Dok veliki Enterprise gradi ešalonirane redute od potencijalnih internih napadača i hakera, krađa identiteta i slanje neželjene pošte ostaju glavobolja jednostavnijih kompanija. Da je Marty McFly znao da 2015. (a još više 2020.) ljudi ne samo da neće izmisliti hoverborde, već neće ni naučiti da se potpuno oslobode neželjene pošte, vjerovatno bi izgubio vjeru u čovječanstvo. Štaviše, spam danas ne samo da je dosadan, već je često i štetan. U otprilike 70% implementacija killchaina, sajber kriminalci prodiru u infrastrukturu koristeći zlonamjerni softver sadržan u prilozima ili putem phishing linkova u e-porukama.
Nedavno je postojao jasan trend ka širenju društvenog inženjeringa kao načina da se prodre u infrastrukturu organizacije. Upoređujući statistiku iz 2017. i 2018. godine, vidimo porast od skoro 50% u broju slučajeva u kojima je zlonamjerni softver isporučen na računare zaposlenih putem priloga ili phishing linkova u tijelu e-pošte.
Općenito, cijeli niz prijetnji koje se mogu izvesti putem e-pošte može se podijeliti u nekoliko kategorija:
- dolazni spam
- uključivanje računara organizacije u botnet koji šalje odlaznu neželjenu poštu
- zlonamjerni prilozi i virusi u tijelu pisma (male kompanije najčešće trpe masovne napade poput Petya).
Da biste se zaštitili od svih vrsta napada, možete ili implementirati nekoliko sistema sigurnosti informacija ili slijediti put uslužnog modela. Već smo o Unified Cybersecurity Services Platformi - jezgru ekosistema usluga kibernetičke sigurnosti kojima upravlja Solar MSS. Između ostalog, uključuje virtueliziranu tehnologiju Secure Email Gateway (SEG). Po pravilu, pretplatu na ovu uslugu kupuju male kompanije u kojima su sve funkcije IT i informacione sigurnosti dodijeljene jednoj osobi – administratoru sistema. Spam je problem koji je uvijek vidljiv korisnicima i menadžmentu i ne može se zanemariti. Međutim, vremenom, čak i menadžmentu postaje jasno da ga je nemoguće jednostavno "spustiti" administratoru sistema - potrebno je previše vremena.
2 sata za raščlanjivanje pošte je malo
Jedan od trgovaca nam se obratio sa sličnom situacijom. Sistemi za praćenje vremena su pokazali da svaki dan njegovi zaposleni troše oko 25% svog radnog vremena (2 sata!) na sređivanje poštanskog sandučeta.
Nakon što smo povezali klijentov server pošte, konfigurisali smo SEG instancu kao dvosmerni gateway i za dolaznu i za odlaznu poštu. Počeli smo filtrirati prema unaprijed utvrđenim politikama. Crnu listu smo sastavili na osnovu analize podataka koje nam je pružio kupac i naših vlastitih lista potencijalno opasnih adresa koje su dobili stručnjaci Solar JSOC u sklopu drugih usluga – na primjer, praćenje incidenata u informacijskoj sigurnosti. Nakon toga, sva pošta primateljima je isporučena tek nakon čišćenja, a razne spam poruke o “velikim popustima” prestale su da se u tonama slijevaju na servere pošte korisnika, oslobađajući prostor za druge potrebe.
Ali bilo je situacija kada je legitimno pismo pogrešno klasifikovano kao neželjena pošta, na primer, kao da je primljeno od nepouzdanog pošiljaoca. U ovom slučaju smo dali pravo odluke kupcu. Nema mnogo opcija šta da uradite: odmah obrišite ili pošaljite u karantin. Izabrali smo drugi put, u kojem se takva neželjena pošta pohranjuje na samom SEG-u. Omogućili smo administratoru sistema pristup web konzoli, u kojoj je u svakom trenutku mogao pronaći važno pismo, na primjer od druge strane, i proslijediti ga korisniku.
Riješite se parazita
Usluga zaštite e-pošte uključuje analitičke izvještaje, čija je svrha praćenje sigurnosti infrastrukture i efikasnosti korištenih postavki. Osim toga, ovi izvještaji vam omogućavaju da predvidite trendove. Na primjer, u izvještaju pronalazimo odgovarajući odjeljak „Neželjena pošta po primaocu“ ili „Neželjena pošta po pošiljaocu“ i gledamo na čiju adresu stiže najveći broj blokiranih poruka.
Upravo nam se prilikom analize takvog izvještaja naglo povećao ukupan broj pisama jednog od kupaca učinio sumnjivim. Njegova infrastruktura je mala, broj slova mali. I odjednom, nakon radnog dana, količina blokirane neželjene pošte gotovo se udvostručila. Odlučili smo da pogledamo izbliza.
Vidimo da je povećan broj odlaznih pisama, a sva ona u polju „Pošiljalac“ sadrže adrese sa domena koji je povezan sa servisom zaštite pošte. Ali postoji jedna nijansa: među sasvim razumnim, možda čak i postojećim adresama, ima očigledno čudnih. Pogledali smo IP adrese sa kojih su pisma poslana i, sasvim očekivano, pokazalo se da ne pripadaju zaštićenom adresnom prostoru. Očigledno je da je napadač slao neželjenu poštu u ime klijenta.
U ovom slučaju, dali smo preporuke za kupca kako pravilno konfigurirati DNS zapise, konkretno SPF. Naš stručnjak nas je savjetovao da kreiramo TXT zapis koji sadrži pravilo “v=spf1 mx ip:1.2.3.4/23 -all”, koji sadrži iscrpnu listu adresa kojima je dozvoljeno slanje pisama u ime zaštićenog domena.
Zapravo, zašto je ovo važno: spam u ime nepoznate male kompanije je neugodan, ali nije kritičan. Situacija je potpuno drugačija, na primjer, u bankarskoj industriji. Prema našim zapažanjima, nivo povjerenja žrtve u phishing email se višestruko povećava ako je navodno poslan iz domena druge banke ili druge strane poznate žrtvi. I to razlikuje ne samo zaposlene u bankama, već iu drugim industrijama – energetskom sektoru na primjer – suočeni smo sa istim trendom.
Ubijanje virusa
Ali lažiranje nije tako čest problem kao, na primjer, virusne infekcije. Kako se najčešće borite protiv virusnih epidemija? Instaliraju antivirus i nadaju se da "neprijatelj neće proći." Ali da je sve tako jednostavno, onda bi, s obzirom na prilično nisku cijenu antivirusa, svi davno zaboravili na problem zlonamjernog softvera. U međuvremenu, stalno dobijamo zahtjeve iz serije “pomozite nam da vratimo fajlove, sve smo šifrirali, posao je u zastoju, podaci su izgubljeni”. Ne umaramo se ponavljati našim klijentima da antivirus nije lijek za sve. Pored činjenice da se antivirusne baze podataka možda ne ažuriraju dovoljno brzo, često se susrećemo sa malverom koji može zaobići ne samo antivirusne programe, već i sandboxove.
Nažalost, mali broj običnih zaposlenih u organizacijama je svjesno phishinga i zlonamjernih e-poruka i može ih razlikovati od uobičajene korespondencije. U prosjeku, svaki sedmi korisnik koji se ne podvrgava redovnom podizanju svijesti podlegne društvenom inženjeringu: otvara zaraženu datoteku ili šalje svoje podatke napadačima.
Iako se društveni vektor napada generalno postupno povećava, ovaj trend je posebno uočljiv prošle godine. Phishing e-mailovi su postajali sve sličniji redovnim porukama o promocijama, nadolazećim događajima itd. Ovdje se može prisjetiti napada Silence na finansijski sektor - zaposleni u banci dobili su pismo navodno s promotivnim kodom za učešće na popularnoj industrijskoj konferenciji iFin, a postotak onih koji su podlegli triku bio je vrlo visok, iako, podsjetimo, , govorimo o bankarskoj industriji - najnaprednijoj u pitanjima sigurnosti informacija.
Pred prošlu Novu godinu uočili smo i nekoliko prilično zanimljivih situacija kada su zaposleni u industrijskim kompanijama dobijali vrlo kvalitetna phishing pisma sa „listom“ novogodišnjih promocija u popularnim online trgovinama i s promotivnim kodovima za popuste. Zaposleni su ne samo pokušali sami da prate vezu, već su pismo prosledili i kolegama iz srodnih organizacija. Budući da je resurs do kojeg je vodio link u phishing emailu bio blokiran, zaposleni su počeli masovno da podnose zahtjeve IT službi za omogućavanje pristupa. Općenito, uspjeh slanja pošte mora da je premašio sva očekivanja napadača.
A nedavno nam se za pomoć obratila kompanija koja je bila “šifrovana”. Sve je počelo kada su zaposleni u računovodstvu dobili pismo navodno od Centralne banke Ruske Federacije. Računovođa je kliknuo na link u pismu i preuzeo WannaMine rudar na svoju mašinu, koji je, kao i čuveni WannaCry, iskoristio EternalBlue ranjivost. Najzanimljivije je da je većina antivirusa uspjela otkriti njegove potpise od početka 2018. godine. Ali, ili je antivirus bio onemogućen, ili baze podataka nisu ažurirane, ili ga uopće nije bilo - u svakom slučaju, rudar je već bio na računalu i ništa ga nije spriječilo da se dalje širi mrežom, učitavajući servere. CPU i radne stanice na 100% .
Ovaj kupac je, nakon što je primio izvještaj od našeg forenzičkog tima, vidio da je virus prvobitno prodro u njega putem e-pošte, te je pokrenuo pilot projekat povezivanja usluge zaštite e-pošte. Prva stvar koju smo postavili bio je antivirus za e-poštu. Istovremeno, skeniranje u potrazi za zlonamjernim softverom se provodi konstantno, a ažuriranja potpisa su se u početku obavljala svakih sat vremena, a zatim je korisnik prešao na dva puta dnevno.
Potpuna zaštita od virusnih infekcija mora biti slojevita. Ako govorimo o prenošenju virusa putem e-pošte, onda je potrebno filtrirati takva slova na ulazu, osposobiti korisnike da prepoznaju društveni inženjering, a zatim se osloniti na antiviruse i sandboxove.
u SEGdi na straži
Naravno, ne tvrdimo da su rješenja Secure Email Gatewaya lijek za sve. Ciljane napade, uključujući spear phishing, izuzetno je teško spriječiti jer... Svaki takav napad je „skrojen“ za određenog primaoca (organizaciju ili osobu). Ali za kompaniju koja pokušava da obezbedi osnovni nivo sigurnosti, ovo je mnogo, posebno uz pravo iskustvo i stručnost primenjenu na zadatak.
Najčešće, kada se vrši spear phishing, zlonamjerni prilozi nisu uključeni u tijelo pisama, inače će antispam sistem odmah blokirati takvo pismo na putu do primaoca. Ali oni uključuju veze do unaprijed pripremljenog web resursa u tekstu pisma, a onda je to mala stvar. Korisnik slijedi vezu, a zatim nakon nekoliko preusmjeravanja u nekoliko sekundi završava na posljednjem u cijelom lancu, čije otvaranje će preuzeti malware na njegov računar.
Još sofisticiranije: u trenutku kada primite pismo, link može biti bezopasan i tek nakon nekog vremena, kada je već skeniran i preskočen, počinje da se preusmjerava na zlonamjerni softver. Nažalost, stručnjaci Solar JSOC, čak ni uzimajući u obzir svoje kompetencije, neće moći konfigurirati mail gateway tako da "vide" malver kroz cijeli lanac (iako, kao zaštitu, možete koristiti automatsku zamjenu svih linkova u slovima na SEG, tako da potonji skenira vezu ne samo u vrijeme dostave pisma, već i pri svakom prijelazu).
U međuvremenu, čak i tipično preusmjeravanje može se riješiti agregacijom nekoliko vrsta ekspertize, uključujući podatke dobivene od strane našeg JSOC CERT-a i OSINT-a. To vam omogućava da kreirate proširene crne liste, na osnovu kojih će čak i pismo s višestrukim prosljeđivanjem biti blokirano.
Korištenje SEG-a je samo mala cigla u zidu koju svaka organizacija želi izgraditi kako bi zaštitila svoju imovinu. Ali ovu vezu također treba pravilno integrirati u cjelokupnu sliku, jer se čak i SEG, uz odgovarajuću konfiguraciju, može pretvoriti u punopravno sredstvo zaštite.
Ksenia Sadunina, konsultantica stručnog odjela za pretprodaju proizvoda i usluga Solar JSOC
izvor: www.habr.com