Электронная почта по-прежнему остается одним из наиболее уязвимых векторов атак, используемых преступниками для нападения на компании. Достаточно одного сотрудника, открывшего вредоносную ссылку в электронном письме, чтобы хакер смог обойти все средства киберзащиты, поэтому предотвращение угроз, связанных с электронной почтой, должно быть одним из главных приоритетов.
В этой статье рассматриваются 15 эффективных и простых в применении передовых методов обеспечения безопасности электронной почты, которым вы должны следовать для повышения уровня безопасности вашей электронной почты. Мы также рассмотрим наиболее распространенные угрозы на основе электронной почты, с которыми может столкнуться ваш персонал, поэтому читайте дальше, чтобы узнать, как не допустить потенциальных хакеров к почтовым ящикам вашей компании.
Лучшие методы обеспечения безопасности электронной почты
Ниже приведен список наиболее эффективных передовых методов обеспечения безопасности электронной почты, которым следует следовать для повышения общей кибербезопасности и обеспечения готовности сотрудников к угрозам, связанным с электронной почтой.
Используйте надежные пароли для электронной почты
Чем легче угадать пароль, тем больше вероятность того, что кто-то взломает учетную запись электронной почты.
Даже если вы не используете пароль типа "123456" или "password123" (что, к сожалению, делают слишком многие), хакеры имеют доступ к высококлассным инструментам перебора, которые могут взломать даже умеренно сложные пароли. Например, пароль типа "Pa$$word2211991" может выглядеть надежным, но высококлассный инструмент может взломать такой пароль менее чем за минуту.
Каждый сотрудник вашей компании должен иметь надежный и уникальный пароль для своей учетной записи электронной почты, чтобы предотвратить атаки методом перебора (или простое угадывание пароля). Надежный пароль должен:
- Состоять как минимум из 12 символов.
- Использовать сочетание заглавных и строчных букв, цифр и специальных символов.
- Быть случайным и уникальным.
- Не содержать общих фраз.
- Не содержать никакой личной информации (имена членов семьи или домашних животных, названия компаний, места рождения, дни рождения или любую другую информацию, которую хакер может узнать, погуглив ваше имя или пошпионив в социальных сетях).
Подготовка к фишинговым письмам
Фишинговое письмо пытается обмануть одного из сотрудников, чтобы заставить его либо предоставить полезную информацию, либо перейти по вредоносной ссылке. Злоумышленник обычно использует фишинг, чтобы обмануть цель:
- Загрузить вредоносное ПО.
- Предоставить конфиденциальные данные (как правило, данные для входа в систему).
Тактика фишинга является одним из наиболее распространенных методов социальной инженерии, которые преступники используют для использования электронной почты. Некоторые из стандартных стратегий включают:
- Выдавать себя за поставщика услуг и просить пользователя "войти в систему" по ссылке, ведущей на поддельный веб-сайт.
- Навязывание начальника и просьба предоставить конфиденциальные данные.
- Притворяться сотрудником службы безопасности и просить жертву "обновить" один из своих паролей.
- Отправка электронного письма с вредоносным файлом, содержащим скрытую программу.
К сожалению, не существует способа остановить фишинговые письма. Ваши сотрудники обязательно будут получать их время от времени, поэтому обучение персонала является основным способом защиты вашей компании.
Золотое правило предотвращения фишинга - не отвечать, не переходить по ссылкам и не открывать вложения в письмах, которые выглядят подозрительно. Сотрудники должны руководствоваться здравым смыслом перед взаимодействием с электронной почтой и уметь:
- Распознавать подозрительные файлы и ссылки.
- Оценивать причины, лежащие в основе запроса в сообщении.
- Проверять адрес отправителя.
- Оценить общее состояние электронного письма (грамматика, деловой контекст, тон голоса, отсутствие подписи и т.д.).
Вы также можете регулярно проводить симуляции фишинга, чтобы держать сотрудников в напряжении и проверять их способность распознавать подозрительные электронные письма в реальной жизни.
Используйте 2FA для проверки входов в электронную почту
Двухфакторная аутентификация (2FA) требует от сотрудника предоставления дополнительных учетных данных, помимо ввода имени пользователя и пароля. Еще один фактор проверки добавляет дополнительный уровень защиты и является важным средством против атак методом перебора и взлома паролей.
Помимо ввода имени пользователя и пароля, 2FA требует от сотрудника предоставления одного (или нескольких) из следующих факторов:
- Уникальный предмет (токен, карта и т.д.).
- PIN-код, полученный через SMS, электронную почту, голосовой вызов или приложение для одноразовых паролей, основанных на времени (TOTP).
- Биометрические данные (сканирование глаз, отпечатков пальцев, лица или голоса).
- Штрих-код, сгенерированный на мобильном устройстве.
- Подсказка на мобильном телефоне, подтверждающая, что пользователь в данный момент пытается войти в систему.
Даже если злоумышленник украдет учетные данные электронной почты одного из ваших сотрудников, использование 2FA не позволит злоумышленнику войти в учетную запись электронной почты.
К счастью, развертывание 2FA не так сложно, как кажется. Большинство платформ электронной почты предлагают двухфакторную аутентификацию по умолчанию, поэтому нет причин не использовать 2FA для защиты почтовых ящиков вашей компании.
Обучите сотрудников работе с вложениями электронной почты
Злоумышленники обычно используют вложения электронной почты для сокрытия исполняемых файлов или программ, которые внедряют в систему вредоносное ПО. Прежде чем открыть вложение, научите своих сотрудников задавать себе следующие вопросы:
- Является ли отправитель сотрудником моей организации или человеком, которому я могу доверять?
- Подходит ли формат для данного типа вложений (обратите внимание на .exe (исполняемая программа), .jar (прикладная программа Java) и .msi (установщик Windows))?
- Упоминается ли в самом письме что-нибудь о вложении?
- Ожидал ли я получить это вложение по электронной почте?
- Правильный ли адрес отправителя?
- Регулярно ли человек, скрывающий вложение, отправляет вам электронные письма?
Если есть хоть малейшие сомнения, сотрудник не должен открывать вложение. Вместо этого они должны сначала подтвердить содержимое у отправителя, чтобы убедиться, что письмо настоящее.
Вы также можете использовать средства защиты конечных точек электронной почты, чтобы помочь своим сотрудникам в борьбе с вредоносными файлами. К таким инструментам относятся антивирусные программы, которые сканируют содержимое электронной почты на наличие опасных ссылок и вложений.
Убедитесь, что сотрудники не получают доступ к электронной почте через общественный Wi-Fi
Если вы разрешаете сотрудникам брать офисные устройства домой или открывать рабочую электронную почту с личных устройств, вы должны убедиться, что сотрудники не получают доступ к электронной почте через общественный Wi-Fi.
Киберпреступнику достаточно базовых навыков, чтобы обнаружить данные, проходящие через общедоступный Wi-Fi, поэтому риску подвергаются как конфиденциальные данные, так и учетные данные.
Сотрудники должны получать доступ к своей электронной почте только тогда, когда они уверены в безопасности сети. Гораздо более безопасным вариантом (хотя и не таким надежным, как открытие электронной почты только при использовании офисного Wi-Fi) является использование мобильного интернета или интернет-донглов для использования вне офиса.
Периодически меняйте пароли
Одним из самых простых (и наиболее эффективных) методов обеспечения безопасности электронной почты является регулярная смена паролей сотрудниками. Вы должны:
- Убедитесь, что у каждого сотрудника есть новый пароль электронной почты каждые 2-4 месяца.
- Использовать устройства для принудительной смены пароля, а не оставлять обновление учетных данных на усмотрение сотрудников.
- Не позволяйте сотрудникам добавлять один или два символа к текущему паролю для создания нового.
- Не позволяйте сотрудникам использовать пароли, которые уже были у них в прошлом.
Конечно, каждый новый пароль должен соответствовать стандартным правилам для надежных парольных фраз (сочетание нижнего и верхнего регистров, цифр, символов и т.д.).
Никогда не сообщайте личную информацию в электронных письмах
Если в электронном письме вас просят предоставить какую-либо личную информацию (день рождения, номер социального страхования, номер кредитной карты, пароль), есть вероятность, что это мошенничество.
Если в электронном письме запрашивается личная информация, вам следует позвонить в соответствующую компанию, найдя ее контактную информацию в Интернете, а не следовать инструкциям в письме. Скорее всего, вы узнаете, что компания ничего не знает об этом письме, и предупредит вас, чтобы вы не отправляли частные данные по электронной почте.
Никогда не отвечайте мошенникам и спамерам
Некоторые сотрудники любят отвечать на фишинговые письма и спам, но вы должны следить за тем, чтобы работники не отвечали мошенникам.
Отправка ответа мошеннику или спамеру подтверждает, что ваш адрес электронной почты действителен. Хотя непосредственной опасности нет, но если мошенник узнает, что вы используете этот адрес, это открывает дверь для новых атак в будущем.
Обучение сотрудников проверке URL-адресов электронной почты
Еще одна простая, но эффективная практика обеспечения безопасности электронной почты заключается в обучении сотрудников проверять URL-адреса, когда они получают ссылку в электронном сообщении (особенно если сообщение приходит из незнакомого источника).
Прежде чем нажать на URL-адрес, сотрудник должен навести курсор мыши на ссылку. Если адрес не содержит расширения HTTPS, есть вероятность, что URL-адрес ведет не на безопасный сайт. Мошенники часто пытаются заманить жертву, чтобы она нажала на ссылку, которая ведет на страницу загрузки вредоносного ПО. Такие небезопасные сайты обычно имеют расширение HTTP.
Кроме того, URL-адрес может выглядеть как знакомая ссылка, но так ли это? Например, мошенник может заменить одну букву домена, чтобы обмануть сотрудника и заставить его думать, что URL является законным (например, goggle.com вместо google.com).
Не используйте пароли для разных учетных записей
У каждого сотрудника должен быть уникальный пароль для каждой учетной записи. Пароль их электронной почты не должен совпадать с парольной фразой, которую они используют для других целей (логины бэкенда, учетные данные инструментов, пароли программ HR и т.д.).
Совпадение паролей также относится к личным учетным записям. Например, пароль Facebook или банковского счета сотрудника не должен совпадать с паролем его рабочей электронной почты. Таким образом, если учетные данные банка когда-нибудь станут частью утечки данных, учетная запись электронной почты вашей компании не окажется в опасности.
Поскольку создание уникального пароля для каждой учетной записи относится к наиболее утомительным методам обеспечения безопасности электронной почты, вам следует использовать инструмент управления паролями, например, 1Password или LastPass. Эти платформы автоматически создают сложные пароли и хранят их, а сотруднику нужно помнить только один главный пароль.
Используйте фильтр спама
Большинство поставщиков услуг электронной почты имеют встроенный фильтр спама. Фильтр помогает:
- Отделить законные электронные письма от вредоносных сообщений.
- Снизить вероятность фишинга и рассылки спама.
- Поддерживать порядок в папке входящих сообщений.
Дополнительным преимуществом фильтра спама является то, что количество электронных писем становится менее подавляющим. Сотрудники будут лучше ориентироваться в своем почтовом ящике и обращать внимание на подозрительные сообщения.
Хотя у большинства спам ассоциируется с наплывом рекламы, спам может содержать вредоносные программы или, что еще хуже, программы-выкупы. Если спам-фильтр предотвратит попадание письма с выкупом в почтовый ящик сотрудника, включение этой функции будет стоить затраченных усилий.
Запретите сотрудникам использовать деловую электронную почту в личных целях (или наоборот)
Работники должны использовать рабочую электронную почту только для решения вопросов, связанных с компанией, и получения обновлений. Нет никаких причин для того, чтобы сотрудник
- Использовать электронную почту в личных целях (например, подписываться на информационные бюллетени, заводить игровые аккаунты и т.д.).
- Отправлять материалы, связанные с работой, на личный адрес электронной почты.
- Совершать покупки в Интернете с помощью профессиональной электронной почты.
- Использовать адрес для обмена личными сообщениями.
- Размещать адрес в любом месте в Интернете (социальные сети, форумы, чаты и т.д.).
Каждый раз, когда сотрудник делится своим электронным адресом, он увеличивает вероятность того, что этот адрес попадет в чужие руки. Хакеры сканируют публичные веб-сайты, чтобы собрать информацию, которую впоследствии продадут или используют в своих целях, поэтому каждое обнародование адреса увеличивает риск.
Еще одна причина запретить сотруднику отправлять на личную почту материалы, связанные с работой, заключается в том, что любой, кто взломает личный адрес (который, скорее всего, не так защищен, как электронная почта компании), получит доступ ко всему, что сотрудник отправил с рабочего адреса.
Просветите сотрудников о важности безопасности электронной почты
Обучение сотрудников, а не просто навязывание передовых методов обеспечения безопасности электронной почты, имеет жизненно важное значение. Без повышения уровня осведомленности сотрудник может воспринять требования о сложных паролях и строгих правилах как бессмысленные и несправедливые.
Вам следует организовать обязательные занятия по повышению осведомленности о безопасности электронной почты, на которых будут разъясняться:
- Все соответствующие передовые методы обеспечения безопасности электронной почты.
- Последние тенденции в атаках на электронную почту.
- Как распознать признаки фишинга.
- Важность использования рабочей электронной почты только для служебных целей.
- Как проверять адреса электронной почты.
- Отличительные черты законных и незаконных запросов электронной почты.
- Как создавать надежные пароли.
- Где сотрудники могут найти политику компании в отношении электронной почты и паролей.
- Как сотрудники должны реагировать на подозрительные электронные письма.
Независимо от того, сколько мер безопасности вы принимаете, спам и фишинговые письма время от времени будут попадать в сеть. В таких случаях понимание сотрудниками угроз, связанных с электронной почтой, является решающим фактором между неудачной и успешной попыткой взлома.
Обеспечьте выход сотрудников из учетных записей электронной почты в конце рабочего дня
Еще одна эффективная и в то же время простая практика обеспечения безопасности электронной почты заключается в том, чтобы сотрудники выходили из своих почтовых платформ в конце рабочего дня. Вы можете поощрять сотрудников выходить из системы самостоятельно или использовать платформу электронной почты для автоматического выхода из системы в определенное время. Такая практика полезна, когда сотрудник использует незнакомое устройство или сеть для проверки электронной почты.
Используйте шифрование электронной почты
Каждое электронное письмо подвержено риску быть перехваченным злоумышленником или попасть не по адресу. Для противодействия обеим угрозам можно использовать шифрование данных.
Шифрование зашифровывает исходное содержимое электронной почты и превращает сообщение в нечитаемый беспорядок. Получатель может раскрыть текст с помощью уникального ключа расшифровки, поэтому любой перехват в пути или неправильный получатель не могут привести к утечке данных.
Общие риски безопасности электронной почты
К сожалению, в угрозах, связанных с электронной почтой, нет недостатка. Вот некоторые из наиболее распространенных рисков безопасности электронной почты, с которыми вы можете столкнуться:
- Электронные письма социальной инженерии: Тактика социальной инженерии направлена на то, чтобы завоевать доверие адресата для кражи информации. Фишинг является наиболее распространенной социальной стратегией, основанной на использовании электронной почты.
- Письма с вредоносным ПО: Эти письма пытаются внедрить вредоносное ПО в вашу систему. Злоумышленник обычно "помещает" вредоносное ПО во вложение или на поддельный веб-сайт, который жертва должна открыть. Если вредоносная программа попадает в вашу систему, злоумышленник может получить контроль над устройствами, украсть данные или установить шпионские программы.
- Спам: Спам включает в себя различные нежелательные сообщения, которые могут переполнить почтовый ящик рекламой и зараженными троянами сообщениями. Поскольку около 60% мирового объема почтового трафика приходится на спам, не стоит игнорировать эту угрозу.
- Ransomware: если вредоносное письмо содержит программу ransomware, то один сотрудник, открывший неправильное письмо, может позволить злоумышленнику зашифровать ваши данные или устройства.
- Сообщения ботнетов: Зараженное электронное письмо может превратить устройства вашей компании в часть ботнета, используемого для DDoS-атак на других жертв.
- Компрометация деловой электронной почты (BEC): BEC - это разновидность spear phishing, при которой хакер выдает себя за одного из высокопоставленных руководителей компании.
К сожалению, кибератаки (на основе электронной почты и другие) постоянно развиваются, поэтому устоять на ногах очень сложно. Хакеры могут быть очень умными и изобретательными, поэтому для защиты почтовых ящиков вашей компании необходимо быть в курсе последних угроз.
Используйте передовые методы обеспечения безопасности электронной почты, чтобы обезопасить почтовые ящики своих сотрудников
Одного вредоносного письма может быть достаточно, чтобы злоумышленник обошел всю стратегию безопасности вашей компании. К счастью, приведенные выше передовые методы обеспечения безопасности электронной почты позволят повысить устойчивость к угрозам, исходящим от электронной почты, поэтому начните защищать свою компанию с помощью комплекса упреждающих мер и своевременного обучения сотрудников.