FEJLETT E-MAIL VÉDELEM
BUSINESS E-MAIL COMPROMISE TÁMADÁSOK ELLENI VÉDEKEZÉS (BEC)
A célzott támadások nagy része social engineering alkalmazásával kezdődik, amelyhez elsődleges csatornaként a levelezést használják, ezért kiemelten fontos az e-mail forgalom védelme. A ma alkalmazott klasszikus védelmi eszközök (SPAM szűrő, vírusirtó) nem alkalmasak a teljes körű védelemre egy célzott támadással szemben, mert azok jelenlétére ma már a támadók felkészülnek. A malwareket, APT kampányokat, phishing és social engineering támadásokat csak viselkedés alapon lehet kiszűrni.
A 4iG E-mail ATP szolgáltatása során a beérkező e-maileket egy elkülönült úgynevezett sandbox környezetben megvizsgáljuk a fájlok, makrók, URL-ek, és scriptek viselkedésének szempontjából, amely alapján egy kockázati érték kerül meghatározásra. Ezen kockázati érték alapján tudjuk azonosítani a célzott (spear-phising, social engineering) valamint aransomwaretámadásokat, és kiszűrni az üzleti csalásokat (Business E-mail Compromise).
Az
eszközünk a policy-k beállításaitól függően a leveleket
blokkolni, karanténozni tudja vagy a tárgymező alapján címkével is el
tudja látni. Továbbá képes a káros csatolmányokat eltávolítani, kicserélni, a
gyanús URL-eket átírni. Az
eszközbe az ügyfél saját infrastruktúrájában alkalmazott operációs
rendszer-imagek tölthetőek fel, így a támadók számára
a sandbox környezet valósághűbb, mint más eszközök, vagy akár az
ilyen jellegű felhő szolgáltatások “standard” virtuális gépeiben. A valódi
munkaállomások környezetének teljeskörű replikázása mellett a berendezés képes
észlelni és kezelni a különböző sandbox elkerülési módszereket is
(pl.: késleltetett indulás, interakció igénylése, virtualizáció keresése
stb.).
Az
eszköz több különböző üzemmódban implementálható. Az úgynevezett MTA4 módban
képes e-mail átjáróként működni, és in-line elvégezni a levélforgalom szűrését,
vagy képes BCC-ként másolt levélforgalom, vagy
SPAN/TAP porton tükrözött forgalom vizsgálatára is. Természetesen a
második esetben csak riasztások generálására van lehetőségünk, amelyek kapcsán
az ügyfél egyedi eljárásrendje alapján tudja megakadályozni a káros tartalom
bejutását.
Fontos
kiemelni, hogy az eszköz egy SPAM-szűrőhöz hasonló módon fekete-dobozként
viselkedik, az e-mailek jelentéstartalmát nem, csak annak „viselkedését”
vizsgálja.