Böyük Müəssisə potensial daxili hücumçulardan və hakerlərdən əlavə reudlar qursa da, fişinq və spam göndərişləri daha sadə şirkətlər üçün başağrısı olaraq qalır. Marty McFly bilsəydi ki, 2015-ci ildə (və daha çox 2020-ci ildə) insanlar nəinki hoverbordlar icad etməyəcəklər, hətta lazımsız poçtlardan tamamilə qurtulmağı öyrənməyəcəklər, yəqin ki, insanlığa inamını itirəcək. Üstəlik, bu gün spam təkcə bezdirici deyil, həm də çox vaxt zərərlidir. killchain tətbiqlərinin təxminən 70%-də kibercinayətkarlar əlavələrdə olan zərərli proqramlardan və ya e-poçtlardakı fişinq keçidlərindən istifadə edərək infrastruktura nüfuz edirlər.
Son zamanlar təşkilatın infrastrukturuna nüfuz etmək üçün sosial mühəndisliyin yayılması istiqamətində aydın bir tendensiya müşahidə olunur. 2017 və 2018-ci illərin statistikasını müqayisə etsək, e-poçtun mətnindəki əlavələr və ya fişinq keçidləri vasitəsilə zərərli proqramların işçilərin kompüterlərinə çatdırılması hallarının sayında təxminən 50% artım müşahidə edirik.
Ümumiyyətlə, e-poçt vasitəsilə həyata keçirilə bilən bütün təhdidlər bir neçə kateqoriyaya bölünə bilər:
- daxil olan spam
- təşkilatın kompüterlərinin gedən spam göndərən botnetə daxil edilməsi
- məktubun bədənində zərərli əlavələr və viruslar (kiçik şirkətlər ən çox Petya kimi kütləvi hücumlardan əziyyət çəkirlər).
Bütün növ hücumlardan qorunmaq üçün ya bir neçə informasiya təhlükəsizliyi sistemi yerləşdirə, ya da xidmət modelinin yolunu izləyə bilərsiniz. Biz artıq Solar MSS idarə olunan kibertəhlükəsizlik xidmətləri ekosisteminin nüvəsi olan Vahid Kibertəhlükəsizlik Xidmətləri Platforması haqqında. Digər şeylər arasında, o, virtuallaşdırılmış Secure Email Gateway (SEG) texnologiyasını əhatə edir. Bir qayda olaraq, bu xidmətə abunə bütün İT və informasiya təhlükəsizliyi funksiyalarının bir şəxsə - sistem administratoruna həvalə edildiyi kiçik şirkətlər tərəfindən alınır. Spam həmişə istifadəçilər və rəhbərlik üçün görünən bir problemdir və onu gözardı etmək olmaz. Bununla belə, zaman keçdikcə hətta rəhbərlik də aydın olur ki, onu sadəcə sistem administratoruna “atmaq” mümkün deyil - bu, çox vaxt aparır.
Poçtu təhlil etmək üçün 2 saat bir az çoxdur
Satıcılardan biri oxşar vəziyyətlə bizə müraciət etdi. Vaxt izləmə sistemləri göstərdi ki, onun əməkdaşları hər gün iş vaxtlarının təxminən 25%-ni (2 saat!) poçt qutusunun çeşidlənməsinə sərf edirlər.
Müştərinin poçt serverini birləşdirərək, biz SEG instansiyasını həm gələn, həm də gedən məktublar üçün ikitərəfli şlüz kimi konfiqurasiya etdik. Əvvəlcədən müəyyən edilmiş siyasətlərə uyğun olaraq filtrləşdirməyə başladıq. Müştəri tərəfindən təqdim olunan məlumatların təhlili və Solar JSOC mütəxəssisləri tərəfindən digər xidmətlərin bir hissəsi kimi əldə edilmiş potensial təhlükəli ünvanların öz siyahılarımız əsasında Qara Siyahını tərtib etdik - məsələn, informasiya təhlükəsizliyi insidentlərinin monitorinqi. Bundan sonra, bütün məktublar yalnız təmizləndikdən sonra alıcılara çatdırıldı və "böyük endirimlər" haqqında müxtəlif spam göndərişləri tonlarla müştərinin poçt serverlərinə tökülməyi dayandırdı və digər ehtiyaclar üçün yer boşaltdı.
Lakin qanuni məktubun səhvən spam kimi təsnif edildiyi, məsələn, etibarsız göndəricidən alınmış kimi hallar olub. Bu halda biz qərar hüququnu müştəriyə vermişik. Nə etməli olduğuna dair çoxlu seçim yoxdur: dərhal silin və ya karantinə göndərin. Bu cür lazımsız məktubların SEG-in özündə saxlandığı ikinci yolu seçdik. Sistem administratoruna istənilən vaxt, məsələn, qarşı tərəfdən vacib məktubu tapıb onu istifadəçiyə yönləndirə biləcəyi veb konsola girişi təmin etdik.
Parazitlərdən qurtulmaq
Elektron poçtun mühafizəsi xidmətinə analitik hesabatlar daxildir, onların məqsədi infrastrukturun təhlükəsizliyinə və istifadə olunan parametrlərin effektivliyinə nəzarət etməkdir. Bundan əlavə, bu hesabatlar trendləri proqnozlaşdırmağa imkan verir. Məsələn, hesabatda müvafiq bölməni "Alıcı tərəfindən spam" və ya "Göndərən tərəfindən spam" tapırıq və kimin ünvanının ən çox bloklanmış mesajı aldığına baxırıq.
Məhz belə bir hesabatı təhlil edərkən müştərilərdən birinin məktublarının ümumi sayının kəskin artması bizə şübhəli göründü. Onun infrastrukturu kiçikdir, hərflərin sayı azdır. Və birdən-birə, bir iş günündən sonra bloklanmış spamların miqdarı demək olar ki, iki dəfə artdı. Biz daha yaxından baxmaq qərarına gəldik.
Görürük ki, gedən məktubların sayı artıb və “Göndərən” sahəsində onların hamısında poçtun mühafizəsi xidmətinə qoşulmuş domendən olan ünvanlar var. Ancaq bir nüans var: kifayət qədər sağlam, bəlkə də mövcud ünvanlar arasında qəribə olanlar da var. Məktubların göndərildiyi İP-lərə baxdıq və gözlənilən olaraq, onların qorunan ünvan sahəsinə aid olmadığı məlum oldu. Aydındır ki, təcavüzkar müştəri adından spam göndərirdi.
Bu halda, biz müştəriyə DNS qeydlərini, xüsusən SPF-ni düzgün konfiqurasiya etmək barədə tövsiyələr verdik. Mütəxəssisimiz bizə qorunan domen adından məktub göndərməyə icazə verilən ünvanların tam siyahısını ehtiva edən “v=spf1 mx ip:1.2.3.4/23 -all” qaydasını ehtiva edən TXT qeydi yaratmağı tövsiyə etdi.
Əslində, bu niyə vacibdir: naməlum kiçik bir şirkət adından spam xoşagəlməzdir, lakin kritik deyil. Məsələn, bank sektorunda vəziyyət tamamilə fərqlidir. Müşahidələrimizə görə, qurbanın fişinq e-poçtuna güvən səviyyəsi, əgər o, başqa bir bankın və ya qurbana məlum olan qarşı tərəfin domenindən göndərilirsə, dəfələrlə artır. Bu, təkcə bank işçilərini fərqləndirmir, digər sahələrdə - məsələn, enerji sektorunda - eyni tendensiya ilə qarşılaşırıq.
Virusları öldürmək
Lakin saxtakarlıq, məsələn, viral infeksiyalar kimi ümumi bir problem deyil. Virus epidemiyaları ilə ən çox necə mübarizə aparırsınız? Antivirus quraşdırırlar və "düşmən keçməyəcəyinə" ümid edirlər. Ancaq hər şey bu qədər sadə olsaydı, antivirusların kifayət qədər aşağı qiymətini nəzərə alsaq, hər kəs zərərli proqram problemini çoxdan unutmuş olardı. Bu arada, biz davamlı olaraq "faylları bərpa etməkdə bizə kömək edin, hər şeyi şifrələdik, iş dayandı, məlumatlar itirildi" sorğuları alırıq. Biz müştərilərimizə antivirusun panacea olmadığını təkrarlamaqdan yorulmuruq. Antivirus verilənlər bazalarının kifayət qədər tez yenilənməməsi ilə yanaşı, biz tez-tez yalnız antivirusları deyil, həm də qum qutularını yan keçə bilən zərərli proqramlarla qarşılaşırıq.
Təəssüf ki, təşkilatların bir neçə sıravi işçisi fişinq və zərərli e-poçtlardan xəbərdardır və onları adi yazışmalardan ayıra bilir. Orta hesabla, müntəzəm məlumatlılığın artırılmasından keçməyən hər 7-ci istifadəçi sosial mühəndisliyə tab gətirir: yoluxmuş faylı açmaq və ya məlumatlarını təcavüzkarlara göndərmək.
Hücumların sosial vektoru, ümumiyyətlə, getdikcə artsa da, bu tendensiya ötən il xüsusilə nəzərə çarpıb. Fişinq e-poçtları promosyonlar, qarşıdan gələn hadisələr və s. haqqında adi poçt göndərişlərinə getdikcə daha çox bənzəyirdi. Burada maliyyə sektoruna susdurulmuş hücumu xatırlaya bilərik - bank işçiləri iFin-in məşhur sənaye konfransında iştirak üçün promosyon kodunun olduğu iddia edilən məktub aldılar və hiyləyə tab gətirənlərin faizi çox yüksək idi, baxmayaraq ki, xatırlayaq. , söhbət informasiya təhlükəsizliyi məsələlərində ən qabaqcıl olan bank sənayesindən gedir.
Keçən Yeni ildən əvvəl biz sənaye şirkətlərinin işçilərinin məşhur onlayn mağazalarda Yeni il promosyonlarının "siyahısı" və endirimlər üçün promosyon kodları olan çox yüksək keyfiyyətli fişinq məktubları aldıqda bir neçə maraqlı vəziyyət müşahidə etdik. İşçilər nəinki linki özləri izləməyə çalışdılar, həm də məktubu əlaqəli təşkilatlardan olan həmkarlarına ötürdülər. Fişinq e-poçtundakı keçidin rəhbərlik etdiyi resurs bloklandığı üçün işçilər kütləvi şəkildə İT xidmətinə girişi təmin etmək üçün sorğular göndərməyə başladılar. Ümumiyyətlə, poçtun müvəffəqiyyəti təcavüzkarların bütün gözləntilərini üstələmiş olmalıdır.
Və bu yaxınlarda "şifrələnmiş" bir şirkət kömək üçün bizə müraciət etdi. Hər şey mühasibat işçiləri Rusiya Federasiyasının Mərkəzi Bankından guya məktub aldıqdan sonra başladı. Mühasib məktubdakı linkə kliklədi və məşhur WannaCry kimi EternalBlue zəifliyindən istifadə edən WannaMine minerini öz maşınına endirdi. Ən maraqlısı odur ki, əksər antiviruslar 2018-ci ilin əvvəlindən onun imzalarını aşkar edə bilib. Ancaq ya antivirus söndürüldü, ya da verilənlər bazası yenilənmədi, ya da ümumiyyətlə yox idi - hər halda, mədənçi artıq kompüterdə idi və heç bir şey onun şəbəkədə daha da yayılmasına, serverləri yükləməsinə mane olmurdu. CPU və iş stansiyaları 100%.
Məhkəmə ekspertiza komandamızdan hesabat alan bu müştəri virusun ona ilkin olaraq e-poçt vasitəsilə daxil olduğunu gördü və e-poçt mühafizə xidmətini birləşdirmək üçün pilot layihəyə başladı. İlk qurduğumuz şey e-poçt antivirusu idi. Eyni zamanda, zərərli proqram təminatının skan edilməsi mütəmadi olaraq həyata keçirilir və imza yeniləmələri əvvəlcə hər saatdan bir həyata keçirilirdi, sonra isə müştəri gündə iki dəfə proqrama keçir.
Viral infeksiyalara qarşı tam qorunma laylı olmalıdır. Virusların e-poçt vasitəsilə ötürülməsindən danışırıqsa, o zaman girişdə belə məktubları süzgəcdən keçirmək, istifadəçiləri sosial mühəndisliyi tanımaq üçün öyrətmək, sonra antiviruslara və sandboxlara etibar etmək lazımdır.
SEGda-da mühafizə olunur
Əlbəttə ki, biz Secure Email Gateway həllərinin panacea olduğunu iddia etmirik. Məqsədli hücumların, o cümlədən nizə fişinqinin qarşısını almaq olduqca çətindir, çünki... Hər bir belə hücum müəyyən bir alıcı (təşkilat və ya şəxs) üçün “uyğunlaşdırılmışdır”. Ancaq əsas təhlükəsizlik səviyyəsini təmin etməyə çalışan bir şirkət üçün bu, xüsusilə də vəzifəyə tətbiq olunan düzgün təcrübə və təcrübə ilə çox şeydir.
Çox vaxt, nizə fişinqi həyata keçirildikdə, zərərli əlavələr məktubların gövdəsinə daxil edilmir, əks halda antispam sistemi dərhal alıcıya gedən yolda belə bir məktubu bloklayacaqdır. Lakin onlar məktubun mətninə əvvəlcədən hazırlanmış veb resursla bağlantılar əlavə edirlər və sonra bu kiçik bir məsələdir. İstifadəçi linki izləyir və bir neçə saniyə ərzində bir neçə yönləndirmədən sonra bütün zəncirdə sonuncuya düşür, onun açılması onun kompüterinə zərərli proqram yükləyəcək.
Daha da mürəkkəbdir: məktubu aldığınız anda, link zərərsiz ola bilər və yalnız bir müddət keçdikdən sonra, artıq skan edildikdən və atlandıqdan sonra zərərli proqrama yönləndirməyə başlayacaq. Təəssüf ki, Solar JSOC mütəxəssisləri, hətta öz səlahiyyətlərini nəzərə alaraq, bütün zəncir boyunca zərərli proqramları "görmək" üçün poçt şlüzünü konfiqurasiya edə bilməyəcəklər (baxmayaraq ki, qorunma kimi, məktublarda bütün bağlantıların avtomatik dəyişdirilməsindən istifadə edə bilərsiniz. SEG-ə, belə ki, sonuncu yalnız məktubun çatdırılması zamanı deyil, hər keçiddə də linki skan edir).
Eyni zamanda, hətta tipik bir yönləndirmə ilə bir neçə növ ekspertizanın, o cümlədən JSOC CERT və OSINT tərəfindən əldə edilən məlumatların cəmlənməsi ilə həll edilə bilər. Bu, uzadılmış qara siyahılar yaratmağa imkan verir, bunun əsasında hətta birdən çox yönləndirməli məktub bloklanacaq.
SEG-dən istifadə hər hansı bir təşkilatın öz aktivlərini qorumaq üçün qurmaq istədiyi divardakı kiçik bir kərpicdir. Ancaq bu əlaqəni də ümumi mənzərəyə düzgün şəkildə inteqrasiya etmək lazımdır, çünki hətta düzgün konfiqurasiya ilə SEG də tam hüquqlu qorunma vasitəsinə çevrilə bilər.
Kseniya Sadunina, Solar JSOC məhsul və xidmətlərinin ekspert satış departamentinin məsləhətçisi
Mənbə: www.habr.com