В одной из наших предыдущих статьей мы развернули шлюз безопасности электронной почты Kaspersky Secure Mail Gateway и провели базовую настройку. Если вы не читали предыдущую статью, то рекомендуем начать с неё: Kaspersky Secure Mail Gateway 2.0
В этой статье мы настроим интеграцию Kaspersky Secure Mail Gateway c Kaspersky Anti Targeted Attack Platform (KATA). В результате интеграции Kaspersky Secure Mail Gateway сможет отправлять сообщения электронной почты на проверку Kaspersky Anti Targeted Attack Platform и получать результат проверки. KATA проверяет сообщения на наличие признаков целевых атак и вторжений в IT-инфраструктуру организации.
Одно из основных преимуществ платформы KATA — это высокопроизводительная песочница, которая позволяет запускать подозрительные объекты в изолированной среде и осуществлять их многоуровневый анализ. Возможности детально исследовать поведение анализируемых объектов, а также сопоставлять обнаруженную подозрительную активность с базой знаний MITRE ATT&CK позволяют оперативно реагировать на сложные инциденты.
По результатам проверки KATA Kaspersky Secure Mail Gateway может блокировать отдельные сообщения.
В данной статье не будет рассматриваться установка и настройка платформы KATA, только настройка интеграции KSMG с ней.
Настройка интеграции
Начать следует с добавления сервера KATA в веб-интерфейсе KSMG. Откроем его и перейдем в Параметры -> Внешние службы -> Защита KATA. Нажмем «Добавление сервера KATA» во вкладке «Параметры».
![](https://habrastorage.org/getpro/habr/upload_files/338/694/e73/338694e73693c584d9aa50a9decb4b68.png)
Перед нами откроется меню добавления сервера. Необходимо указать IP-адрес сервера KATA и порт (по умолчанию 443) и нажать «Далее».
![](https://habrastorage.org/getpro/habr/upload_files/e0f/d20/c92/e0fd20c928cf4485e82a4f60557f8e9e.png)
В случае успешного соединения перед вами появится отпечаток SHA256 сервера KATA.
![](https://habrastorage.org/getpro/habr/upload_files/a85/906/ed4/a85906ed45b05ed1b1fec81e483f6ff7.png)
Данный отпечаток необходимо сравнить с отпечатком сертификата в веб-интерфейсе администратора KATA в разделе «Внешние системы».
![](https://habrastorage.org/getpro/habr/upload_files/b74/3e0/7eb/b743e07eb7955e405fff9471faefea98.png)
На иллюстрации выше вы можете заметить в списке серверов уже имеющееся соединение с другим продуктом Лаборатории Касперского, а именно Kaspersky Web Traffic Security. KWTS позволяет обнаруживать и блокировать доступ к опасным элементам, с которыми пользователи взаимодействуют через веб, выступая прокси-сервером или получая данные с уже имеющегося в организации прокси-сервера, например Squid, посредством протокола ICAP. О том, как развернуть и настроить данный продукт, мы поговорим в другой статье.
Вернемся к настройке интеграции KSMG и KATA. В случае если отпечаток совпадает, мы можем завершить добавление сервера нажав «Сохранить» в веб-интерфейсе KSMG. В противном случае, изучите сеть на предмет ПО, подменяющего сертификат, им может выступать межсетевой экран, расшифровывающий HTTPS-трафик. После этого в меню «Защита KATA» в параметрах KSMG начнет отображаться IP-адрес сервера и отпечаток его сертификата. По умолчанию, после добавления сервера, KSMG ничего не отправляет в KATA на проверку.
Чтобы активировать такую возможность на той же вкладке, у нас доступны 2 варианта:
1) Отправлять на сервер KATA сообщения без обнаружений – будут отправляться сообщения, которые механизмы KSMG не определили как опасные;
2) Отправлять на сервер KATA сообщения с обнаружениями – будут отправляться все возможные сообщения.
Это 2 уровня глубины защиты, второй пункт недоступен без включения первого. В данной статье мы рассмотрим только отправку сообщений без обнаружений, но вы исходите при настройке от потребностей вашей организации в сфере ИБ. Параметры передачи сообщений на сервер KATA корректируются с учетом объемов почтового трафика, в данном случае мы оставим все по умолчанию.
![](https://habrastorage.org/getpro/habr/upload_files/476/14a/594/47614a594608100719d48b7575cd022e.png)
После включения отправки сообщений в KATA, необходимо в веб-интерфейсе KATA принять запрос на добавление внешней системы.
![](https://habrastorage.org/getpro/habr/upload_files/e5d/fe2/e81/e5dfe2e81e2ec14add7f25b7ae1167df.png)
После принятия запроса в веб-интерфейсе KSMG, в меню «Защита KATA» во вкладке «Статус» статус узла должен обновиться на «Подключено».
![](https://habrastorage.org/getpro/habr/upload_files/b7f/fc6/7d4/b7ffc67d47e3ffaba030e98d5170ea0f.png)
Но на этом наша настройка ещё не закончилась. Технически интеграция завершена и сервер KSMG может отправлять письма на сервер KATA, но для того, чтобы он начал это делать, нам нужно создать новое правило или изменить существующее. Перейдем в меню «Правила». Я изменю стандартное правило «Default» и включу «Защита KATA», нажмем «Сохранить».
![](https://habrastorage.org/getpro/habr/upload_files/d85/67c/78f/d8567c78f88a650b555751a6204ab1e9.png)
На этом базовую настройку можно считать завершенной. Перейдем к тестированию.
Тестирование
Для отправки тестового вредоносного сообщения воспользуемся программой SwithMail. Заполним параметры отправителя и в качестве сервера почты укажем шлюз KSMG:
![](https://habrastorage.org/getpro/habr/upload_files/ea8/e08/939/ea8e08939881971019de8ac23cd9c265.png)
В качестве вредоносного файла будет выступать исполняемый файл EDRtestFile.
![](https://habrastorage.org/getpro/habr/upload_files/a52/39f/22a/a5239f22a09379d055b325b12e199426.png)
Тема и тело письма обозначим как «KSMG Test KATA»
![](https://habrastorage.org/getpro/habr/upload_files/e5a/b74/1c1/e5ab741c12ae5d2535ccee9939e7dcd1.png)
И нажмем Test Settings.
В веб-интерфейсе KSMG перейдем в меню «Очередь сообщений» и убедимся, что данное сообщение ожидает ответа сервера KATA в так называемом KATA-карантине.
![](https://habrastorage.org/getpro/habr/upload_files/181/ca6/538/181ca65380e962154ec3f5373eca17e9.png)
Сообщение может находиться в очереди некоторое время, пока сообщение проверяется на сервере KATA, но не более чем время, указанное в параметрах интеграции, в нашем случае 10 минут. Если сообщение превысит максимальное время ожидания ответа, то оно будет пропущено без проверки.
Когда проверка завершится и с сервера KATA придет ответ, то вы увидите в меню «События» результат.
![](https://habrastorage.org/getpro/habr/upload_files/1ca/a31/288/1caa3128804dc6c7187351cf2f5dbd11.png)
В данном случае сообщение было удалено. Нажмем на событие и посмотрим детализацию.
![](https://habrastorage.org/getpro/habr/upload_files/ea8/70b/151/ea870b151eafbcfe17b72fbbf97ddea1.png)
Исходя из события и его результата проверки, именно KATA обнаружила вредоносное ПО. Также мы можем увидеть обнаружение на панели мониторинга:
![](https://habrastorage.org/getpro/habr/upload_files/dc1/1d2/f3f/dc11d2f3ff4b7b8587fcd1e5b9b184ea.png)
Если есть необходимость проанализировать, что механизмы KATA нашли в сообщении, нам следует перейти непосредственно в её веб-интерфейс, но использовать учетную запись с правами офицера безопасности. Перейдем в раздел меню «Обнаружения» и найдем обнаружение по сообщению, которое мы ищем:
![](https://habrastorage.org/getpro/habr/upload_files/c58/ca7/ac1/c58ca7ac10206e905429b0948758b4e2.png)
Перейдем к карточке обнаружения:
![](https://habrastorage.org/getpro/habr/upload_files/445/ee6/3c6/445ee63c68af39790799cdc1f1a23044.png)
Здесь мы сможем увидеть как основную информацию, которая была доступна и в KSMG, например Email отправителя, получателя и тему сообщения, так и заголовки сообщения для анализа.
Если пролистаем ниже карточку обнаружения, то сможем скачать сообщение в формате eml и нам будет предоставлена информация о технологиях, которые обнаружили вредоносное ПО.
![](https://habrastorage.org/getpro/habr/upload_files/cdb/ca2/38b/cdbca238b657b5591a5cae6b062efc94.png)
В нашем случае мы видим, что компонент Sandbox (SB) обнаружил Trojan.Script.Generic.Poweliks. Если открыть пункт «Sandbox-обнаружение», то мы сможем получить детальную информацию о том, какие процессы запускались, какие ветки реестра изменялись, к каким IP-адресам программа пыталась получить доступ и т.п.
Выводы
Kaspersky Anti Targeted Attack Platform – решение, предназначенное для защиты IT-инфраструктуры организации и своевременного обнаружения таких угроз, как атаки "нулевого дня", целевые атаки и сложные целевые атаки advanced persistent threats (далее также "APT").
Двусторонняя интеграция с решением «Лаборатории Касперского» для защиты от целевых атак позволяет не только использовать почтовые системы как дополнительный источник информации для обнаружения целенаправленных атак, но также блокировать дальнейшее распространение сообщений с опасным содержимым в зависимости от результатов глубокого анализа Kaspersky Anti Targeted Attack Platform. Самые изощренные вредоносные письма, обнаруженные механизмами Kaspersky Anti Targeted Attack, отправляются на карантин.
Автор статьи: Илья Папазов, инженер TS Solution.
Все знаковые новости мира кибербеза, практические кейсы внедрения и настройки решений, а также приглашения на полезные обучения уже ждут вас на наших каналах: