mail-nation

Управляем почтой: от домена до конверсий

Новость

Безопасность корпоративной почты: риски взлома

Когда я вижу заголовок вроде «доступ к инфраструктуре — от ста долларов», у меня сразу возникает одна и та же мысль: ведь корпоративная почта — это тоже часть этой инфраструктуры.

Безопасность корпоративной почты: риски взлома

Что именно продают на чёрном рынке

По данным Positive Technologies, большинство объявлений касается компаний с годовым доходом от миллиона долларов, но это не значит, что малый бизнес в безопасности — просто доступы к сетям небольших организаций продают оптом и в открытую статистику они попадают редко. Самые дорогие лоты связаны с государственными структурами (до 1,5 млн долларов) и финансовым сектором (до миллиона). По объёму предложений лидируют промышленность и торговля — 20% и 19% соответственно.

Помимо готовых доступов, на форумах активно торгуют уязвимостями. Почти половина объявлений — это 0-day, для которых ещё нет патчей, ещё 11% — 1-day, для которых исправления уже вышли, но не везде установлены. Самые частые типы багов — удалённое выполнение кода (43%) и повышение привилегий в системе (25%). Основные цели атакующих — интернет-сервисы (36%) и корпоративное ПО (33%).

Почему это касается почты напрямую

Вот тут стоит присмотреться внимательнее. Корпоративное ПО, которое так интересует злоумышленников, — это в том числе почтовые серверы, системы календарей, CRM с почтовой интеграцией, платформы вроде Microsoft Exchange или почтовые сервисы на собственном домене. Я не раз видел, как первый вход в корпоративную сеть начинался именно с почты — просто потому, что на сервере вовремя не обновили софт или оставили снаружи административную панель.

«Затраты на проактивную защиту, как правило, более предсказуемы и зачастую оказываются значительно ниже по сравнению с ущербом от успешной кибератаки», — отмечает младший аналитик группы международной аналитики Positive Technologies Макар Куманейкин. С этим сложно спорить, особенно когда речь идёт о почтовой инфраструктуре: ущерб здесь ощущается очень быстро — от потери доверия клиентов до утечки переписки и восстановления почтовых ящиков после инцидента.

Что стоит проверить уже сейчас

Если вы отвечаете за почтовый домен или бизнес-почту, есть несколько спокойных шагов, которые не требуют ни паники, ни серьёзных вложений.

  • Обновите почтовый сервер и панель управления. Если для вашей версии уже вышли патчи — установите их. Это закрывает значительную часть 1-day-уязвимостей, на которые приходится 11% предложений на чёрном рынке.
  • Проверьте, что административные интерфейсы не торчат наружу. Веб-интерфейс почтового сервера, панель хостинга, API для интеграций — всё это лучше либо закрыть от внешнего доступа, либо защитить дополнительно.
  • Посмотрите на SPF, DKIM и DMARC. Это базовая гигиена домена, которая снижает шансы, что ваш домен используют для фишинга против ваших же клиентов.
  • Включите журналирование и мониторинг подозрительных входов. Когда злоумышленник покупает доступ за сто долларов, он часто сначала проверяет почтовые ящики сотрудников — это видно по логам.

Для тех, кто работает с внешним периметром всерьёз, на рынке появляются и специализированные решения для регулярного сканирования — например, недавно представленный CURATOR.SCANNER, который позволяет прямо из личного кабинета CURATOR проверять домены, IP-адреса и веб-приложения без установки дополнительного софта. Если самостоятельно разобраться с приоритизацией рисков непросто, стоит хотя бы раз провести внешнее сканирование — чтобы понимать, как ваша инфраструктура выглядит снаружи. Это не панацея, но спокойная точка опоры, от которой удобно отталкиваться дальше.