že e-mailové útoky jsou používány pro špionáž, přičemž mohou být iniciovány zločinci nebo i státem podporovanými organizacemi. Ze zmiňované analýzy společnosti Verizon za rok 2015 vyplývá, že za 0,8 procenta všech krádeží dat stála kybernetická špionáž. Některé útoky jsou novou formou phishingu, kdy po kliknutí na odkaz nebo odkazy, se začne stahovat velké množství malware do počítače. Cílem hackera je získat domain level access tím, že zachytí přístupové údaje prostřednictvím nainstalované aplikace KeyLogger nebo jiné techniky. „V průběhu tohoto procesu se hackeři pohybují v rámci systémů i sítí tak, že skrývají své aktivity za systémové procesy, hledají a zachytávají žádoucí data a poté je exportují z napadeného prostředí,“ sdělil Verizon.
6
“E-mail zůstává nejoblíbenějším způsobem k iniciování sociálních útoků, přičemž phishing patří mezi nejčastější techniku.”
Společnost Verizon dále zjistila, že e-mail zůstává nejoblíbenějším způsobem k iniciování sociálních útoků, přičemž phishing patří mezi nejčastější techniku.
10 kroků k nejlepší ochraně firemních e-mailů | 15
Krok č. 7 Dodržujte compliance
7
Všechny tyto problémy jsou závažnější pro ty společnosti, které podléhají compliance, protože na jejich místě musí pracovníci i v případě pochybností prověřit, že e-mail a data, která obsahuje, je bezpečný. V takové situaci musíte chránit všechny prvky Vašeho e-mailového účtu a zabezpečit Vaše klíčová firemní data, ať už to jsou čísla platebních karet, osobní data, finanční čísla. Naštěstí existují základní bezpečnostní techniky jak pro malé firmy, tak i pro větší společnosti a korporace. Compliance nepředstavuje jen směrnici, ale také určitý příkaz. Například takový zákon Health Insurance Portability and Accountability Act z roku 1996 (HIPAA). V tomto případě by porušení pravidel compliance stálo nemalé peníze. Pokuty mohou začínat na menších částkách, ale i tak jsou pochopitelně citelné. Například v Idahu v hospici došlo ke krádeži notebooku. Navzdory všem dobrým skutkům, které tato organizace vykonala, byla jí i tak uložena citelná pokuta ve výši 50 000 USD. Ve Phoenixu stál nezajištěný e-mailový účet malou lékařskou praxi 100 000 USD. A to jsou jen malé ryby. V Bostonu dostal jeden lékař za zašantročený počítač rovný milion dolarů pokutu. Ani státní správě se tyto problémy nevyhýbají jako v případě instituce Alaska State Health Department, jejíž jeden ztracený záložní disk stál 1 700 000 USD. E-mail vytváří tento druh expozice vůči compliance tisíckrát za den, protože je potenciálně zdrojem úniku dat.
Například zaměstnanec The Regional Medical Center v Memphisu omylem odeslal e-mail se soukromými zdravotními informacemi o pacientech. I když se jednalo o nešťastnou náhodu, centrum muselo varovat stovky lidí. Žádný velký problém? Odhadem to ohrozilo údaje 1200 pacientů a nešlo jen o zdravotní anamnézu, ale i osobní údaje typu rodného číslo, což je doslova zlatý důl pro hackery.
“Compliance nepředstavuje jen směrnici, ale také určitý příkaz.”
10 kroků k nejlepší ochraně firemních e-mailů | 16
Krok č. 8 Školení a osvědčená praxe IT obvykle nasazuje technologie k vyřešení technických problémů, takže realizuje firewally, antimalware a další nástroje. Bohužel tyto obranné prvky nejsou vždy dostatečné a důkladné. Největším problémem ovšem zůstává chování koncového uživatele. Neexistuje žádná ochrana na světě, která by chránila proti zaměstnanci, který se nechá snadno napálit a vydal by třeba hackerům úplný přístup k síti. Školení se jednoznačně vyplatí, a to zejména při potírání phishingu, což nezná nikdo jiný lépe než známý hacker Kevin Mitnick, který nyní pracuje pro bezpečnostní vzdělávací společnost KnowBe4, LLC. Tato společnost strávila rok školením 372 společností, které reprezentují kolem 291 000 koncových uživatelů. Před začátkem školení bylo téměř 16 procent z nich náchylných stát se obětí phishingového útoku. Po školení tato hodnota klesla na 1,28 procenta. Společnost KnowBe4 je přesvědčena, že oním nejslabším článkem je koncový uživatel. „Hrozba, kterou představuje malware, by neměla být podceňovaná, zejména s ohledem na to, že zaměstnanci, jak bylo jednoznačně prokázáno, jsou slabým článkem v rámci firemního úsilí o internetovou bezpečnost,“ řekl Mitnick. V mnoha případech se do této situace dostanou neúmyslně a například nevědomky umožní přístup k podnikové síti jednoduše proto, že nevědí, na co si dávat pozor.
8 Na druhou stranu může dobře proškolený zaměstnanec zafungovat, jak říká Mitnick, jako „lidský firewall“. Některé podvody nikdy nevymizí, protože jsou tak zatraceně lákavé, že prostě fungují dál a také není dostatek uživatelů proškoleno, aby se jim uměli bránit. Většina se setkala alespoň se starými nigerijskými podvodnými dopisy. Touha po penězích udržuje v chodu existenci loterijních podvodů, při kterých jsou zneužívána důvěryhodná jména společností Microsoft a Google. Namísto Nigérie, která v dnešní době okamžitě vzbuzuje podezření, tyto zprávy navádějí uživatele, aby kontaktovali někoho v Anglii nebo v jiné vyspělé zemi. Konkrétně Microsoft usiluje o zastavení těchto podvodů, proto pokud takovou zprávu dostanete, kontaktujte všemi možnými prostředky společnost Microsoft. Ta je totiž jednou z mnoha firem, která spolupracuje úzce s policií na dopadení a potrestání těchto zločinců.
“Před začátkem školení bylo téměř 16 procent z nich náchylných stát se obětí phishingového útoku. Po školení tato hodnota klesla na 1,28 procenta.” 10 kroků k nejlepší ochraně firemních e-mailů | 17
a triky prousers školení Training tipsTipy and tricks for your Vašich IT uživatelů
Nikdy neklikejte na odkaz v e-mailu, pokud si nejste jisti na 100 %, že je zcela důvěryhodný. Nikdy neodpovídejte na spam – nevyžádanou zprávu. Nikdy neotevírejte přílohu, pokud jste o ni nežádali, nebo si nejste zcela jistí, co to je. A nenechte se napálit tím, že soubor vypadá jako MS Word nebo nějaký jiný zdánlivě nevinný soubor. Je úplná hračka změnit koncovku .exe na .doc. Nikdy nekomunikujte e-mailem s firmou, od které jste žádnou komunikaci neočekávali, a to ani pochází-li zpráva z Vaší banky, tak ji ignorujte a používejte webové stránky, chráněné heslem a uživatelským jménem, abyste zjistili, jestli vůbec existuje něco, co je potřeba řešit. Používejte profesionální spamové filtry a nastavte si žádoucí úroveň zabezpečení. Jednou z phishingových technik je nalákat Vás na důvěryhodnou webovou stránku, ale jakmile na ni vstoupíte, vyskočí na Vás infikované dialogové okno s dotazem na osobní údaje. V žádném případě nepodlehněte nutkání vyplnit nějaké údaje. V těchto případech by Vám pomohlo aktivní blokování vyskakovacích oken. Pokud se domníváte, že jste klikli na infikovaný odkaz nebo udělali něco jiného, co by mohlo spustit útok, tak buď okamžitě důkladně otestujte počítač na přítomnost virů, nebo vypněte počítač a okamžitě si vyžádejte odbornou počítačovou podporu, dříve než se problém rozšíří.
Dávejte si pozor na veřejné Wi-Fi. Vybírejte si důvěryhodného poskytovatele. Pokud se domníváte, že Váš počítač byl napaden, učiňte bezodkladné kroky. Hackeři často používají síťové slídily ke zkoumání Vašeho připojení, aby se zmocnili uživatelských jmen a hesel. Zvažte také zřízení samostatného, nefiremního e-mailového účtu pro osobní účely, ale zacházejte s ním se stejnou opatrností, jako to děláte v případě pracovního e-mailu a snažte se ho nepoužívat, jste-li ve firemní síti. Dávejte si pozor na zveřejnění a sdílení Vaší adresy v prostředí diskuzních fór, blogů a webových stránek, protože hackeři mohou tyto stránky napadnout a Vaši adresu přidat do svého spam listu. Pokud již potřebujete sdílet Váš e-mail, tak použijte spíše soukromý než firemní. Udržujte aplikace a programy aktuální a záplatované. Používejte důvěryhodný, licencovaný software. Než otevřete přílohu, tak se ujistěte, že je důvěryhodná. Neotevírejte neobvyklé zprávy, a to ani od přátel, rodiny, kolegů. Oznamte phishing a jiné útoky klíčovým zákazníkům a bezpečnostním společnostem. Dostanete-li neočekávanou pozvánku na schůzku, smažte ji a kontaktujte odesílatele, znáte-li ho, abyste ověřili, zda pozvánka byla důvěryhodná. Pokud ano, tak ať Vám ji znovu přepošle. Nikdy neodpovídejte na takové pozvánky.
Nastavte si Váš antimalware tak, aby běžel pravidelně. Udržujte ho aktuální. Při podezření na nějaké problémy, proveďte hloubkový scan. 10 kroků k nejlepší ochraně firemních e-mailů | 18
Krok č. 9 Braňte se phishingu
9
Většina phishingových útoků cílí na spotřebitele, některé z nich se ovšem zaměřují na bohatší kořist. V únoru 2015 v období zpracovávání daňových přiznání se phishingový útok zaměřil na daňové poradce s žádostí o aktualizaci jejich elektronicky podávaných informací. Skutečným cílem bylo ukrást uživatelská jména, hesla a získat informace o tisících potenciálních daňových pohledávkách. Toto je jen špičkou ledovce, phishing je na vzestupu, zejména co do úrovně jeho propracovanosti. V posledních několika letech bylo zasaženo téměř 40 milionů uživatelů phishingem, což je téměř 90% nárůst oproti posledním dvěma letům. Phishing je velmi často účinný, což je důvod, proč jsou hackeři v jeho odesílání tolik vytrvalí. Ze zjištění společnosti Verizon vyplývá, že na první pokus nezafunguje, ale existuje vysoká šance, že na druhý nebo třetí již ano. Verizon s odkazem na výzkum společnosti ThreatSim uvádí, že „…spuštěním kampaně s pouhými třemi e-maily dává hackerovi více než 50% šanci alespoň na jedno kliknutí. Provedením kampaně podruhé se pravděpodobnost zvyšuje na 80 procent a zasláním deseti phishingových e-mailů je téměř jisté, že na hackerův e-mail někdo klikne.“ Proto je první polovinou úspěchu proškolení uživatelů, aby poznali phishing. Druhou polovinou pak nástroj, který dokáže nalézt a zablokovat phishingovou zprávu. Bezpečnostní centrum společnosti Microsoft chce, aby se uživatelé ubránili phishingu, proto dává příklad typických znaků phishingu s cílem pomoci. Věci, na které je třeba se zaměřit, zahrnují špatnou gramatiku, pravopisné chyby, které se vyskytují zvláště v phishingových zprávách z Číny a východní Evropy. Dalším podstatným znakem jsou odkazy v e-mailu. Ještě výmluvnější jsou pak zprávy, které vyhrožují uzavřením Vašeho účtu nebo požadují nějakou jinou formu opatření, pakliže byste na ně nereagovali. 10 kroků k nejlepší ochraně firemních e-mailů | 19
Krok č. 10 Implementujte obranu i do hloubky
10
Školit uživatele v tom, jak rozpoznat infikovanou poštu a útoky sociálního inženýrství je kriticky důležité, ale ještě více je důležitější mít řádnou technickou ochranu. To znamená ochranu proti všem formám útokům a únikům dat. Doporučujeme tyto nástroje: • • •
antivirus / antimalware ochranu proti spamu nástroj na filtrování obsahu
Nejlepším řešením je, jsou-li implementovány všechny tyto nástroje s možností mít je jako lokální řešení (on-premise) nebo v cloudu. V oblasti ochrany proti malwaru a spamu je třeba mít zajištěno, že všechny nástroje jsou pravidelně aktualizovány tak, aby nic neprošlo. Návratnost investice (ROI) na e-mailovou bezpečnost nelze přesně změřit, nepochybně ale vychází dobře a je rychlá. I kdyby došlo k zablokování jediného velkého útoku, který s největší pravděpodobností přijde, tak vychází ROI nad očekávání dobře. Ve vztahu k ceně za bezpečnostní software se schválně zamyslete nad tím, jakou hodnotu pro Vás má Vaše podnikání. Integrované nástroje Naštěstí společnost GFI Software™ disponuje technologií, která nabízí hloubkovou ochranu. GFI nabízí GFI MailEssentials® ve třech verzích v rozmezí od plně unifikované ochrany s antivirem / antimalware a ochranou proti spamu; dále antispamovou a antiphishingovou edici; a antivirový / antimalwarový nástroj.
V oblasti malware GFI MailEssentials může nabídnout pět silných antivirových nástrojů, které zkontrolují e-maily, zda neobsahují potenciální hrozbu. Kromě toho GFI MailEssentials vyčistí HTML kód v e-mailu od škodlivých skriptů dříve, než je přenesen a mohl tak způsobit nákazu. Uživatelé by také měli vědět, jak se sami mají chránit, v tomto směru sehrává důležitou roli školení od IT specialistů. GFI přidala do tohoto nástroje možnost koncovým uživatelům spravovat spamové karantény, whitelisty a blacklisty. Ještě lepší je, že GFI nástroj zachytí více než 99 procent všech nevyžádaných zpráv. A nebojte se toho, že by Vaše důvěryhodné zprávy byly zablokovány. GFI MailEssentials pravidelně získává VBSpam+ ocenění za její nulovou falešnou pozitivitu. Sledování obsahu a dodržování směrnic je také klíčové, proto GFI MailEssentials v tomto případě umožňuje nastavit IT specialistům parametry u jednotlivých uživatelů nebo jejich skupin a u pravidel podle záhlaví e-mailu, klíčových slov nebo podle příloh. A tato veškerá správa je pro pracovníky IT zjednodušená díky webové konzoli, která zahrnuje výkonný integrovaný reporting. A konečně software je instalován pouze na serveru, přičemž není třeba instalovat klientské aplikace.
10 kroků k nejlepší ochraně firemních e-mailů | 20
GFI Vám dokáže pomoci Zastavte spam a převezměte kontrolu nad Vaší e-mailovou bezpečností pomocí GFI MailEssentials™. Vyzkoušejte třicetidenní bezplatnou verzi. Stáhněte si zdarma 30denní zkušební verzi
Více informací
O společnosti GFI GFI Software™ vyvíjí kvalitní IT řešení, které umožňují podnikům monitorovat, řídit a zabezpečovat jejich sítě s minimální administrativní zátěží. Obsluhujeme rozšiřující se základnu zákazníků – desítek tisíc společností. GFI se zaměřuje na různorodé komunikační a bezpečnostní platformy, které zahrnují síťovou bezpečnost, správu webu, antispam, správu zranitelnosti a záplatování, nástroje pro faxování a archivaci. Řešení GFI jsou dodávána přes celosvětovou síť čítající tisíce partnerů. Společnost GFI obdržela řadu ocenění a je dlouhodobý Microsoft® Gold ISV Partner. 10 kroků k nejlepší ochraně firemních e-mailů | 21
www.gfi-software.cz
Další e-mailové komunikační řešení od GFI:
Archivace pro zvýšení produktivity a compliance
Síťový faxový server pro Exchange/SMTP/Lotus
Jednoduché, rychlé faxování
Odmítnutí odpovědnosti. © 2016. GFI Software. Všechna práva vyhrazena. Všechny zde zmíněné názvy produktů a společností mohou být ochrannými známkami jejich příslušných vlastníků. Informace a obsah v tomto dokumentu jsou poskytovány pouze pro informační účely. Navíc jsou poskytnuty „tak jak jsou“ a bez záruk jakéhokoli druhu, ať výslovných nebo předpokládaných včetně, ale nikoli výhradně, předpokládaných záruk prodejnosti, vhodnosti pro konkrétní účel, neporušování práv. GFI Software není odpovědná za jakékoli škody, včetně jakékoliv následné škody jakéhokoliv druhu, které mohou vyplynout z používání tohoto dokumentu. Informace jsou získány z veřejně dostupných zdrojů. Ačkoli bylo dosaženo rozumného úsilí, abychom zajistili správnost poskytnutých údajů, GFI nečiní nárok, příslib nebo záruku o úplnost, přesnost, aktuálnost či přiměřenosti informací a neodpovídá za tiskové chyby, neaktuální informace nebo chyby. GFI neposkytuje žádnou záruku, výslovnou nebo nepřímou, a nepřebírá žádnou právní odpovědnost ani odpovědnost za správnost a úplnost všech informací obsažených v tomto dokumentu.
Pokud jste přesvědčeni, že v tomto dokumentu existují nějaké faktické chyby, obraťte se na nás a my Vaše připomínky prověříme, jakmile to bude možné.