MDaemon против беспечности. Четыре фичи email-сервера для защиты мобильной почты от легкомысленности пользователей.
Добровольно-принудительная удаленка, которая стала частью делового уклада для огромного количества компаний в России и в мире, привела к размыванию периметра кибербезопасности — так принято считать. Мы же позволим себе заметить, что процесс, в ходе которого так или иначе “поплыли” цифровые рубежи организаций, начался гораздо раньше — когда в бизнес-обиход ворвались мобильные устройства.
Наряду с несомненным удобством для пользователей — возможность мгновенно ответить на сообщения электронной почты и быстро получить доступ к важной информации — девайсы значительно расширили спектр угроз, которые могли реализоваться в силу того самого размывания контура кибербезопасности. На какую-то часть угроз ответили сами производители смартфонов и планшетов. Например, корпорация Apple изначально разработала свою операционную систему для мобильных устройств так, чтобы сделать их практически неуязвимыми для вирусов.
Слабым звеном в новой парадигме — что вообще не сюрприз — оказался пользователь. Юзеры проявляют беспечность при применении гаджетов, при выборе пароля жертвуют безопасностью в пользу удобства, а иной раз просто-напросто теряют устройства или позволяют, чтобы их украли. Пользователей вряд ли можно перевоспитать. А вот уменьшить спектр киберрисков, характерных именно для мобильного применения мобильной электронной почты, как раз можно и нужно.
Давайте посмотри, что предлагает для этого MDaemon — один из самых заслуженных email-серверов, созданных как раз с акцентом на кибербезопасность.
Устанавливаем сложность пароля
Пароли — слабое место с точки зрения безопасности приложений. 123456, qwerty, дата рождения пользователя или имя любимого кота — дай юзерам волю, и они не будут особо напрягаться с подбором кодового сочетания символов для входа в свою корпоративную почту. Очевидно, что надежность таких паролей не выдерживает никакой критики. Хак-бот, написанный для подбора кодового сочетания слов и символов, взламывает такие комбинации меньше, чем за секунду.
Единственный способ избежать такого взлома — централизовать управление сложностью пароля, и эта возможность есть у MDaemon. Программный модуль на стороне почтового сервера проследит, чтобы задаваемое пользователем сочетание действительно походило на “секурный” пароль. Для пущей надежности он настоит на добавлении в кодовое сочетание цифр и другие символы, а также позволит админам принудительно задать минимальную длину кодовой комбинации. Так что о qwerty и других шедеврах “секурности” пользователям придется забыть.
Защищаем от подбора пароля
Рука об руку со взломом почты из-за простых паролей идет проникновение в информационную систему через подбор кодовых слов и сочетаний символов. Так случается, когда киберпреступники начинают “пробовать на зуб” корпоративные системы с помощью паролей, похищенных из других информационных систем. Очень часто случается, что “пассворд” с внешних сервисов конкретного пользователя может быть тем же, что и на рабочей почте — нужно просто попробовать варианты пароля Твиттера, Фейсбука, Одноклассников, Кинопоиска и других.
MDaemon позволяет корпоративным админам самим решать, сколько шансов на подбор дать преступникам. Установите предел количества неправильно введенных паролей, и после его превышения сервер прекратит реагировать на любые попытки входа в учетную запись. Схожим образом устроены банкоматы, которые “съедают” карту после трижды неверного пароля. Да, причиной блокировки может стать банальная рассеянность юзера, который несколько раз подряд ввел неактуальный пароль. В этом случае доступ к аккаунту восстанавливается по звонку админам за несколько секунд. Но давайте думать в модной нынче парадигме нулевого доверия (Zero Trust). Будем считать, что попытки подбора пароля были инициированы злоумышленниками, и благодарить себя за бдительность, даже несмотря на возмущения пользователя.
Не позволяем применять старые пароли
Запоминать действительно безопасные пароли особенно сложно, если они регулярно меняются в рамках корпоративных политик информационной безопасности. Пользователи стремятся облегчить себе жизнь: они держат в голове несколько плюс-минус надежных паролей и начинают всячески их тасовать.
Эпизоды, в дело идут старые пароли вместо относительно свежего, но с истекшим “сроком годности”, встречаются сплошь и рядом. Такой подход опасен тем, что старый пароль, который использовался где-то вовне периметра организации, может утечь и потерять свою “охранную” силу. Как раз применение скомпрометированного пароля стало причиной взлома системы газопроводов Colonial Pipeline, который оставил без энергии часть Восточного Побережья США.
Лучшей иллюстрации, показывающей важность использования только свежих и обязательно сложных сочетаний символов для любой информационной системы — от управления газопроводами до доступа в собственный аккаунт электронной почты — придумать сложно.
Автоматически блокируем девайс при бездействии
Представьте ситуацию. Вы решили сменить обстановку и вырвались из home office поработать в кофейне. Вы заказываете напиток, возвращаетесь за столик к планшету или лэптопу и погружаетесь в дивный мир договоров, согласований и закрывающих документов, которые разлетаются от вас по заказчикам, партнерам и коллегам.
Бариста возвращает вас в реальной мир и сообщает, что напиток готов. Вы оставляете планшет на столе (всего лишь на секунду, правда?) и направляетесь к стойке забрать заказ. Но что это? На выдаче замешкался предыдущий клиент. Ваш сэндвич все еще разогревается. А бариста никак не может победить крышку бумажного стаканчика с вашим напитком. В результате “всего секунда” превращается как минимум в пару минут, в течение которых содержимое экрана гаджета открыто для обзора всем желающим, а данные никак не защищены.
Создатели MDaemon дают все возможности для борьбы с подобным проявлением пользовательской беспечности. Администраторы могут централизованно задавать время бездействия, при превышении которого доступ к почте автоматически блокируется. Так работает защита от случайных зевак и от злоумышленников, которые могут отвлечь вас, чтобы заполучить доступ к корпоративному email.
Личная ответственность вместо ИБ-периметра?
Возможность отвечать на письма “на ходу” и работа из любой точки мира, где есть интернет, стали безусловным благом для бизнеса третьего тысячелетия. Но вместе с новыми возможностями пришла и дополнительная ответственность.
Готовы ли к ней пользователи?
Ответить утвердительно на этот вопрос может пока лишь небольшой процент юзеров. Людям необходимо время, чтобы свыкнуться с новыми опытом, осознать вероятные риски и научиться их не допускать. MDaemon поддержит их в рамках переходного этапа, предотвратит досадные просчеты и оградит электронную почту — эту “нервную систему” компаний — от случайных или злонамеренных посягательств.
