ProHoster > بلوق > إدارة > أكثر من مجرد مكافحة البريد العشوائي: كيفية تحقيق أقصى استفادة من بوابة البريد الإلكتروني الأمنية

أكثر من مجرد مكافحة البريد العشوائي: كيفية تحقيق أقصى استفادة من بوابة البريد الإلكتروني الأمنية

في حين تقوم المؤسسات الكبيرة ببناء معاقل مرتبة من المهاجمين والمتسللين الداخليين المحتملين، تظل رسائل التصيد الاحتيالي والبريد العشوائي تمثل صداعًا للشركات الأبسط. إذا عرف مارتي ماكفلي أنه في عام 2015 (وأكثر من ذلك في عام 2020) لن يخترع الناس ألواح الطيران فحسب، بل لن يتعلموا حتى التخلص تمامًا من البريد غير المرغوب فيه، فمن المحتمل أن يفقد الثقة في الإنسانية. علاوة على ذلك، فإن البريد العشوائي اليوم ليس مزعجًا فحسب، بل ضارًا في كثير من الأحيان. في ما يقرب من 70% من تطبيقات Killchain، يخترق مجرمو الإنترنت البنية التحتية باستخدام البرامج الضارة الموجودة في المرفقات أو من خلال روابط التصيد الاحتيالي في رسائل البريد الإلكتروني.

أكثر من مجرد مكافحة البريد العشوائي: كيفية تحقيق أقصى استفادة من بوابة البريد الإلكتروني الأمنية

في الآونة الأخيرة، كان هناك اتجاه واضح نحو انتشار الهندسة الاجتماعية كوسيلة لاختراق البنية التحتية للمنظمة. وبمقارنة الإحصائيات من عامي 2017 و2018، نرى زيادة بنسبة 50% تقريبًا في عدد الحالات التي تم فيها تسليم البرامج الضارة إلى أجهزة كمبيوتر الموظفين من خلال المرفقات أو روابط التصيد الاحتيالي الموجودة في نص رسالة البريد الإلكتروني.

بشكل عام، يمكن تقسيم المجموعة الكاملة للتهديدات التي يمكن تنفيذها باستخدام البريد الإلكتروني إلى عدة فئات:

  • البريد العشوائي الوارد
  • إدراج أجهزة الكمبيوتر الخاصة بالمؤسسة في شبكة الروبوتات التي ترسل رسائل غير مرغوب فيها
  • المرفقات والفيروسات الضارة الموجودة في نص الرسالة (غالبًا ما تعاني الشركات الصغيرة من هجمات واسعة النطاق مثل هجمات بيتيا).

للحماية من جميع أنواع الهجمات، يمكنك إما نشر العديد من أنظمة أمن المعلومات، أو اتباع مسار نموذج الخدمة. نحن بالفعل قال حول النظام الأساسي الموحد لخدمات الأمن السيبراني - جوهر النظام البيئي لخدمات الأمن السيبراني المدار من Solar MSS. ومن بين أشياء أخرى، فهو يشتمل على تقنية بوابة البريد الإلكتروني الآمنة (SEG) الافتراضية. كقاعدة عامة، يتم شراء الاشتراك في هذه الخدمة من قبل الشركات الصغيرة التي يتم فيها تعيين جميع وظائف تكنولوجيا المعلومات وأمن المعلومات لشخص واحد - مسؤول النظام. يعد البريد العشوائي مشكلة مرئية دائمًا للمستخدمين والإدارة، ولا يمكن تجاهلها. ومع ذلك، مع مرور الوقت، تصبح الإدارة من الواضح أنه من المستحيل ببساطة "إسقاطها" إلى مسؤول النظام - يستغرق الأمر الكثير من الوقت.

أكثر من مجرد مكافحة البريد العشوائي: كيفية تحقيق أقصى استفادة من بوابة البريد الإلكتروني الأمنية

ساعتين لتحليل البريد كثير بعض الشيء

اتصل بنا أحد تجار التجزئة وأخبرنا بموقف مماثل. أظهرت أنظمة تتبع الوقت أن موظفيه يقضون كل يوم حوالي 25% من وقت عملهم (ساعتين!) في فرز صندوق البريد.

بعد توصيل خادم بريد العميل، قمنا بتكوين مثيل SEG كبوابة ثنائية الاتجاه لكل من البريد الوارد والصادر. بدأنا التصفية وفقًا للسياسات المحددة مسبقًا. قمنا بتجميع القائمة السوداء بناءً على تحليل البيانات المقدمة من العميل وقوائمنا الخاصة بالعناوين التي يحتمل أن تكون خطرة والتي حصل عليها خبراء Solar JSOC كجزء من خدمات أخرى - على سبيل المثال، مراقبة حوادث أمن المعلومات. بعد ذلك، تم تسليم جميع البريد إلى المستلمين فقط بعد التنظيف، وتوقفت العديد من رسائل البريد العشوائي حول "الخصومات الكبرى" عن التدفق إلى خوادم بريد العميل بأطنان، مما أدى إلى تحرير مساحة للاحتياجات الأخرى.

ولكن كانت هناك حالات تم فيها تصنيف رسالة مشروعة عن طريق الخطأ على أنها رسالة غير مرغوب فيها، على سبيل المثال، لأنها تم استلامها من مرسل غير موثوق به. وفي هذه الحالة، أعطينا حق القرار للعميل. لا توجد خيارات كثيرة بشأن ما يجب فعله: احذفه على الفور أو أرسله إلى الحجر الصحي. لقد اخترنا المسار الثاني، حيث يتم تخزين هذا البريد غير المرغوب فيه على SEG نفسه. لقد قدمنا ​​لمسؤول النظام إمكانية الوصول إلى وحدة تحكم الويب، حيث يمكنه العثور على خطاب مهم في أي وقت، على سبيل المثال، من الطرف المقابل، وإعادة توجيهه إلى المستخدم.

التخلص من الطفيليات

تتضمن خدمة حماية البريد الإلكتروني تقارير تحليلية، الغرض منها هو مراقبة أمان البنية التحتية وفعالية الإعدادات المستخدمة. بالإضافة إلى ذلك، تسمح لك هذه التقارير بالتنبؤ بالاتجاهات. على سبيل المثال، نجد القسم المقابل "البريد العشوائي بواسطة المستلم" أو "البريد العشوائي بواسطة المرسل" في التقرير وننظر إلى عنوان الشخص الذي يتلقى أكبر عدد من الرسائل المحظورة.

أثناء تحليل مثل هذا التقرير، بدا لنا أن العدد الإجمالي للرسائل المتزايد بشكل حاد من أحد العملاء مثير للريبة. بنيتها التحتية صغيرة، وعدد الحروف منخفض. وفجأة، بعد يوم عمل، تضاعفت كمية البريد العشوائي المحظورة تقريبًا. قررنا أن نلقي نظرة فاحصة.

أكثر من مجرد مكافحة البريد العشوائي: كيفية تحقيق أقصى استفادة من بوابة البريد الإلكتروني الأمنية

نرى أن عدد الرسائل الصادرة قد زاد، وجميعها في حقل "المرسل" تحتوي على عناوين من نطاق متصل بخدمة حماية البريد. ولكن هناك فارق بسيط: من بين العناوين المعقولة تمامًا، وربما حتى الموجودة، هناك عناوين غريبة بشكل واضح. لقد نظرنا إلى عناوين IP التي تم إرسال الرسائل منها، وكما هو متوقع تمامًا، اتضح أنها لا تنتمي إلى مساحة العنوان المحمية. من الواضح أن المهاجم كان يرسل رسائل غير مرغوب فيها نيابة عن العميل.

في هذه الحالة، قدمنا ​​توصيات للعميل حول كيفية تكوين سجلات DNS بشكل صحيح، وتحديدًا نظام التعرف على هوية المرسل (SPF). نصحنا المتخصص لدينا بإنشاء سجل TXT يحتوي على القاعدة "v=spf1 mx ip:1.2.3.4/23 -all"، والذي يحتوي على قائمة شاملة بالعناوين المسموح لها بإرسال رسائل نيابة عن النطاق المحمي.

في الواقع، سبب أهمية ذلك: البريد العشوائي نيابة عن شركة صغيرة غير معروفة أمر مزعج، ولكنه ليس بالغ الأهمية. الوضع مختلف تماما، على سبيل المثال، في الصناعة المصرفية. وفقًا لملاحظاتنا، فإن مستوى ثقة الضحية في رسائل البريد الإلكتروني التصيدية يتضاعف عدة مرات إذا تم إرسالها من نطاق بنك آخر أو طرف مقابل معروف للضحية. وهذا لا يميز موظفي البنوك فحسب، بل إننا نواجه نفس الاتجاه في الصناعات الأخرى - قطاع الطاقة على سبيل المثال.

قتل الفيروسات

لكن الانتحال ليس مشكلة شائعة مثل العدوى الفيروسية على سبيل المثال. كيف تحارب في أغلب الأحيان الأوبئة الفيروسية؟ يقومون بتثبيت برنامج مكافحة الفيروسات ويأملون ألا "يتمكن العدو من اختراقهم". ولكن إذا كان كل شيء بهذه البساطة، فنظرًا للتكلفة المنخفضة إلى حد ما لبرامج مكافحة الفيروسات، لكان الجميع قد نسوا مشكلة البرامج الضارة منذ فترة طويلة. في هذه الأثناء، نتلقى باستمرار طلبات من سلسلة "ساعدونا في استعادة الملفات، قمنا بتشفير كل شيء، العمل متوقف، البيانات مفقودة". نحن لا نتعب أبدًا من التكرار لعملائنا أن برامج مكافحة الفيروسات ليست حلاً سحريًا. بالإضافة إلى حقيقة أن قواعد بيانات مكافحة الفيروسات قد لا يتم تحديثها بالسرعة الكافية، فغالبًا ما نواجه برامج ضارة يمكنها تجاوز ليس فقط برامج مكافحة الفيروسات، ولكن أيضًا صناديق الحماية.

لسوء الحظ، قليل من الموظفين العاديين في المؤسسات على دراية بالتصيد الاحتيالي ورسائل البريد الإلكتروني الضارة ويستطيعون تمييزها عن المراسلات العادية. في المتوسط، يستسلم كل مستخدم سابع لا يخضع لحملة توعية منتظمة إلى الهندسة الاجتماعية: فتح ملف مصاب أو إرسال بياناته إلى المهاجمين.

على الرغم من أن الاتجاه الاجتماعي للهجمات، بشكل عام، يتزايد تدريجياً، إلا أن هذا الاتجاه أصبح ملحوظاً بشكل خاص في العام الماضي. أصبحت رسائل البريد الإلكتروني التصيدية مشابهة أكثر فأكثر للرسائل البريدية العادية حول العروض الترويجية والأحداث القادمة وما إلى ذلك. هنا يمكننا أن نتذكر هجوم الصمت على القطاع المالي - حيث تلقى موظفو البنك خطابًا يُزعم أنه يحتوي على رمز ترويجي للمشاركة في مؤتمر الصناعة الشهير iFin، وكانت النسبة المئوية لأولئك الذين استسلموا للخدعة عالية جدًا، على الرغم من ذلك، دعونا نتذكر نحن نتحدث عن الصناعة المصرفية - الأكثر تقدمًا في مسائل أمن المعلومات.

قبل العام الجديد الماضي، لاحظنا أيضًا العديد من المواقف الغريبة عندما تلقى موظفو الشركات الصناعية رسائل تصيد عالية الجودة مع "قائمة" من العروض الترويجية للعام الجديد في المتاجر الشهيرة عبر الإنترنت ومع رموز ترويجية للخصومات. لم يحاول الموظفون اتباع الرابط بأنفسهم فحسب، بل قاموا أيضًا بإرسال الرسالة إلى زملائهم من المنظمات ذات الصلة. منذ أن تم حظر المورد الذي أدى إليه الرابط الموجود في البريد الإلكتروني التصيدي، بدأ الموظفون بشكل جماعي في تقديم طلبات إلى خدمة تكنولوجيا المعلومات لتوفير الوصول إليه. بشكل عام، يجب أن يكون نجاح البريد قد تجاوز كل توقعات المهاجمين.

ومؤخرًا لجأت إلينا إحدى الشركات التي تم "تشفيرها" لطلب المساعدة. بدأ كل شيء عندما تلقى موظفو المحاسبة رسالة يُزعم أنها من البنك المركزي للاتحاد الروسي. قام المحاسب بالنقر على الرابط الموجود في الرسالة وقام بتنزيل عامل التعدين WannaMine على جهازه، والذي، مثل WannaCry الشهير، استغل ثغرة EternalBlue. والشيء الأكثر إثارة للاهتمام هو أن معظم برامج مكافحة الفيروسات تمكنت من اكتشاف توقيعاتها منذ بداية عام 2018. ولكن، إما تم تعطيل برنامج مكافحة الفيروسات، أو لم يتم تحديث قواعد البيانات، أو لم يكن هناك على الإطلاق - على أي حال، كان المُعدِّن موجودًا بالفعل على الكمبيوتر، ولم يمنعه شيء من الانتشار أكثر عبر الشبكة، وتحميل الخوادم وحدة المعالجة المركزية ومحطات العمل بنسبة 100%.

هذا العميل، بعد أن تلقى تقريرًا من فريق الأدلة الجنائية لدينا، رأى أن الفيروس اخترقه في البداية عبر البريد الإلكتروني، وأطلق مشروعًا تجريبيًا لربط خدمة حماية البريد الإلكتروني. أول شيء قمنا بإعداده هو برنامج مكافحة فيروسات البريد الإلكتروني. وفي الوقت نفسه، يتم إجراء المسح بحثًا عن البرامج الضارة بشكل مستمر، ويتم إجراء تحديثات التوقيع في البداية كل ساعة، ثم يقوم العميل بالتبديل إلى مرتين يوميًا.

يجب أن تكون الحماية الكاملة ضد الالتهابات الفيروسية ذات طبقات. إذا تحدثنا عن انتقال الفيروسات عبر البريد الإلكتروني، فمن الضروري تصفية هذه الرسائل عند المدخل، وتدريب المستخدمين على التعرف على الهندسة الاجتماعية، ثم الاعتماد على برامج مكافحة الفيروسات وصناديق الحماية.

في SEGda على أهبة الاستعداد

بالطبع، نحن لا ندعي أن حلول بوابة البريد الإلكتروني الآمنة هي الحل السحري. من الصعب للغاية منع الهجمات المستهدفة، بما في ذلك التصيد الاحتيالي، نظرًا... يتم "تخصيص" كل هجوم من هذا القبيل لمستلم محدد (منظمة أو شخص). ولكن بالنسبة لشركة تحاول توفير مستوى أساسي من الأمان، فهذا يعد كثيرًا، خاصة مع تطبيق الخبرة والخبرة المناسبة على المهمة.

في أغلب الأحيان، عند تنفيذ التصيد الاحتيالي، لا يتم تضمين المرفقات الضارة في نص الرسائل، وإلا فإن نظام مكافحة البريد العشوائي سيقوم على الفور بحظر مثل هذه الرسالة في طريقها إلى المستلم. لكنها تتضمن روابط لمورد ويب مُعد مسبقًا في نص الرسالة، ثم إنها مسألة صغيرة. يتبع المستخدم الرابط، وبعد عدة عمليات إعادة توجيه في غضون ثوانٍ، ينتهي به الأمر إلى آخر عملية إعادة توجيه في السلسلة بأكملها، والتي سيؤدي فتحها إلى تنزيل برامج ضارة على جهاز الكمبيوتر الخاص به.

والأكثر تعقيدًا: في اللحظة التي تتلقى فيها الرسالة، يمكن أن يكون الرابط غير ضار، ولن يبدأ في إعادة التوجيه إلى البرامج الضارة إلا بعد مرور بعض الوقت، عندما يتم فحصه وتخطيه بالفعل. لسوء الحظ، لن يتمكن متخصصو Solar JSOC، حتى مع الأخذ في الاعتبار كفاءاتهم، من تكوين بوابة البريد بحيث "ترى" البرامج الضارة عبر السلسلة بأكملها (على الرغم من أنه، كحماية، يمكنك استخدام الاستبدال التلقائي لجميع الروابط بالأحرف إلى SEG، بحيث يقوم الأخير بمسح الرابط ليس فقط في وقت تسليم الرسالة، ولكن عند كل انتقال).

وفي الوقت نفسه، حتى عملية إعادة التوجيه النموذجية يمكن التعامل معها من خلال تجميع عدة أنواع من الخبرة، بما في ذلك البيانات التي تم الحصول عليها من خلال JSOC CERT وOSINT. يتيح لك ذلك إنشاء قوائم سوداء ممتدة، والتي بناءً عليها سيتم حظر حتى الرسالة التي تحتوي على إعادة توجيه متعددة.

يعد استخدام SEG مجرد لبنة صغيرة في الجدار الذي ترغب أي منظمة في بنائه لحماية أصولها. ولكن يجب أيضًا دمج هذا الارتباط بشكل صحيح في الصورة العامة، لأنه حتى SEG، مع التكوين المناسب، يمكن تحويله إلى وسيلة حماية كاملة.

كسينيا سادونينا، مستشارة قسم ما قبل البيع لمنتجات وخدمات Solar JSOC

المصدر: www.habr.com

إضافة تعليق