В новой версии решения к встроенным правилам фильтрации почты добавился гибкий механизм формирования спам-рейтинга — специального параметра, определяющего, следует ли пропустить письмо или заблокировать его. Пользователь может настраивать 20 условий, среди которых домен отправителя, тема сообщения, ссылки в теле письма, имена вложенных файлов и др. В зависимости от того, какие из этих характеристик выбраны в качестве приоритетных, спам-рейтинг писем будет повышаться или понижаться. Например, можно считать более подозрительными входящие письма со ссылками на публичные файлохранилища или исходящие с вложенными сканами документов с синими печатями. Таким образом, у BI.ZONE CESP появилась возможность, характерная для решений класса DLP (data loss prevention, система защиты организации от утечек конфиденциальных данных).
Эффективнее стали работать механизмы защиты, например алгоритмы машинного обучения, которые используются для анализа писем. Расширился диапазон параметров, которые умеет учитывать модель, и теперь он включает в себя не только тело письма, но и тему, ссылки в тексте и служебные заголовки (строки, в которых указаны адреса отправителя и получателя, кодировки и другие параметры).
Дмитрий Царев, руководитель управления облачных решений кибербезопасности, BI.ZONE:
«В новой версии системы для каждого пользователя составляется индивидуальный профиль, основанный на количестве ежедневно получаемых и отправляемых писем. Это позволяет с высокой точностью выявлять аномальные активности, которые могут говорить о входящей атаке или взломе аккаунта. Мы также усовершенствовали систему автоматизированного поиска вредоносного исполняемого кода в документах с HTML-разметкой, систему автоматизированного поиска фишинговых ссылок и алгоритм подбора пароля для защищенных архивов. Наконец, наш сервис научился обнаруживать юникод-спуфинг, к которому все чаще прибегают злоумышленники, чтобы подделывать адреса отправителей».
По данным BI.ZONE, общее число фишинговых писем выросло с начала года в 2,5 раза. Чтобы эффективнее отслеживать реальные атаки, новая версия BI.ZONE CESP позволяет пользователям самим предупреждать службу безопасности компании о письмах, которые кажутся им подозрительными. Сотруднику достаточно отметить письмо специальным флажком, чтобы информация о сообщении автоматически ушла в техподдержку, а спам-рейтинг отправителя повысился. Новая возможность стала доступна благодаря интеграции платформы с BI.ZONE Security Fitness — решением для противодействия социотехническим атакам.
Обновленный сервис лучше мониторит публичные репутационные списки: если IP-адрес компании попадает в такой список, ее письма могут не доходить до получателей, а это ставит под угрозу непрерывность бизнес-процессов. При защите с BI.ZONE CESP почтовый трафик направляется с IP-адресов сервиса, а не компании. В случае ошибки почта клиента не окажется в репутационном списке, а представители BI.ZONE свяжутся с держателями баз и устранят проблему. Благодаря такому подходу компании могут быть уверены, что их исходящая почта дойдет до адресата.