пятница, 31 августа 2018 г.

Автоматизация проверки корпоративной почты на компрометацию


Утечки аккаунтов из интернет-сервисов событие не редкое, только и успевай следить за новостями. И можно сколь угодно серьезно выстраивать защиту на уровне корпоративных почтовых серверов, но от компрометации электронной почты в результате взломов и утечек сторонних сервисов мы беззащитны. Остается только держать руку на пульсе и реагировать на ставшие публично известными утечки.

Для проверки адресов электронной почты на компрометацию существует бесплатный сервис - haveibeenpwned.com . Если еще не сделали это - обязательно проверьте через него свои адреса электронной почты. Сервис прост и подходит для проверки одного или нескольких адресов. Но почему бы не автоматизировать процесс и не проверять на регулярной основе все корпоративные адреса компании? Для haveibeenpwned создано множество скриптов и плагинов, но не найдя подходящего сделал свой. Возможно, он будет полезен и вам.

Итак, задача:
1. Проверить все корпоративные адреса электронной почты на компрометацию.
2. Проводить проверки регулярно и получать уведомления в случае новых инцидентов.

Реализация: Скрипт на PowerShell. Запускается по планировщику регулярно, на вход берет файл со списком корпоративных почтовых адресов, на выходе формирует отчет об их компрометации и, если обнаружены новые инциденты,  уведомляет по почте (новыми считаются данные, которых не было на момент предыдущей проверки).

В командной строке это выглядит так:

Уведомление на почту, с подробной информацией об инцидентах в вложении (что, от кого и когда утекло):


Стоит учитывать, что факт обнаружения почтового адреса в очередной утекшей базе не говорит однозначно о компрометации пароля и доступа. Возможно, в базе всего лишь адрес без пароля, кочующий от одной спам-рассылки к другой. Но и при таких допущениях лучше иметь актуальную информацию под рукой.
Скрипт можно скачать тут.

Комментариев нет:

Отправить комментарий