Скрытые риски инструментов импорта электронной почты: что ваша организация должна знать о воздействии на данные

Почему инструменты импорта электронной почты работают иначе, чем стандартные почтовые клиенты

Фундаментальная уязвимость начинается с того, как инструменты импорта электронной почты спроектированы архитектурно. В отличие от стандартных почтовых клиентов, которые отображают выбранные сообщения с основной информацией о получателе, инструменты импорта извлекают полную техническую инфраструктуру каждого сообщения — включая подписи аутентификации, информацию о маршрутизации, детали шифрования и полные заголовочные данные, которые показывают, как каждое сообщение обрабатывалось в вашей организационной инфраструктуре.

Согласно техническому анализу систем электронной почты, заголовки электронной почты содержат гораздо больше технической информации, чем понимают большинство пользователей: IP-адрес отправителя, который раскрывает географическое местоположение с точностью до уровня города, временные метки, показывающие, когда каждое сообщение было отправлено, включая часовой пояс, полную информацию о программном обеспечении почтовых клиентов и версиях операционных систем, а также полный технический путь, который каждое сообщение прошло через почтовые серверы во время передачи.

Стандартные протоколы электронной почты, такие как SMTP и IMAP, были созданы десятилетия назад, когда безопасность не была основным из соображений. Эти протоколы встраивают обширные технические метаданные в каждое сообщение как часть нормальной операции, и эти метаданные путешествуют с каждым сообщением на протяжении всего его жизненного цикла — когда сообщения импортируются, пересылаются, архивируются или резервируются.

Критическое различие: инструменты импорта работают на уровне сервера или с экспортированными файлами электронной почты, что означает, что они захватывают сообщения до того, как любые механизмы безопасности на стороне клиента смогут потенциально фильтровать конфиденциальную информацию. Когда ваша организация мигрирует с одной платформы электронной почты на другую или консолидирует несколько почтовых систем, инструмент импорта обрабатывает миллионы сообщений и извлекает полные технические метаданные из каждого из них — создавая постоянные записи информации, о которых руководство организации часто даже не догадывается, что они передавались.

Скрытые метаданные, которые раскрывают инструменты импорта электронной почты

Метаданные электронной почты представляют собой наиболее опасную категорию информации, которую раскрывают инструменты импорта, именно потому, что большинство пользователей электронной почты никогда не видели эти метаданные и не понимают, какую информацию они содержат и насколько она ценна для потенциальных злоумышленников.

Географическая и временная разведка

Каждый заголовок электронной почты содержит IP-адрес отправителя, который удивительно точно раскрывает географическое местоположение. Когда инструменты импорта извлекают сообщения от вашей команды продаж, метаданные показывают, какие сотрудники работают в какие часы, потенциально указывая на смены или изменения местоположения работы. Метаданные из сообщений между исполнительным руководством раскрывают частоту и модели коммуникации, которые позволяют делать выводы о процессах принятия решения в организации.

Организации, которые импортируют электронную почту из нескольких географических местоположений или часовых поясов, невольно создают постоянные записи о том, где работают разные организационные единицы и как часто они общаются через географические границы. Эта информация остается доступной неограниченное время после извлечения через процессы импорта.

Детали технической инфраструктуры

Инструменты импорта сохраняют полную информацию о версиях программного обеспечения почтовых клиентов, деталях операционной системы и используемых протоколах аутентификации в вашей организации. Это техническое отпечатковое снимание позволяет злоумышленникам выявлять, какие системы могут быть уязвимы для известных эксплойтов, понимать технологический стек вашей организации и разрабатывать целенаправленные атаки, которые эксплуатируют конкретные версии программного обеспечения, которые используют ваши команды.

Аутентификация и конфигурация безопасности

Согласно исследованиям аутентификации электронной почты, сообщения содержат встроенную информацию о инфраструктуре аутентификации, включая информацию о том, были ли сообщения подписаны цифровыми сертификатами, какие протоколы аутентификации использовались и детали о том, как была подтверждена личность отправителя. Когда инструменты импорта извлекают подписи DKIM, записи аутентификации SPF и информацию о политике DMARC, встроенную в заголовки электронной почты, они раскрывают полную конфигурацию безопасности электронной почты вашей организации.

Проблема сохранения усугубляет эти уязвимости. Как только электронная почта импортируется в новые системы, существует несколько копий: оригинальные сообщения остаются в исходных системах, копии существуют в целевых системах, а резервные или архивные копии могут существовать на отдельной инфраструктуре. Каждая копия сохраняет полные метаданные, и эти метаданные могут быть доступны любому, у кого есть учетные данные для любой из этих систем.

Метаданные документа и скрытые свойства, раскрытые при импорте

Инструменты импорта электронной почты не извлекают только техническую инфраструктуру электронной почты — они также сохраняют полные метаданные прикрепленных документов, создавая то, что исследователи безопасности называют "теневыми копиями" конфиденциальной информации.

Когда пользователи прикрепляют документы Word, таблицы Excel или файлы PDF к электронным письмам и эти письма импортируются, инструменты импорта сохраняют полные документы, включая все скрытые свойства, которые Microsoft Office, Adobe и другие приложения автоматически встраивают во время создания и редактирования документов.

Риски документов Microsoft Office

Документы Microsoft Word встраивают имена всех пользователей, редактировавших документ, подробную историю ревизий, показывающую, какие изменения внес каждый человек и когда, даты создания, показывающие, как долго существуют документы, и метаданные о компьютере и сети, где документы были изначально созданы.

Рассмотрим этот распространенный сценарий: работник банка повторно использует шаблон договора займа от предыдущего клиента, модифицируя его для нового клиента и отправляя по электронной почте. Инструмент импорта сохранит не только информацию о новом клиенте, но и условия займа предыдущего клиента, процентные ставки и полную историю переговоров, встроенную в отслеживание изменений документа.

Уязвимости таблиц Excel

Таблицы Excel представляют собой еще более проблемные аспекты раскрытия метаданных. Инструменты импорта сохраняют скрытые строки, скрытые столбцы и скрытые листы, о которых пользователи даже не знали, когда они отправляли документы. Финансовые команды часто повторно используют бюджеты, удаляя видимые строки, но оставляя скрытые строки, содержащие предыдущие данные бюджета, нетронутыми. Когда эти таблицы отправляются по электронной почте и импортируются, инструменты импорта полностью сохраняют скрытые данные.

Скрытый контент PDF

Документы PDF создают особенно опасные экспозиции метаданных, потому что пользователи обычно предполагают, что PDF-файлы статичны и не содержат скрытых метаданных. Тем не менее, процессы создания PDF встраивают метаданные, включая даты создания документа, информацию об авторе, детали программного обеспечения для создания PDF, историю изменений и потенциально встроенные комментарии или отслеживаемые изменения, которые авторы считали удаленными.

Организации, обрабатывающие конфиденциальную информацию — финансовые фирмы, поставщики медицинских услуг, юридические практики — часто испытывают утечки данных через импортированные электронные письма, потому что документы, прикрепленные к письмам, содержат метаданные, раскрывающие конфиденциальную информацию, которую отправитель документа никогда не собирался раскрывать.

Правила пересылки электронной почты и скрытые каналы связи

Инструменты импорта электронной почты захватывают не только сами сообщения, но и всю инфраструктуру вокруг этих сообщений, включая правила пересылки, автоматические ответы и другие конфигурации обработки сообщений, о которых организации часто не догадываются, что они были созданы или активированы.

Когда учетная запись электронной почты оказывается скомпрометирована злоумышленниками, одним из первых действий угрожающих акторов является создание правил пересылки электронной почты, которые автоматически копируют все входящие сообщения на внешние адреса, контролируемые злоумышленниками. Согласно исследованиям в области кибербезопасности по техникам скрытия электронной почты, эти правила работают незаметно в фоновом режиме, и пользователи, чьи счета были скомпрометированы, часто не подозревают, что их сообщения пересылаются неавторизованным лицам.

Когда инструменты импорта экспортируют электронную почту из скомпрометированных счетов, они сохраняют эти правила пересылки как часть данных конфигурации учетной записи. Если ваша организация импортирует электронную почту из скомпрометированной учетной записи, не идентифицировав и не удалив правила пересылки, эти правила переносятся в целевую систему нетронутыми. Это создает ситуацию, при которой злоумышленники сохраняют постоянный доступ к скопированной электронной почте даже после того, как оригинальная учетная запись была защищена новыми паролями и мерами безопасности.

Обманчивое именование правил

Злоумышленники намеренно создают правила пересылки с обманчивыми названиями, которые предназначены для слияния с легитимными операциями почтовой системы — такие названия, как "RSS-каналы", "Архив" или одиночные символы точки, которые выглядят пустыми. Эти правила незаметно копируют все сообщения, соответствующие определенным критериям (например, сообщения от определенных отправителей или содержащие определенные ключевые слова), на внешние адреса. Когда инструменты импорта извлекают электронную почту, и эти правила остаются незамеченными, организации могут страдать от многолетнего вытекания данных, не осознавая, что сообщения пересылаются неавторизованным лицам.

Уязвимости неправильной конфигурации облака, выявленные через импорт

Одна из самых критических уязвимостей, обеспечиваемых инструментами импорта электронной почты, - это раскрытие деталей неправильной конфигурации облака, которые могут способствовать последующим компрометациям инфраструктуры организации.

Наглядный пример иллюстрирует серьезность этой уязвимости. Согласно анализу утечек данных, в марте 2023 года Министерство обороны США случайно раскрыла три терабайта конфиденциальных военных электронных писем из-за неправильно настроенного почтового сервера в облаке Microsoft Azure для правительства. Электронные письма были доступны любому, кто знает IP-адрес и имеет доступ в интернет, оставшись открытыми в течение двух недель до их обнаружения.

Когда организации используют инструменты импорта для миграции электронной почты на облачные платформы, эти инструменты взаимодействуют с облачными API и механизмами аутентификации, которые могут быть либо правильно защищены, либо нет. Если учетные данные инструмента импорта скомпрометированы или если облачная инфраструктура неправильно настроена, злоумышленники могут потенциально получить доступ к электронной почте в процессе импорта. Более того, как только электронная почта была импортирована в облачные системы с неправильными конфигурациями, злоумышленники могут получать доступ к этой почте неограниченно.

Пример неправильной конфигурации S3 Bucket

В ноябре 2017 года сторонний подрядчик неправильно настроил корзину Amazon S3, содержащую личные идентифицируемые данные 48 270 сотрудников из различных австралийских организаций, включая государственные учреждения, банки и коммунальные компании. Корзина была установлена в режим "публичный", а не "приватный", что означало, что любой в интернете мог получить доступ к раскрытым данным. Скомпрометированные данные включали имена, пароли, идентификационные номера, контактные данные, номера кредитных карт и информацию о зарплате.

Инструменты импорта, которые взаимодействуют с облачной инфраструктурой, такой как Azure или AWS S3, не проверяют, безопасны ли облачные конфигурации перед импортом электронной почты. Организации, которые импортируют большие объемы электронной почты в облачные хранилища с неправильно настроенными контролем доступа, непреднамеренно создают массовые инциденты утечек данных.

Организационная интеллектуальная структура, выявленная через коммуникационные паттерны

Инструменты импорта электронной почты сохраняют полные организационные коммуникационные паттерны — кто общается с кем, как часто разные люди обмениваются сообщениями и какие проекты или темы обсуждаются в переписке. Эта метадата коммуникации позволяет делать сложные выводы об организационной структуре, процессах принятия решений и стратегических инициативах, не читая содержимое сообщений.

Согласно исследованиям по анализу организаций на основе электронной почты, злоумышленники могут составить подробные организационные схемы из паттернов коммуникации, не проникая во внутренние сети и не получая доступ к конфиденциальным документам. Анализируя, какие сотрудники общаются чаще всего, кто служит коммуникационными узлами между отделами и как изменяется частота общения со временем, злоумышленники могут вывести структуры отчетности, идентифицировать ключевых лиц, принимающих решения, понять, какие команды обрабатывают чувствительную информацию, и предсказать вероятные цели для будущих атак.

Анализ коммуникационных паттернов

Когда инструменты импорта сохраняют полные архивы коммуникации, они создают постоянные записи этих организационных паттернов. Угрозовые субъекты, анализирующие импортированную электронную почту, могут определить, какие руководители чаще всего общаются с финансовыми командами (что подразумевает участие в принятии финансовых решений), какие сотрудники имеют прямые коммуникационные связи с клиентами (что предполагает роли в продажах или управлении аккаунтами) и какие лица получают сообщения от внешних сторон (что может указывать на отношения с поставщиками или участие в отрасли).

Более опасно, злоумышленники могут анализировать изменения частоты коммуникации, чтобы выявить организационные изменения до их публичного объявления. Когда ключевые сотрудники внезапно прекращают общение с предыдущими коллегами и начинают общаться в основном с командами в других отделах, этот паттерн указывает на организационные переходы, такие как повышения, переводы или увольнения.

Темпоральная информация

Темпоральные паттерны в импортированной электронной почте также ReveaL организационные операции с тревожной точностью. Объем общения, как правило, увеличивается в рабочее время и уменьшается в вечернее и выходные. Проанализированная импортированная электронная почта можетreveaLtypical рабочие часы для разных сотрудников, определить, кто работает необычные смены или в других часовых поясах, и установить оптимальное время для отправки фишинговых сообщений, когда цели с наибольшей вероятностью будут работать и менее внимательно scrutinize подозрительные электронные письма.

Риски интеграции с сторонними приложениями и раскрытие разрешений OAuth

Современные email-системы всё чаще интегрируются со сторонними приложениями через механизмы аутентификации OAuth. Эти интеграции позволяют внешним приложениям получить доступ к данным электронной почты, информации о календаре, контактам и другой конфиденциальной информации через аутентифицированные соединения.

Исследования безопасности интеграции электронной почты показывают, что от 59.67% до 82.6% пользователей предоставляют разрешения OAuth сторонним приложениям без полного понимания, к какому доступу они могут привести. Многие пользователи не осознают, что предоставление разрешения "чтение электронной почты" приложению позволяет этому приложению получать доступ к полному содержимому электронной почты, вложениям, метаданным и паттернам общения.

Когда инструменты импорта перенастраивают интеграции на целевых системах, они могут автоматически переподключить приложения, которые имели доступ к электронной почте в исходных системах, что потенциально дает этим приложениям доступ ко всей импортированной электронной почте, даже не подозревая, что соединения были восстановлены.

Зловредные приложения OAuth

Более того, sofisticированные атакующие создают зловредные приложения, которые запрашивают доступ к электронной почте через OAuth, используя легитимные экраны согласия, предоставляемые доверенными поставщиками идентификации, такими как Microsoft или Google. Эти зловредные приложения используют видимую легитимность экрана согласия (поскольку он отображает бренд доверенного поставщика), чтобы обмануть пользователей, заставив их предоставить полный доступ к электронной почте, контактам, календарю, файлам и другим конфиденциальным данным.

После получения этого доступа зловредные приложения могут анализировать всю импортированную электронную почту, контролировать текущие коммуникации и понимать организационные паттерны, чтобы создавать все более сложные новые атаки. Исследования показывают, что атакующие сознательно используют терпение в эксплуатации доступа OAuth, оставаясь в состоянии покоя в течение длительных периодов времени, анализируя импортированную электронную почту для понимания паттернов общения, определения бизнес-процессов и изучения терминологии организации.

Копии вложений и обход предотвращения потери данных

Когда инструменты импорта электронной почты извлекают сообщения и их вложения, они создают то, что исследователи безопасности называют "теневыми копиями" прикрепленных файлов, которые существуют независимо от оригинальных документов и сохраняются на нескольких системах.

Представьте себе такую ситуацию: пользователь осторожно классифицирует чувствительный документ как конфиденциальный и хранит его в защищенном репозитории с ограниченными контролем доступа. Однако, если этот же пользователь прикрепил документ к электронной почте и отправил его коллеге, а затем это письмо было импортировано в архивную систему с другими контролем доступа, принадлежащее файл теперь существует в двух местах с потенциально очень разными уровнями безопасности.

Согласно исследованиям безопасности вложений электронной почты, документ в защищенном репозитории продолжает подлежать организационным политикам классификации данных и контролю доступа, но теневая копия в архиве электронной почты может быть доступна любому человеку, имеющему доступ к системе электронной почты.

Сохранение после удаления

Более проблематично то, что теневые копии, созданные при экспорте вложений электронной почты, сохраняются даже после того, как пользователи удаляют оригинальные документы из защищенных репозиториев. Если проект завершен и связанные документы удалены из организационного файлового хранилища, копии тех же документов, которые были прикреплены к электронным письмам, остаются доступными через импортированные архивы электронной почты на неопределенный срок. Организации теряют контроль над тем, когда и как эти теневые копии в конечном итоге будут уничтожены, если вообще будут.

Ограничения защиты паролем

Пользователи часто полагают, что защита паролем делает прикрепленные файлы более безопасными, но инструменты импорта извлекают файлы с защитой паролем полностью, и злоумышленники, анализирующие импортированные электронные письма, могут использовать атаки грубой силы для взлома паролей, потенциально получая доступ к файлам, которые пользователи считали достаточно защищенными.

Проблема постоянства и уязвимость систем резервного копирования

Наверное, наиболее недооцененной уязвимостью, создаваемой инструментами импорта электронной почты, является то, что исследователи безопасности описывают как "проблему постоянства" — реальность, что после импорта электронной почты существует множество копий в различных системах резервного копирования, архивирования и восстановления после катастроф, и эти копии фактически невозможно полностью удалить или контролировать.

Организации, которые импортируют электронную почту для соблюдения норм, восстановления после катастроф или обеспечения непрерывности бизнеса, создают множество постоянных копий. Согласно анализу рисков миграции данных, импортированная электронная почта существует на основных системах, где пользователи регулярно к ней обращаются, системы резервного копирования создают дополнительные копии через автоматизированные процессы резервного копирования, архивные системы создают отдельные копии для долгосрочного хранения, а инфраструктура восстановления после катастроф может создать дополнительные копии в географически распределенных местах для целей восстановления.

Невозможность выборочного удаления

После импорта электронной почты в системы резервного копирования и архивирования организации часто не имеют технической возможности выборочно удалить конкретные сообщения или документы из резервных копий. Системы резервного копирования, как правило, разработаны для сохранения полных копий данных без возможности выборочного удаления — если организация нуждается в восстановлении из резервной копии, им нужна полная целостность данных. Этот архитектурный выбор означает, что даже если организация позже обнаружит, что импортированная электронная почта содержит конфиденциальную информацию, которую следовало исключить, удаление этой информации из производственных систем не удаляет её из резервных копий, которые могут сохраняться в течение лет или десятилетий.

Уязвимости системы резервного копирования

Исследования показывают, что системы резервного копирования часто сталкиваются с инцидентами безопасности. Когда инфраструктура резервного копирования скомпрометирована, злоумышленники получают доступ ко всей импортированной электронной почте, охватывающей годы или десятилетия организационной коммуникации. В отличие от активных систем электронной почты, где организации могут быстро сбросить учетные данные и отозвать доступ, системы резервного копирования часто функционируют с минимальным мониторингом и могут не сразу проявлять, когда они были скомпрометированы.

Соблюдение норм и регуляторные риски при импорте электронной почты

Инструменты импорта электронной почты создают значительные риски соблюдения норм, поскольку такие регламенты, как GDPR, HIPAA и другие, налагают строгие требования к хранению данных, контролю доступа и передаче данных через границу, которые могут быть нарушены при импорте электронной почты.

Организации, подпадающие под действие GDPR, должны внедрить "приемлемые технические и организационные меры" для защиты персональных данных. Согласно анализу соблюдения GDPR, многие организации утверждают, что облачный импорт электронной почты нарушает GDPR, поскольку передает персональные данные граждан ЕС на облачную инфраструктуру, расположенную в США. GDPR явно касается ограничений на передачу данных, и организации, которые импортируют электронную почту на облачные платформы в различных юрисдикциях, должны ориентироваться в сложных правовых требованиях относительно места нахождения данных, трансграничных передач и местных законов о защите данных.

Проблемы соблюдения норм в здравоохранении

Организации здравоохранения, подпадающие под действие HIPAA, сталкиваются с дополнительными проблемами соблюдения норм. HIPAA требует, чтобы охраняемая информация о здоровье (PHI) передавалась и хранилась с соблюдением определенных стандартов шифрования и контроля доступа. Инструменты импорта электронной почты, которые перемещают медицинскую электронную почту в облачные системы, должны обеспечивать соблюдение HIPAA на протяжении всего процесса импорта, и многие организации здравоохранения обнаруживают, что облачный импорт электронной почты создает нарушения норм, поскольку меры безопасности облачной платформы не соответствуют требованиям по контролю доступа "минимально необходимого", установленным HIPAA.

Регулирование финансовых услуг

Организации финансовых услуг, подпадающие под действие правил FINRA и регламентов SEC, должны вести журналы аудита о том, кто получал доступ к какой информации и когда. Инструменты импорта электронной почты часто не сохраняют целостность журналов аудита — импортированная электронная почта может не содержать подробной информации о доступе, необходимой для соблюдения норм, или контроль доступа может не обеспечивать разделение обязанностей, требуемое финансовыми регуляциями.

Как защитить вашу организацию во время импорта электронной почты

Понимание этих уязвимостей — первый шаг к защите вашей организации во время миграции, консолидации и проектов архивирования электронной почты. Вот несколько практических стратегий для снижения рисков:

Оценка безопасности перед импортом

Перед началом любого проекта импорта электронной почты проведите полную оценку безопасности, которая определит, какая информация будет извлечена, где она будет храниться, кто будет иметь доступ и как долго она будет храниться. Эта оценка должна конкретно исследовать выставление метаданных, свойства документов, правила пересылки, интеграцию сторонних сервисов и учетные данные для аутентификации, которые могут быть встроены в сообщения.

Удаление и очистка метаданных

Рассмотрите возможность реализации процессов удаления метаданных, которые убирают техническую информацию из заголовков электронной почты перед импортом. Хотя полное удаление метаданных может быть невозможно (некоторые метаданные необходимы для функциональности электронной почты), организации могут удалить или скрыть особенно чувствительную информацию, такую как детализированные IP-адреса, полные маршруты и подписи аутентификации.

Очистка свойств документа

Перед импортом электронной почты с вложениями реализуйте автоматическую очистку свойств документа, которая удаляет скрытые метаданные из документов Office, электронных таблиц Excel и PDF-файлов. Этот процесс должен конкретно нацеливаться на истории изменений, скрытые строки и столбцы, встроенные комментарии и информацию об авторах, которые не предназначены для раскрытия внешним пользователям.

Обнаружение правил пересылки

Реализуйте автоматическое сканирование, которое выявляет правила пересылки электронной почты, автоматические ответы и другие конфигурации обработки сообщений перед импортом. Любые подозрительные правила должны быть исследованы и удалены до импорта электронной почты в целевые системы.

Валидация конфигурации облака

Если вы импортируете электронную почту в облачные платформы, внедрите строгую валидацию конфигураций безопасности облака перед началом процесса импорта. Эта валидация должна конкретно проверять контроль доступа, настройки шифрования, требования к аутентификации и соответствие требованиям по хранению данных.

Сегрегация контроля доступа

Реализуйте строгий контроль доступа, который ограничивает, кто может получать доступ к импортированным архивам электронной почты. Рассмотрите возможность сегрегации импортированной электронной почты в отдельные системы с другими контролем доступа, чем у производственной электронной почты, чтобы гарантировать, что архивированные коммуникации не доступны неавторизованным пользователям.

Используйте почтовые клиенты, ориентированные на конфиденциальность

Для организаций, обеспокоенных выставлением метаданных и контролем данных, рассмотрите возможность использования почтовых клиентов, которые придают приоритет локальному хранению данных и защите конфиденциальности. Mailbird предлагает решение для рабочего стола, которое хранит ваши данные электронной почты локально на вашей собственной инфраструктуре, а не в облачных системах, где у вас меньше контроля над конфигурациями безопасности и доступом.

В отличие от облачных платформ электронной почты, где ваши сообщения и метаданные хранятся на серверах третьих сторон, архитектура рабочего стола Mailbird обеспечивает, что ваша электронная почта остается на системах, которые вы контролируете. Этот подход локального хранения значительно снижает поверхность атаки для уязвимостей импорта электронной почты, поскольку ваши данные не передаются и не хранятся в облачной инфраструктуре с потенциально неправильно настроенными контролями доступа.

Mailbird также предоставляет функции объединенного входящего потока, которые позволяют вам управлять несколькими учетными записями электронной почты из одного интерфейса без необходимости в облачной синхронизации, которая создает дополнительные копии ваших сообщений по инфраструктуре третьих сторон. Этот подход консолидации минимизирует количество систем, где находятся ваши данные электронной почты, снижая общую степень уязвимости, связанную с импортом.

Часто задаваемые вопросы