FortiMail — в первую очередь антиспам-шлюз, а также решение для полноценной защиты корпоративной почты. Это узкоспециализированный продукт, который масштабируется до целой экосистемы — фабрики безопасности FortiNet.

Но прежде чем переходить к описанию угроз, возможностям масштабирования и моделям развертывания, давайте определимся, для чего нужны подобные узкоспециализированные решения.

Ежегодные исследования Verizon показывают, что почта остается любимым каналом для проникновений хакеров. Поэтому компании сначала прикрывают этот рубеж, а потом постепенно добавляют другие компоненты в свою систему ИБ.

По оценкам аналитических агентств и независимых тестов, FortiMail занимает лидирующее место среди подобных решений.

Результаты FortiMail в рейтингах

SE Labs — один из самых известных независимых рейтингов. По результатам за январь — март 2020 года, FortiMail получил высший уровень ААА по показателю защиты и отсеял 92% скомпрометированных писем, уступив 3% лишь Perception-Point. Но в этом тесте не учитывались быстродействие и обрабатываемый объем трафика, а у FortiMail есть выбор между аппаратным решением, виртуальной машиной или облачным сервисом. У конкурента — только облачное решение.

Детальная информация по отраженным атакам. Конкурент лучше справился с социальной инженерией, но упустил 1% зловредов

По результатам другого независимого теста VBSpam, FortiMail регулярно распознает больше 99,5% скомпрометированных писем. IDC назвала продукт лидером в 2016 году, а FortiNet, частью которого является FortiMail, входит в число лидеров ИБ в магическом квадранте Gartner. Подробнее о достижениях и основных продуктах Fortinet читайте в нашей статье.

От каких угроз FortiMail защищает корпоративную почту

1. Спам. Любой продукт в первую очередь защищает почту от спама. Тем не менее FortiMail постоянно развивает алгоритмы анализа контента, чтобы избавить сотрудников от разбора спама. Можно создавать свои словари для фильтрации, например рекламных писем, по ключевым словам или URI.
2. Фишинг. По отчету Verizon об инцидентах с данными за 2020 год, через почту проходит 96% фишингового трафика. Через фишинг реализуется больше всего успешных атак. FortiMail защищает от него, используя рекурсивное прохождение по ссылкам, удаление вредоносного контента из вложений и проверку ссылок непосредственно во время клика.
3. Спуфинг и имперсонация (Business Email Compromised). Человек часто не замечает подмену доменов и имен. Для борьбы с этой проблемой используется машинное обучение, а также сравнение имени отправителя с Display Name.
4. Вирусы, зловреды и шифровальщики. Verizon уверен, что угроза шифровальщиков (ransomware) только растет. Для вирусов с известными сигнатурами, таких как Petya или WannaCry, в FortiMail есть предварительная проверка, так называемый Outbreak Prevention, который сразу же отправляет инфицированные файлы в карантин. Сложные случаи отправляются на проверку в песочницу.
5. Атаки изнутри сети. Предположим, что злоумышленник получит доступ к хостам при помощи социальной инженерии. В этом случае с них разошлют спам, а IP почтового сервера окажется в черных списках партнеров и клиентов. Понадобится много сил и бюрократии, чтобы его оттуда убрать. Чтобы не допустить этого, в FortiMail устанавливается порог отправляемых за день писем. Если его превысить — система забьет тревогу.

Комплексная защита писем: от проверки домена до сквозного шифрования

В FortiMail встроены продвинутые функции анализа писем. Пока не будут проверены DMARC- и SPF-записи домена, а также весь контент, начиная от заголовков и заканчивая вложениями, пользователь письмо не получит.

Защита от имперсонации с помощью машинного обучения

Спуфинг эффективен потому, что человеку сложно различить два домена с одной разной буквой в названии. При этом злоумышленники используют символы других алфавитов, похожие на оригинальные. Например:

guccì.com и gucci.com

аррӏе.com и apple.com

Замена символов используется и при подмене адресата в почтовых письмах. Если поставить рядом два письма — фейковое и настоящее, найти различия будет довольно просто.

В письме сверху слева домен изменен на abed.com, а снизу справа такой, как и должен быть, — abcd.co.

Обычно сравнить домены нет возможности. Видно только подмененный злоумышленниками домен, а верный вариант сотруднику нужно держать в голове. Когда таких доменов около 50 и параллельно горят дедлайны по проекту, это сделать непросто. Да еще и отправитель — босс, поэтому сотрудник спешит выполнить указание, открывая ссылку с вредоносным файлом.

Алгоритмы машинного обучения не ошибаются из-за эмоций или невнимательности. Им нужно некоторое время на обучение, чтобы запомнить, с каких почтовых ящиков приходят письма, как сотрудники строят предложения, как подписываются. На основе этой статистики можно сопоставить адрес отправителя и должность из заголовка или подписи. Например, в тексте письма подпись генерального директора, но отправлено с Gmail, а не с почтового ящика компании. Значит, письмо подменили.

Предварительный анализ для известных сигнатур

Перед тем как вирус атакует сеть, существует вероятность, что он уже был детектирован другими компаниями. Тогда нужно вычислить хеш подозрительного файла из письма и передать его в лабораторию Fortinet. Лаборатория ответит, и FortiMail заблокирует файл, если он скомпрометирован. Такая предварительная проверка экономит трафик и обнаруживает вирусы намного быстрее, потому что не приходится отправлять каждое вложение на анализ в песочницу.

Распознавание атак нулевого дня в песочнице

Благодаря SMTP письма стоят в очереди на анализ до тех пор, пока FortiSandbox не убедится, что все безопасно. Пользователь получит файл только после анализа.

В песочнице письма с вложениями проверяются антивирусом, эвристическими алгоритмами и отдельно на возможность вирусной эпидемии

Сначала происходит сравнение вложения с сигнатурами известных зловредов. Если ничего не найдено — антивирус анализирует поведение с помощью эвристических алгоритмов. Например, ищет признаки того, что файл может запускаться в виртуальной машине. Но даже после успешного прохождения этих стадий потенциальным зловредом проверка не закончена: антивирус берет паузу и повторно просматривает сигнатуры. Если они не изменились — вложение проходит на следующий этап; если была попытка отправить запрос на внешний сервер — файл помечается как подозрительный.

Рекурсивный анализ ссылок и их модификация

FortiMail определяет безопасность ссылок в письмах двумя способами:

1. Рекурсивный анализ ссылок. Предположим, сотруднику приходит письмо из эйчар-отдела, в котором просят заполнить анкету в вордовском файле. В письме ничего подозрительного нет, в документе тоже нет никаких макросов, но есть ссылка для анонимной оценки работы другого сотрудника. И она приведет к заражению. То есть вредоносная ссылка лежит не в письме, а глубже — в вордовском файле или на сайте, куда попадаешь из документа. FortiMail пытается пройти за пользователя по вложенным ссылкам и определить их безопасность.
2. Проверка ссылок во время клика. Представим, что письмо пришло после окончания рабочего дня. Сотрудник откроет его следующим утром, а почтовый шлюз спешит проверить ссылки сразу же, в момент получения. Но там еще ничего нет, потому что хитрый злоумышленник загрузит туда вредоносный файл только с утра. Или там стоит капча, которую шлюз не сочтет опасной, а за нее пройти не сможет. FortiMail модифицирует ссылки так, чтобы они проверялись, когда пользователь по ним кликнет. При скачивании файл попадет в песочницу, а не к пользователю напрямую. Вдобавок мы будем защищены от перенаправления домена.

Удаление вредоносного контента из вложений

Если FortiMail обнаружил макросы или фишинговые ссылки в вордовских или pdf-файлах, он модифицирует документы и уберет компрометирующие данные, оставив вложения в первоначальном виде.

Сквозное шифрование для критически важной информации

Допустим, Бобу нужно передать уникальные технологические карты Алисе на производство. SSL/TLS недостаточно, потому что, когда информация достигнет почтового сервера, данные между MTA будут передаваться в незашифрованном виде. Для таких случаев в FortiMail предусмотрен режим сквозного шифрования Identity-Based Encryption: чтобы Алисе посмотреть письмо Боба, ей нужно залогиниться со своим ключом. И в этом случае есть два режима работы: когда письма нельзя скачать с FortiMail и когда их можно сохранить локально.

Масштабирование до фабрики безопасности

Другие решения из экосистемы FortiNet дополняют защиту, предоставляемую FortiMail. Песочница FortiSandbox, файрвол FortiGuard, защита сервера FortiClient и аналайзер FortiAnalyzer усиливают безопасность на рубежах и формируют удобную управляемую систему.

Объединение устройств в фабрику безопасности дает большую прозрачность и управляемость. Специалист ИБ получает логи со всех рубежей в одном месте: ему легче проводить расследования, искать уязвимости и создавать сценарии автоматизации.

Пример интеграции с FortiSandbox, FortiGuard, FortiAnalyzer и FortiClient

Первое дополнение, которое стоит сделать к антиспам-шлюзу, — подключить песочницу FortiSandbox. В этом случае почта становится для нее еще одним источником данных, а FortiAnalyzer — точкой сбора информации со всех устройств. Специалист ИБ видит, что в песочнице найдена новая сигнатура, и смотрит в FortiAnalyzer, откуда этот файл попал в систему. Допустим, в песочницу его отправил FortiMail. Тогда новая сигнатура появится во всех клиентах. Если сотрудник вставит флешку с таким файлом, FortiClient мгновенно его заблокирует и отправит на карантин.

Дополнительно можно настраивать сценарии автоматизации. Например, как только файрвол распознает попытки подключения на нелегитимные сайты, клиент целиком будет помещен в карантин и подсвечен в FortiAnalyzer как скомпрометированный хост, а админу придет уведомление на почту.

Альянс производителей оборудования для ИБ

Есть около 70 видов решений для кибербезопасности, которые обычно ничего не знают друг о друге, чем и пользуются злоумышленники. Для борьбы с этой проблемой FortiNet и создала альянс партнеров.

В экосистему входят Microsoft, Cisco, HPE, Oracle, Eset и другие известные компании. Их продукты встраиваются в экосистему FortiNet, дополняют ее или совместимы с ней. Благодаря этому участники альянса могут обмениваться данными и вместе противостоять угрозам. Например, если Eset признала файл вредоносным, остальные компании в альянсе мгновенно его детектируют без отправки в песочницу. Это экономит ресурсы, обогащает базу и устанавливает стандарты обмена данными.

Как выбрать подходящее устройство и модель

У FortiMail три вида комплектаций: аппаратное оборудование, виртуальные машины и облачное решение. Для железа и инстансов нет ограничения по пользователям — только по количеству писем в сутки или месяц. Для облачного решения лицензия выдается на каждый почтовый ящик. Ниже мы привели сокращенную версию таблицы, чтобы можно было подобрать устройство по количеству отправляемых и получаемых писем. Подробные характеристики смотрите в даташите.

К аппаратным устройствам подключается балансировщик нагрузки FortiADC. Виртуальные машины разворачиваются в частных облаках на гипервизорах OpenStack, Cisco и VMware NSX. Поддерживаются SaaS-решения Salesforce, Office 365 и G Suite, а также IaaS от Azure, Amazon и Google Cloud.

Базовая и корпоративная подписка

В базовую подписку входит само решение, а также:

• FortiCare (гарантия) — позволяет обновлять прошивку, создавать запросы в поддержку Fortinet и менять нерабочее оборудование.
• Антиспам-сервис — подписка на данные облачной лаборатории FortiGuard о доменах и IP, которые были уличены в распространении спама.
• Обновление сигнатур антивируса.
• Outbreak Prevention. Это предварительная проверка: не был ли скомпрометирован файл с таким хешем ранее. Она не защитит от атак нулевого дня.

Если истек срок действия подписки, составленные вручную спам-словари продолжают работать, а также антивирус, но без обновления сигнатур; облачная лаборатория и Outbreak Prevention прекращают работу.

В корпоративной подписке в дополнение к базовой вы получаете:

• FortiSandbox Cloud. Письма отправляются в очередь и ждут проверки. Пока песочница окончательно не убедится, что письмо безопасно, адресат его не получит.
• Content Disarm Reconstruction. Модификация контента в документах.
• Click Protect. Защита от перенаправления домена.
• Impersonation Analysis. Продвинутая проверка на спуфинг.

Варианты развертывания в сети

У FortiMail есть три разных варианта встраивания в сеть, которые по-разному влияют на топологию. В первом случае это почтовый сервер FortiMail, во втором — шлюз, а в третьем — прозрачная установка практически без изменений.

Перед FortiMail ставится файрвол FortiGate, а почтовый сервер работает с пользователями напрямую

• Почтовый сервер как способ использовать все функции по максимуму. Например, в этом режиме можно включить сквозное шифрование для критически важной информации. У FortiMail есть процедура миграции, где описано, как и в каком виде выгрузить информацию с текущего сервера, чтобы быстро ее перенести.

FortiMail только фильтрует трафик, в режиме обратного прокси отдает его почтовому серверу, который доставляет письма пользователям

• Шлюз (Gateway mode, MTA mode). FortiMail работает как SMTP Relay для почтового сервера. Для миграции нужно только сменить mx-записи. Если почтовый сервер спрятан за файрволом, а FortiMail стоит в dmz-сегменте, то трафик просто пробрасывается на его внутренний IP.

В transparent mode FortiMail ставится между пользователями и почтовым сервером, не до него и не вместо него

• Прозрачный режим. Позволяет оценить работу антиспама и антивируса, но несколько урезанный по функционалу по сравнению с остальными режимами. Подходит для тестирования возможностей и проведения пилотов, если не хочется ничего менять в настройках сети — ни L3-топологию, ни адресацию. В этом режиме меняется только канальная топология.

Балансировка нагрузки

Для повышения отказоустойчивости есть возможность подключить второй FortiMail-сервер как резервный или создать кластер из 2–25 серверов.

Резервный сервер (Active-passive)

Схема с запасным почтовым сервером

Если один сервер падает, второй его подхватывает. Но при этом в основное время второй простаивает. Такой схемы, как у FortiGate — low balance, low sharing здесь нет.

Отказоустойчивый кластер (Config only)

Кластер из 2–25 почтовых серверов

Можно распределять нагрузку при помощи FortiADC между 25 серверами. Чем хорош этот вариант:

• Uptime до 99,99%.
• Чтобы избежать создания сложных настроек конфигураций на роутерах.
• Улучшение времени отклика от сервера до 25%.

Подробнее о других преимуществах и развертывании можно прочитать в руководстве FortiADC (англ.).

Коротко о преимуществах FortiMail

• Отсеивает 99,5% спама по результатам независимых тестов, занимает первые строчки в рейтингах.
• Мощные средства защиты, которые эффективно борются с фишингом, спамом, зловредами, вирусами и направленными на компрометацию атаками (Business email compromise).
• Интеграция в фабрику безопасности и поддержка альянса производителей решений для ИБ.
• Высоконагруженные отказоустойчивые конфигурации на 2–25 серверов.
• Прозрачное ценообразование, которое зависит от объема принимаемых и отправляемых писем, а также от функций безопасности, которые могут потребовать установки дополнительных устройств.

Бесплатный вебинар «Все для защиты почты с FortiMail: настройки и сценарии применения»

Узнайте за 60 минут обо всех преимуществах и сценариях использования FortiMail

Узнать больше