Не важно, используете вы Exchange Online как отдельный продукт или как часть Office 365, так или иначе любое поступающее вам сообщение сканируется и фильтруется, проходя через службу защиты Exchange Online Protection (EOP). По сути, она является массивным набором серверов, служащим для перехвата и удаления угроз из электронной почты, прежде чем нежелательный мусор достигнет почтовых ящиков. EOP также доступна как хостируемая служба фильтрации электронной почты, которую можно использовать на локальных серверах.

Борьба против спама, вирусов и других видов атак на электронную почту не утихает с тех пор, как кто-то обнаружил, что можно отправлять ничего не подозревающим адресатам сообщения, содержащие вредоносный код или текст, который бы побуждал получателя выполнять действия себе же во вред. Вспомним известные примеры из прошлого: вирус I Love You, поразивший наши компьютеры в мае 2000 года, многочисленные вариации уведомлений о миллионах долларов, которые ждут вас, потому что кто-то умер или был свергнут, и т. д. Многие из таких писем приходят из Нигерии: речь идет об аферах номер 419, где 419 относится к статье нигерийского Уголовного кодекса о мошенничестве. Социальная инженерия и фишинг-атаки — тоже распространенные «переносчики инфекции».

Время идет, но, несмотря на колоссальные вложения в индустрию возведения и укрепления сетевых бастионов, в электронной почте циркулирует невероятное количество разного рода мусора, объем которого все растет. По некоторым отчетам, в спаме среди 100 млрд ежедневно пересылаемых сообщений более миллиарда содержат вредоносные программы, а 70% всей электронной почты — это спам.

Как поясняет в своей статье компания Sophos, специализирующаяся на вопросах безопасности, доступность обширного высокоскоростного подключения и выпуск дешевых компьютеров на руку спамерам, изобретающим огромное количество электронных сообщений, которые никто, находясь в здравом уме, не станет открывать. Нежелательная коммерческая электронная почта засоряет Интернет, и в ближайшее время от нее никуда не деться. Что и приводит нас снова к EOP. Стандартная обработка службой достаточно хороша для удаления значительного количества спама, который достигает внешней границы Office 365, однако, учитывая громадный объем спама и то, что его создатели крайне изобретательны и постоянно изыскивают новые пути обмана, чтобы перехитрить разработчиков служб фильтрации почты наподобие EOP, некоторые нежелательные сообщения могут и проскочить. Каждую неделю я нахожу в своем почтовом ящике три или четыре письма, которые кажутся мне подозрительными, и я передаю их Microsoft для анализа.

Не так давно Microsoft анонсировала службу Advanced Threat Protection (ATP) для EOP (http://blogs.office.com/2015/04/08/introducing-exchange-online-advanced-threat-protection/). Это дополнительный компонент, который стоит 2 долл. за пользователя в месяц. Служба ATP проходила предварительное тестирование у некоторых пользователей Office 365, а с теперь она стала общедоступной.

Дополнительные затраты на пользователя в месяц могут вылиться в огромный счет. Компании, в которой насчитывается 10 тыс. почтовых ящиков Office 365, придется ежегодно платить 240 тыс. долл., если она решит установить ATP для всех пользователей (службу можно развернуть и выборочно для защиты отдельных групп). Что же мы получим в итоге? Microsoft обозначила три «сферы деятельности» для новой функции.

Усиленная защита от уязвимостей нулевого дня и вредоносных программ. Вирус с использованием «ошибок нулевого дня» ни разу не был замечен в дикой природе (за пределами лаборатории), поэтому инструменты, удаляющие вредоносные программы, и антивирусы не могут его обнаружить. Каждое сообщение при поступлении в Office 365 обрабатывается EOP, использующей различные антивирусные инструменты и антиспамовые программы. Большая часть трафика отсекается сразу же, как только в нем идентифицирован вирус или другое подозрительное содержимое. Затем частично очищенный поток почты рассматривается на предмет сообщений, которые могут вызывать сомнения, потому что им присущи многие из известных характеристик вредоносных программ. Однако, поскольку эти сообщения не подходят под известные сигнатуры вредоносных программ, EOP не может определить, безвредные они или нет, поэтому сообщения помещаются в специальную изолированную среду (работающую на виртуальных машинах Azure), где подозрительное содержимое может быть разбито на части и проанализировано, чтобы выяснить, насколько оно опасно. Например, вложение, которое содержит исполняемый файл, всегда вызывает подозрение, но для успокоения вы должны понаблюдать, как ведут себя exe-вложения при запуске.

Концептуально это ничем не отличается от работы исследователей вредоносного программного обеспечения, когда они декодируют новые угрозы, но это делается в большом масштабе и с использованием компьютерного обучения для принятия решения о контенте. Правда, встает вопрос о том, сколько времени занимает прием подозрительных сообщений для анализа и проверки, особенно в часы пик, но, вероятно, оно будет измеряться в минутах, а не в секундах. Если контент в порядке, он будет доставлен. Если нет, можно полностью заблокировать сообщение, а можно разблокировать его для получателя и затем удалить подозрительный контент. Опасные сообщения могут быть захвачены для дальнейшего анализа специалистом.

Защита от мошеннических адресов URL в реальном времени. Злоумышленники могут прятать вредоносные URL за ссылками, которые кажутся безопасными и относящимися, казалось бы, также к защищенным сайтам, которые вы, возможно, захотите посетить. Но, нажав на один из таких адресов URL, вы перенаправляетесь в опасное место. Этот ход используется в фишинг-атаках, в процессе которых злоумышленники могут заставить нас поделиться конфиденциальными данными. ATP ищет данный вид переадресации и сравнивает адреса URL перенаправителя со списками URL с соответствующей репутацией, которые регулярно обновляются. Если URL в списке, то он блокируется.

Важный момент здесь заключается в том, что проверка осуществляется в момент чтения, а не тогда, когда сообщение достигает границ Office 365; что-то пойдет не так, и угроза может стать активной на этапе между доставкой и чтением. Впрочем, фраза «в режиме реального времени» может вызывать споры, ведь проверка в реальном времени должна затрагивать базу данных, которая постоянно обновляется, или обеспечить сканирование подозрительных URL. Проблема в том, что сканирование подозрительных URL может занять больше времени, чем хотел бы пользователь.

Отчетность и трассировка адресов URL. Конечно, EOP собирает много информации о том, кто получает вредоносное программное обеспечение и спам, и о содержании этих сообщений. Данная информация интерпретируется и подвергается анализу для выявления существующих моделей: являются ли целью мошенничества данные конкретных сотрудников организации, какие категории атак самые распространенные и т. д.

Сложно определить, насколько ценной окажется для вас такая дополнительная возможность, как ATP. Некоторые компании придают ей чрезвычайное значение и идут на дополнительные расходы, поскольку нуждаются в определенном уровне защиты. В конце концов, устранение последствий атак, например Cryptolocker, обычно выливается в круглую сумму и отнимает слишком много времени. Другие думают об ATP: хорошо бы приобрести, но, наверное, не сейчас. В любом случае, у вас есть выбор. И хорошо, что внедряются все новые средства для борьбы с вредоносными программами, потому что эта проблема будет существовать до тех пор, пока есть люди, готовые зарабатывать на слабостях других.