26 giugno 2020

In relazione a molteplici richieste al supporto tecnico Doctor Web circa l'attività dei malintenzionati che penetrano attraverso la posta, abbiamo deciso di ricordare di una serie di regole che permettono di prevenire tali incidenti. E ricordare delle funzionalità dei prodotti Dr.Web per la protezione di server di posta.

Dr.Web e la protezione della posta: ancora una volta sulle cose principali

Analizzando le richieste di supporto tecnico Doctor Web gli ultimi mesi, osserviamo un quadro sorprendente. Nei risultati degli analisi degli incidenti, come se fosse utilizzata la carta carbone, si ripetono gli stessi messaggi sulle sfumature degli incidenti:

• ... accesso non autorizzato tramite il cracking della password di uno degli account;
• ... dopo aver effettuato l'accesso tramite RDP, il malintenzionato ha lanciato uno script di criptazione;
• ... a giudicare dall'ultimo report, nella rete deve esserci un server con l'indirizzo _____ su cui si vede un'attività di rete sospetta;
• ... sul server … l'antivirus Dr.Web è stato installato già dopo la criptazione.

Le aziende perdono dati, subiscono tempi di inattività, impiegano tempo e denaro per ripristinare l'infrastruttura, ma percepiscono quanto accaduto come un fatto puramente accidentale non apportando modifiche al loro sistema di sicurezza informatica. Abbiamo visto più di una volta casi di infezione nelle stesse aziende proprio per questo motivo.

Gli specialisti del nostro supporto tecnico a quasi ogni richiesta scrivono le stesse raccomandazioni, esse si ripetono, come ritornello, in edizioni del progetto "The Anti-virus Times" — ma sembra che solo noi stessi le leggessimo.

Nel frattempo, l'attenta osservanza di semplici regole aiuta a evitare la stragrande maggioranza degli incidenti di sicurezza. Ripetiamo queste regole in formato notizia.

• La posta deve essere filtrata sul server

  I dipendenti aziendali possono lavorare sia in ufficio che a casa, tra le altre cose, sui loro dispositivi personali. Anche se l'utente disattiverà l'antivirus o lavorerà senza antivirus, non deve ricevere messaggi dai malintenzionati. Perché in un'email possono esserci link di un sito malevolo o un allegato malevolo o istruzioni che sarebbero quelle del direttore per trasferire denaro sul conto dei truffatori.

  La verifica dei messaggi di posta deve essere eseguita sul mail server.

  Ciò permetterà di escludere che un'email fraudolenta venga ricevuta dal dipendente.

• Deve essere filtrata la posta di tutti i dipendenti

  Gli addetti a vendite di vari livelli, nonché i dirigenti sono a maggior rischio di apertura di un'email malevola o fraudolenta — le loro mansioni prevedono l'apertura di qualsiasi email (messaggi su reclami e multe, disposizioni dalla dirigenza superiore, inviti alla collaborazione). Fino al 40% dei dipendenti aziendali apre tutte le mail. Anche se nell'azienda è stato recentemente tenuto un corso di formazione sulla sicurezza informatica.

  Quando si tratta di protezione, non dovrebbero esserci prediletti — nessuno dei dipendenti non deve ricevere email dei truffatori.

  La verifica dei messaggi di posta deve essere eseguita sul mail server.

• Ciascuna email è soggetta a verifica

  È impossibile proteggersi dalla ricezione dei messaggi di truffa utilizzando le sole impostazioni del server di posta (ad esempio, le tecnologie SPF, DKIM ecc.), se è stato hackerato il server di un partner. I malintenzionati possono inviare messaggi da server di posta fidati, ma già compromessi.

  Il filtraggio dei messaggi postali deve essere basato sull'analisi del contenuto del messaggio stesso.

In che modo le aziende possono assicurare l'osservanza di queste regole al minor costo per il budget?

Passando a Dr.Web Mail Security Suite per Unix — come lo strumento migliore nella sua classe per il filtraggio della posta per virus e spam.

1. Analizzando messaggi, Dr.Web si basa su regole – segni caratteristici degli invii di email malevoli. Una regola può mettere barriera alla via di tutti gli invii dello stesso spammer.
2. L'antivirus Dr.Web rileva non solo i programmi malevoli già conosciuti, ma anche quelli non ancora analizzati – questo è un pezzo forte tradizionale di Dr.Web.
3. L'antispam Dr.Web viene aggiornato ogni ora, ma gli basterebbe persino un aggiornamento giornaliero – il sistema di regole su cui è basato, anche nel caso di aggiornamenti infrequenti, non consente nessuna diminuzione della sua efficacia.
4. Dr.Web protegge la posta su quasi tutti i server di posta conosciuti e funziona su quasi tutti i sistemi operativi Linux, FreeBSD e Solaris.
5. La soluzione può essere installata come gateway email che fornisce l'isolamento del server interno e la massima qualità di filtraggio.
6. Il passaggio a un nuovo server non causa interruzioni nel funzionamento dell'azienda e non richiede tempo per la sostituzione della licenza.
7. Dr.Web può essere utilizzato sia in una piccola impresa che in un'azienda multilivello rendendo possibili il funzionamento in cluster, l'uso di database esterni e di un cloud locale, un ampliamento delle funzionalità flessibile e l'integrazione con prodotti esterni.
8. Dr.Web Mail Security Suite per UNIX può essere integrato con sistemi di monitoraggio.
9. L'amministratore di sistema può scegliere il modo più comodo per la gestione della protezione: tramite l'interfaccia web, il sistema di protezione centralizzata aziendale o persino tramite la diretta modifica dei file di configurazione.

Dr.Web Mail Security Suite per Unix:

1. può essere installato sia tramite il pacchetto di installazione universale che dal repository;
2. rileva nei messaggi di posta allegati malevoli e link che portano su risorse potenzialmente pericolose, nonché segni di spam e phishing;
3. se necessario, consente di organizzare la verifica dei dati distribuita;
4. utilizza le tecnologie più recenti, nonché le regole di Cloud Dr.Web per rilevare le ultime minacce che non sono ancora arrivate per l'analisi al laboratorio antivirus;
5. la flessibilità del linguaggio Lua utilizzato nei gestori degli eventi configurabili e il grande set di informazioni sul messaggio disponibili dalla procedura di elaborazione consentono di implementare non soltanto i controlli tipici dei messaggi per spam, la ricerca delle minacce incorporate o URL malevole, ma anche implementare la verifica di condizioni arbitrarie con l'elaborazione dei verdetti necessari per il processamento del messaggio verificato da parte del server di posta;
6. consente di utilizzare per il filtraggio le blacklist e whitelist, i dati dei server DNSBL, la tecnologia DKIM;
7. rende possibile filtrare messaggi tramite il controllo del corpo e delle intestazioni dei messaggi con espressioni regolari configurate dall'amministratore;
8. permette di impostare non solo diverse azioni per diverse categorie di spam, ma anche filtrare messaggi in base ai loro contenuti;
9. permette di modificare il messaggio filtrato se in esso vengono rilevati segni impostati nelle regole di funzionamento dell'applicazione;
10. può essere utilizzato se nell'azienda è utilizzato un cluster di posta o ci sono server di riserva per il caso di errore. Ciò non influisce sul costo della licenza – proteggiamo in base al numero di utenti;
11. può funzionare in modalità di proxy trasparente o proxy che controlla il traffico per trasferirlo sul server di posta specificato;
12. fornisce la protezione degli oggetti del sistema operativo su cui è installato Dr.Web.

#posta #spam #phishing #Dr.Web