Terwyl die groot Onderneming opgeboude oordenkings van potensiële interne aanvallers en kuberkrakers bou, bly uitvissing en strooipos-posse 'n kopseer vir eenvoudiger maatskappye. As Marty McFly geweet het dat mense in 2015 (en nog meer so in 2020) nie net nie hoverboards sou uitvind nie, maar nie eers sou leer om heeltemal van gemorspos ontslae te raak nie, sou hy waarskynlik vertroue in die mensdom verloor. Boonop is strooipos vandag nie net irriterend nie, maar dikwels skadelik. In ongeveer 70% van killchain-implementerings dring kubermisdadigers die infrastruktuur binne met behulp van wanware wat in aanhangsels vervat is of deur uitvissingskakels in e-posse.
Onlangs was daar 'n duidelike neiging na die verspreiding van sosiale ingenieurswese as 'n manier om 'n organisasie se infrastruktuur binne te dring. As ons statistieke van 2017 en 2018 vergelyk, sien ons 'n byna 50% toename in die aantal gevalle waar wanware deur middel van aanhegsels of uitvissingskakels in die liggaam van 'n e-pos aan werknemers se rekenaars afgelewer is.
Oor die algemeen kan die hele reeks bedreigings wat met e-pos uitgevoer kan word, in verskeie kategorieë verdeel word:
- inkomende strooipos
- insluiting van 'n organisasie se rekenaars in 'n botnet wat uitgaande strooipos stuur
- kwaadwillige aanhangsels en virusse in die liggaam van die brief (klein maatskappye ly meestal aan massiewe aanvalle soos Petya).
Om teen alle soorte aanvalle te beskerm, kan jy óf verskeie inligtingsekuriteitstelsels ontplooi, óf die pad van 'n diensmodel volg. Ons reeds oor die Unified Cybersecurity Services Platform - die kern van die Solar MSS-bestuurde kuberveiligheidsdienste-ekosisteem. Dit sluit onder meer gevirtualiseerde Secure Email Gateway (SEG)-tegnologie in. As 'n reël word 'n intekening op hierdie diens deur klein maatskappye gekoop waarin alle IT- en inligtingsekuriteitsfunksies aan een persoon - die stelseladministrateur - toegewys word. Strooipos is 'n probleem wat altyd sigbaar is vir gebruikers en bestuur, en dit kan nie geïgnoreer word nie. Met verloop van tyd word selfs die bestuur egter duidelik dat dit onmoontlik is om dit bloot aan die stelseladministrateur te "los" - dit neem te veel tyd.
2 ure om pos te ontleed is 'n bietjie veel
Een van die kleinhandelaars het ons genader met 'n soortgelyke situasie. Tydnasporingstelsels het getoon dat sy werknemers elke dag sowat 25% van hul werkstyd (2 uur!) daaraan bestee het om die posbus uit te sorteer.
Nadat ons die kliënt se posbediener gekoppel het, het ons die SEG-instansie gekonfigureer as 'n tweerigtingpoort vir beide inkomende en uitgaande pos. Ons het begin filtreer volgens voorafbepaalde beleide. Ons het die Swartlys saamgestel op grond van ’n ontleding van die data wat deur die kliënt verskaf is en ons eie lyste van potensieel gevaarlike adresse wat deur Solar JSOC-kundiges verkry is as deel van ander dienste – byvoorbeeld die monitering van inligtingsekuriteitsinsidente. Daarna is alle pos eers na skoonmaak aan ontvangers afgelewer, en verskeie gemorsposse oor "groot afslag" het opgehou om in tonne by die kliënt se posbedieners in te stroom, wat ruimte vir ander behoeftes vrygemaak het.
Maar daar was situasies waar 'n wettige brief verkeerdelik as strooipos geklassifiseer is, byvoorbeeld as ontvangs van 'n onvertroude sender. In hierdie geval het ons die reg van besluit aan die kliënt gegee. Daar is nie baie opsies oor wat om te doen nie: verwyder dit onmiddellik of stuur dit na kwarantyn. Ons het die tweede pad gekies, waarin sulke gemorspos op die SEG self gestoor word. Ons het die stelseladministrateur toegang gegee tot die webkonsole, waarin hy te eniger tyd 'n belangrike brief kon vind, byvoorbeeld van 'n teenparty, en dit aan die gebruiker kon aanstuur.
Om ontslae te raak van parasiete
Die e-posbeskermingsdiens sluit analitiese verslae in, waarvan die doel is om die sekuriteit van die infrastruktuur en die doeltreffendheid van die instellings wat gebruik word, te monitor. Daarbenewens laat hierdie verslae jou toe om tendense te voorspel. Ons vind byvoorbeeld die ooreenstemmende afdeling “Strooipos per ontvanger” of “Strooipos deur afsender” in die verslag en kyk na wie se adres die grootste aantal geblokkeerde boodskappe ontvang.
Dit was tydens die ontleding van so 'n verslag dat die skerp verhoogde totale aantal briewe van een van die klante vir ons verdag gelyk het. Sy infrastruktuur is klein, die aantal letters is laag. En skielik, na 'n werksdag, het die hoeveelheid geblokkeerde strooipos amper verdubbel. Ons het besluit om dit van nader te bekyk.
Ons sien dat die aantal uitgaande briewe toegeneem het, en almal van hulle in die "Sender"-veld bevat adresse van 'n domein wat aan die posbeskermingsdiens gekoppel is. Maar daar is een nuanse: tussen redelik gesonde, dalk selfs bestaande, adresse is daar duidelik vreemdes. Ons het gekyk na die IP's waarvandaan die briewe gestuur is, en dit het heeltemal te verwagte geblyk dat dit nie tot die beskermde adresruimte behoort nie. Dit is duidelik dat die aanvaller gemorspos namens die kliënt gestuur het.
In hierdie geval het ons aanbevelings vir die kliënt gemaak oor hoe om DNS-rekords, spesifiek SPF, korrek op te stel. Ons spesialis het ons aangeraai om 'n TXT-rekord te skep wat die reël "v=spf1 mx ip:1.2.3.4/23 -all" bevat, wat 'n volledige lys van adresse bevat wat toegelaat word om briewe namens die beskermde domein te stuur.
Eintlik, hoekom dit belangrik is: strooipos namens 'n onbekende klein maatskappy is onaangenaam, maar nie krities nie. Die situasie is heeltemal anders, byvoorbeeld in die bankbedryf. Volgens ons waarnemings neem die slagoffer se vlak van vertroue in 'n uitvissing-e-pos baie keer toe as dit kwansuis gestuur word vanaf die domein van 'n ander bank of 'n teenparty wat aan die slagoffer bekend is. En dit onderskei nie net bankwerknemers nie; in ander bedrywe - byvoorbeeld energie - kom ons voor dieselfde tendens te staan.
Dood virusse
Maar bedrog is nie so 'n algemene probleem soos byvoorbeeld virale infeksies nie. Hoe veg jy die meeste virale epidemies? Hulle installeer 'n antivirus en hoop dat "die vyand nie sal deurkom nie." Maar as alles so eenvoudig was, dan, gegewe die redelik lae koste van antivirusse, sou almal lankal vergeet het van die probleem van wanware. Intussen ontvang ons voortdurend versoeke van die reeks "help ons om die lêers te herstel, ons het alles geënkripteer, die werk is vasgeval, die data is verlore." Ons word nooit moeg om aan ons kliënte te herhaal dat antivirus nie 'n wondermiddel is nie. Benewens die feit dat anti-virus databasisse dalk nie vinnig genoeg opgedateer word nie, kom ons dikwels teë op wanware wat nie net anti-virusse nie, maar ook sandboxes kan omseil.
Ongelukkig is min gewone werknemers van organisasies bewus van uitvissing en kwaadwillige e-posse en is hulle in staat om dit van gewone korrespondensie te onderskei. Gemiddeld, elke 7de gebruiker wat nie gereelde bewusmaking ondergaan nie, swig voor sosiale ingenieurswese: die opening van 'n besmette lêer of stuur hul data aan aanvallers.
Alhoewel die sosiale vektor van aanvalle, in die algemeen, geleidelik toegeneem het, het hierdie neiging veral verlede jaar merkbaar geword. Uitvissing-e-posse het meer en meer soortgelyk geword aan gereelde e-posse oor promosies, opkomende geleenthede, ens. Hier kan ons die Stilte-aanval op die finansiële sektor onthou - bankwerknemers het na bewering 'n brief ontvang met 'n promosiekode vir deelname aan die gewilde bedryfskonferensie iFin, en die persentasie van diegene wat voor die truuk beswyk het, was baie hoog, alhoewel, laat ons onthou , ons praat oor die bankbedryf - die mees gevorderde in sake van inligtingsekuriteit.
Voor die laaste Nuwejaar het ons ook verskeie taamlik nuuskierige situasies waargeneem toe werknemers van industriële maatskappye baie hoë kwaliteit uitvissingsbriewe ontvang het met 'n "lys" van Nuwejaarspromosies in gewilde aanlynwinkels en met promosiekodes vir afslag. Werknemers het nie net probeer om die skakel self te volg nie, maar het ook die brief aan kollegas van verwante organisasies aangestuur. Aangesien die hulpbron waarheen die skakel in die uitvissing-e-pos gelei het, geblokkeer is, het werknemers massaal versoeke by die IT-diens begin indien om toegang daartoe te verskaf. Oor die algemeen moes die sukses van die pos al die verwagtinge van die aanvallers oortref het.
En onlangs het 'n maatskappy wat "geïnkripteer" was, na ons om hulp gewend. Dit het alles begin toe rekeningkundige werknemers 'n brief na bewering van die Sentrale Bank van die Russiese Federasie ontvang het. Die rekenmeester het op die skakel in die brief geklik en die WannaMine-mynwerker op sy masjien afgelaai, wat, soos die bekende WannaCry, die EternalBlue-kwesbaarheid uitgebuit het. Die interessantste is dat die meeste antivirusse sedert die begin van 2018 sy handtekeninge kon opspoor. Maar óf die antivirus was gedeaktiveer, óf die databasisse is nie opgedateer nie, óf dit was glad nie daar nie - in elk geval, die mynwerker was reeds op die rekenaar, en niks het dit verhoed om verder oor die netwerk te versprei en die bedieners te laai' SVE en werkstasies teen 100% .
Hierdie kliënt, nadat hy 'n verslag van ons forensiese span ontvang het, het gesien dat die virus hom aanvanklik deur e-pos binnegedring het, en 'n loodsprojek van stapel gestuur om 'n e-posbeskermingsdiens aan te sluit. Die eerste ding wat ons opgestel het, was 'n e-pos-antivirus. Terselfdertyd word daar voortdurend na wanware gesoek, en handtekeningopdaterings is aanvanklik elke uur uitgevoer, en dan het die kliënt na twee keer per dag oorgeskakel.
Volledige beskerming teen virusinfeksies moet gelaag word. As ons praat oor die oordrag van virusse deur e-pos, dan is dit nodig om sulke briewe by die ingang uit te filter, gebruikers op te lei om sosiale ingenieurswese te herken en dan op antivirusse en sandkaste staat te maak.
in SEGda op waak
Natuurlik beweer ons nie dat Secure Email Gateway-oplossings 'n wondermiddel is nie. Geteikende aanvalle, insluitend spiesvissery, is uiters moeilik om te voorkom omdat... Elke so 'n aanval is "gepasmaak" vir 'n spesifieke ontvanger (organisasie of persoon). Maar vir 'n maatskappy wat probeer om 'n basiese vlak van sekuriteit te bied, is dit baie, veral met die regte ervaring en kundigheid wat op die taak toegepas word.
Dikwels, wanneer spiesvissery uitgevoer word, word kwaadwillige aanhangsels nie by die briewe ingesluit nie, anders sal die antispam-stelsel so 'n brief onmiddellik blokkeer op pad na die ontvanger. Maar hulle sluit skakels na 'n vooraf voorbereide webhulpbron in die teks van die brief in, en dan is dit 'n klein saak. Die gebruiker volg die skakel, en beland dan na verskeie herleidings binne 'n kwessie van sekondes op die laaste een in die hele ketting, waarvan die opening wanware op sy rekenaar sal aflaai.
Selfs meer gesofistikeerd: op die oomblik dat jy die brief ontvang, kan die skakel skadeloos wees en eers na 'n rukkie, wanneer dit reeds geskandeer en oorgeslaan is, sal dit na wanware begin herlei. Ongelukkig sal Solar JSOC-spesialiste, selfs met inagneming van hul bevoegdhede, nie die pospoort kan konfigureer om wanware deur die hele ketting te "sien" nie (hoewel jy as beskerming die outomatiese vervanging van alle skakels in letters kan gebruik aan SEG, sodat laasgenoemde die skakel skandeer nie net tydens die aflewering van die brief en by elke oorgang nie).
Intussen kan selfs 'n tipiese herleiding hanteer word deur die samevoeging van verskeie tipes kundigheid, insluitend data verkry deur ons JSOC CERT en OSINT. Dit laat jou toe om uitgebreide swartlyste te skep, op grond waarvan selfs 'n brief met veelvuldige aanstuur geblokkeer sal word.
Die gebruik van SEG is net 'n klein baksteen in die muur wat enige organisasie wil bou om sy bates te beskerm. Maar hierdie skakel moet ook korrek in die geheelbeeld geïntegreer word, want selfs SEG, met behoorlike konfigurasie, kan omskep word in 'n volwaardige middel van beskerming.
Ksenia Sadunina, konsultant van die kundige voorverkoopafdeling van Solar JSOC-produkte en -dienste
Bron: will.com