Samtang ang dako nga Enterprise nagtukod ug echeloned redoubts gikan sa potensyal nga internal attackers ug hacker, phishing ug spam mailings nagpabilin nga usa ka labad sa ulo alang sa mas simple nga mga kompanya. Kung nahibal-an ni Marty McFly nga sa 2015 (ug labi pa sa 2020) ang mga tawo dili lamang dili mag-imbento sa mga hoverboard, apan dili gani makakat-on sa hingpit nga pagtangtang sa junk mail, lagmit mawad-an siya og pagtuo sa katawhan. Dugang pa, ang spam karon dili lamang makalagot, apan kasagaran makadaot. Sa gibana-bana nga 70% sa mga pagpatuman sa killchain, ang mga cybercriminal nakasulod sa imprastraktura gamit ang malware nga anaa sa mga attachment o pinaagi sa mga link sa phishing sa mga email.
Bag-ohay lang, adunay usa ka tin-aw nga uso padulong sa pagkaylap sa social engineering isip usa ka paagi sa pagsulod sa imprastraktura sa usa ka organisasyon. Kung itandi ang mga estadistika gikan sa 2017 ug 2018, nakita namon ang hapit 50% nga pagtaas sa ihap sa mga kaso diin ang malware gihatud sa mga kompyuter sa empleyado pinaagi sa mga attachment o mga link sa phishing sa lawas sa usa ka email.
Sa kinatibuk-an, ang tibuuk nga mga hulga nga mahimo gamit ang email mahimong bahinon sa daghang mga kategorya:
- umaabot nga spam
- paglakip sa mga kompyuter sa organisasyon sa usa ka botnet nga nagpadala sa outgoing spam
- malisyoso nga mga attachment ug mga virus sa lawas sa sulat (gagmay nga mga kompanya sa kasagaran nag-antus sa dagkong mga pag-atake sama sa Petya).
Aron mapanalipdan batok sa tanang matang sa pag-atake, mahimo nimong i-deploy ang daghang sistema sa seguridad sa impormasyon, o sundan ang dalan sa usa ka modelo sa serbisyo. Kami na bahin sa Unified Cybersecurity Services Platform - ang kinauyokan sa Solar MSS nga gidumala sa cybersecurity services ecosystem. Lakip sa ubang mga butang, kini naglakip sa virtualized Secure Email Gateway (SEG) nga teknolohiya. Ingon sa usa ka lagda, ang usa ka suskrisyon sa kini nga serbisyo gipalit sa gagmay nga mga kompanya diin ang tanan nga mga gimbuhaton sa seguridad sa IT ug impormasyon gi-assign sa usa ka tawo - ang tagdumala sa sistema. Ang Spam usa ka problema nga kanunay makita sa mga tiggamit ug pagdumala, ug dili kini mahimong ibalewala. Bisan pa, sa paglabay sa panahon, bisan ang pagdumala nahimong tin-aw nga imposible nga "ihulog" lang kini sa tagdumala sa sistema - nagkinahanglag daghang oras.
Ang 2 ka oras sa pag-parse sa mail medyo daghan
Usa sa mga retailer miduol kanamo nga adunay susama nga sitwasyon. Gipakita sa mga sistema sa pagsubay sa oras nga kada adlaw ang iyang mga empleyado mogugol ug mga 25% sa ilang oras sa pagtrabaho (2 ka oras!) sa paghan-ay sa mailbox.
Kay konektado na sa mail server sa kustomer, among gi-configure ang SEG instance isip two-way gateway para sa umaabot ug outgoing nga mail. Nagsugod kami sa pagsala sumala sa gitakda nang daan nga mga palisiya. Among gihugpong ang Blacklist base sa pagtuki sa mga datos nga gihatag sa kustomer ug sa among kaugalingong mga listahan sa posibleng peligrosong mga adres nga nakuha sa mga eksperto sa Solar JSOC isip kabahin sa ubang mga serbisyo - pananglitan, pagmonitor sa mga insidente sa seguridad sa impormasyon. Human niana, ang tanang mail gipadala ngadto sa mga nakadawat lamang human sa paglimpyo, ug ang lain-laing mga spam mail mahitungod sa "dagkong mga diskwento" mihunong sa pagbubo ngadto sa mga mail server sa kustomer sa tonelada, nga nagpagawas sa luna alang sa ubang mga panginahanglan.
Apan adunay mga sitwasyon nga ang usa ka lehitimong sulat nasayop nga giklasipikar nga spam, pananglitan, ingon nga nadawat gikan sa dili kasaligan nga nagpadala. Sa kini nga kaso, gihatag namon ang katungod sa pagdesisyon sa kustomer. Walaβy daghang kapilian kung unsa ang buhaton: tangtangon dayon o ipadala kini sa quarantine. Gipili namo ang ikaduhang dalan, diin ang maong junk mail gitipigan sa SEG mismo. Gihatagan namon ang tagdumala sa sistema nga adunay access sa web console, diin makit-an niya ang usa ka hinungdanon nga sulat sa bisan unsang oras, pananglitan, gikan sa usa ka counterparty, ug ipadala kini sa tiggamit.
Pagtangtang sa mga parasito
Ang serbisyo sa pagpanalipod sa email naglakip sa analytical nga mga taho, ang katuyoan niini mao ang pag-monitor sa seguridad sa imprastraktura ug ang pagka-epektibo sa mga setting nga gigamit. Dugang pa, kini nga mga taho nagtugot kanimo sa pagtagna sa mga uso. Pananglitan, among makit-an ang katugbang nga seksyon nga "Spam ni Recipient" o "Spam ni Sender" sa report ug tan-awon kung kinsang adres ang nakadawat sa labing kadaghan nga gibabagan nga mga mensahe.
Kini samtang nag-analisar sa ingon nga taho nga ang kusog nga pagtaas sa kinatibuk-ang gidaghanon sa mga sulat gikan sa usa sa mga kustomer ingon og kadudahan kanamo. Gamay ang imprastraktura niini, gamay ang gidaghanon sa mga letra. Ug sa kalit, pagkahuman sa usa ka adlaw sa pagtrabaho, ang gidaghanon sa gibabagan nga spam hapit doble. Nakahukom kami nga tan-awon pag-ayo.
Nakita namon nga ang gidaghanon sa mga nanggawas nga mga sulat midaghan, ug silang tanan sa field nga "Nagpadala" adunay mga adres gikan sa usa ka domain nga konektado sa serbisyo sa pagpanalipod sa mail. Apan adunay usa ka nuance: taliwala sa maayo, tingali anaa na, mga adres, adunay klaro nga katingad-an. Gitan-aw namon ang mga IP diin gipadala ang mga sulat, ug, gilauman nga, kini nahimo nga dili kini sakop sa gipanalipdan nga wanang sa adres. Dayag nga ang tig-atake nagpadala ug spam alang sa kustomer.
Sa kini nga kaso, naghimo kami mga rekomendasyon alang sa kustomer kung giunsa ang husto nga pag-configure sa mga rekord sa DNS, labi na ang SPF. Gitambagan kami sa among espesyalista nga maghimo usa ka talaan sa TXT nga adunay sulud nga lagda "v=spf1 mx ip:1.2.3.4/23 -all", nga adunay usa ka kompleto nga lista sa mga adres nga gitugotan nga magpadala mga sulat alang sa gipanalipdan nga domain.
Sa tinuud, ngano nga kini hinungdanon: ang spam alang sa usa ka wala mailhi nga gamay nga kompanya dili maayo, apan dili kritikal. Ang sitwasyon hingpit nga lahi, pananglitan, sa industriya sa bangko. Sumala sa among mga obserbasyon, ang lebel sa pagsalig sa biktima sa usa ka email sa phishing mosaka sa daghang mga higayon kung kini ipadala gikan sa domain sa laing bangko o usa ka katugbang nga nahibal-an sa biktima. Ug kini nagpalahi dili lamang sa mga empleyado sa bangko; sa ubang mga industriya - pananglitan sa sektor sa enerhiya - nag-atubang kita sa samang uso.
Pagpatay sa mga virus
Apan ang pagpanglimbong dili kay kasagaran nga problema sama sa, pananglitan, mga impeksyon sa virus. Giunsa nimo kanunay nga makig-away sa mga epidemya sa virus? Nag-install sila og antivirus ug naglaum nga "dili makalusot ang kaaway." Apan kung ang tanan yano ra, nan, gihatagan ang medyo mubu nga gasto sa mga antivirus, ang tanan dugay na nga nakalimot sa problema sa malware. Samtang, kanunay kami nga nakadawat mga hangyo gikan sa serye nga "tabangi kami nga ibalik ang mga file, gi-encrypt namon ang tanan, nahunong ang trabaho, nawala ang data." Wala kami gikapoy sa pagsubli sa among mga kustomer nga ang antivirus dili usa ka panacea. Dugang pa sa kamatuoran nga ang mga database sa anti-virus mahimong dili ma-update dayon, kanunay namong masugatan ang malware nga maka-bypass dili lamang sa mga anti-virus, kondili usab sa mga sandbox.
Ikasubo, pipila ka mga ordinaryong empleyado sa mga organisasyon ang nahibal-an sa phishing ug malisyosong mga email ug makahimo sa pag-ila kanila gikan sa regular nga mga sulat. Sa aberids, ang matag ika-7 nga tiggamit nga wala moagi sa regular nga pagpataas sa kahibalo nagpadaog sa social engineering: pag-abli sa usa ka nataptan nga file o pagpadala sa ilang datos sa mga tig-atake.
Bisan kung ang sosyal nga vector sa mga pag-atake, sa kinatibuk-an, anam-anam nga nag-uswag, kini nga uso nahimong labi ka mamatikdan sa miaging tuig. Ang mga email sa phishing nahimong mas ug mas susama sa regular nga mga sulat bahin sa mga promosyon, umaabot nga mga panghitabo, ug uban pa. Dinhi atong mahinumduman ang Pag-atake sa Kahilom sa sektor sa panalapi - ang mga empleyado sa bangko nakadawat og usa ka sulat nga giingong adunay usa ka code nga pang-promosyon alang sa pag-apil sa popular nga komperensya sa industriya nga iFin, ug ang porsyento sa mga nahulog sa lansis taas kaayo, bisan pa, atong hinumduman. , naghisgot kami bahin sa industriya sa bangko - ang labing abante sa mga butang sa kasiguruhan sa kasayuran.
Sa wala pa ang miaging Bag-ong Tuig, naobserbahan usab namon ang daghang medyo us aka mga sitwasyon kung ang mga empleyado sa mga kompanya sa industriya nakadawat labi ka taas nga kalidad nga mga sulat sa phishing nga adunay "listahan" sa mga promosyon sa Bag-ong Tuig sa mga sikat nga online nga tindahan ug adunay mga code sa promosyon alang sa mga diskwento. Ang mga empleyado dili lamang misulay sa pagsunod sa link sa ilang kaugalingon, apan gipasa usab ang sulat sa mga kauban gikan sa mga may kalabutan nga organisasyon. Tungod kay ang kapanguhaan diin ang link sa phishing email nga gipangulohan gibabagan, ang mga empleyado nagsugod sa pagsumite sa mga hangyo sa serbisyo sa IT aron mahatagan kini nga access. Sa kinatibuk-an, ang kalampusan sa pagpadala kinahanglan nga milabaw sa tanan nga gipaabut sa mga tig-atake.
Ug bag-o lang usa ka kompanya nga "na-encrypt" nangayo kanamo alang sa tabang. Nagsugod ang tanan sa dihang ang mga empleyado sa accounting nakadawat usa ka sulat nga giingon nga gikan sa Central Bank sa Russian Federation. Gi-klik sa accountant ang link sa sulat ug gi-download ang minero sa WannaMine sa iyang makina, nga, sama sa bantog nga WannaCry, gipahimuslan ang pagkahuyang sa EternalBlue. Ang labing makaiikag nga butang mao nga kadaghanan sa mga antivirus nakamatikod sa mga pirma niini sukad sa pagsugod sa 2018. Apan, bisan ang antivirus na-disable, o ang mga database wala gi-update, o wala kini - sa bisan unsang kaso, ang minero naa na sa kompyuter, ug walaβy nakapugong niini sa pagkaylap sa tibuuk nga network, pagkarga sa mga server. CPU ug mga workstation sa 100%.
Kini nga kustomer, nga nakadawat usa ka taho gikan sa among forensics team, nakakita nga ang virus sa sinugdan nakasulod kaniya pinaagi sa email, ug naglansad usa ka pilot nga proyekto aron makonektar ang serbisyo sa pagpanalipod sa email. Ang unang butang nga among gi-set up mao ang email antivirus. Sa parehas nga oras, ang pag-scan alang sa malware kanunay nga gihimo, ug ang mga pag-update sa pirma sa sinugdan gihimo matag oras, ug dayon ang kustomer gibalhin sa kaduha sa usa ka adlaw.
Ang bug-os nga panalipod batok sa mga impeksyon sa virus kinahanglan nga layered. Kung maghisgot kita bahin sa pagpasa sa mga virus pinaagi sa email, nan kinahanglan nga i-filter ang ingon nga mga sulat sa entrada, bansayon ββang mga tiggamit sa pag-ila sa social engineering, ug dayon magsalig sa mga antivirus ug sandbox.
sa SEGda nagbantay
Siyempre, wala kami nag-angkon nga ang mga solusyon sa Secure Email Gateway usa ka panacea. Ang gipuntirya nga mga pag-atake, lakip ang spear phishing, lisod kaayong pugngan tungod kay... Ang matag ingon nga pag-atake "gipahaum" alang sa usa ka piho nga nakadawat (organisasyon o tawo). Apan alang sa usa ka kompanya nga naningkamot sa paghatag usa ka sukaranan nga lebel sa seguridad, daghan kini, labi na sa husto nga kasinatian ug kahanas nga gigamit sa buluhaton.
Kasagaran, kung ang spear phishing gihimo, ang malisyosong mga attachment wala gilakip sa lawas sa mga sulat, kung dili ang sistema sa antispam mo-block dayon sa ingon nga sulat padulong sa nakadawat. Apan gilakip nila ang mga link sa usa ka giandam nang daan nga kapanguhaan sa web sa teksto sa sulat, ug unya kini usa ka gamay nga butang. Gisundan sa user ang link, ug pagkahuman pagkahuman sa daghang mga pag-redirect sa pila ka segundo, matapos sa katapusan sa tibuuk nga kadena, ang pag-abli niini mag-download sa malware sa iyang kompyuter.
Mas sopistikado: sa higayon nga imong madawat ang sulat, ang link mahimong dili makadaot ug pagkahuman sa pila ka oras, kung kini na-scan ug nalaktawan, magsugod ba kini sa pag-redirect sa malware. Ikasubo, ang mga espesyalista sa Solar JSOC, bisan kung gikonsiderar ang ilang mga kahanas, dili makahimo sa pag-configure sa gateway sa mail aron "makita" ang malware sa tibuuk nga kadena (bisan pa, ingon proteksyon, mahimo nimong gamiton ang awtomatikong pagpuli sa tanan nga mga link sa mga letra. ngadto sa SEG, aron ang naulahi mag-scan sa link dili lamang sa panahon sa pagpadala sa sulat, ug sa matag transisyon).
Samtang, bisan ang usa ka tipikal nga pag-redirect mahimong maatiman pinaagi sa pagtipon sa daghang mga matang sa kahanas, lakip ang datos nga nakuha sa among JSOC CERT ug OSINT. Gitugotan ka niini nga makahimo og mga gipalapdan nga mga blacklist, nga gibase sa bisan usa ka sulat nga adunay daghang pagpasa nga ma-block.
Ang paggamit sa SEG usa lamang ka gamay nga tisa sa bungbong nga gusto nga tukuron sa bisan unsang organisasyon aron mapanalipdan ang mga kabtangan niini. Apan kini nga link kinahanglan usab nga husto nga i-integrate sa kinatibuk-ang hulagway, tungod kay bisan ang SEG, nga adunay husto nga pag-configure, mahimo nga usa ka hingpit nga paagi sa pagpanalipod.
Ksenia Sadunina, consultant sa eksperto nga presale nga departamento sa mga produkto ug serbisyo sa Solar JSOC
Source: www.habr.com