Mentre a grande Enterprise sta custruendu riduzioni echelonate da potenziali attacchi interni è pirate, i mailings di phishing è spam restanu un mal di testa per e cumpagnie più simplici. Se Marty McFly sapia chì in u 2015 (è ancu di più in u 2020) a ghjente ùn solu micca inventà l'hoverboards, ma ùn anu mancu imparà à sbarazzassi cumplettamente di u junk mail, probabilmente perde a fede in l'umanità. Inoltre, u puzzicheghju oghje ùn hè micca solu fastidiosu, ma spessu dannusu. In circa u 70% di l'implementazioni di killchain, i cibercriminali penetranu l'infrastruttura utilizendu malware cuntenuti in annessi o attraversu ligami di phishing in e-mail.
Ricertamenti, ci hè stata una tendenza chjara versu a diffusione di l'ingenieria suciale cum'è una manera di penetrà l'infrastruttura di l'urganizazione. Paragunendu statistiche da 2017 è 2018, vedemu un aumentu di quasi 50% in u numeru di casi induve u malware hè statu mandatu à l'urdinatori di l'impiegati per mezu di annessi o ligami di phishing in u corpu di un email.
In generale, tutta a gamma di minacce chì ponu esse realizatu cù l'email pò esse divisa in parechje categurie:
- spam in entrata
- l'inclusione di l'urdinatori di una urganizazione in una botnet chì manda spam in uscita
- attachments maliziusi è virus in u corpu di a lettera (piccole cumpagnie più spessu soffrenu di attacchi massivi cum'è Petya).
Per pruteggiri contru à tutti i tipi di attacchi, vi ponu sia implementà parechji sistemi di sicurità infurmazione, o seguità a strada di un mudellu serviziu. Avemu digià nantu à a Piattaforma Unificata di servizii di cibersicurezza - u core di l'ecosistema di servizii di cibersicurezza gestiti Solar MSS. Frà altre cose, include a tecnulugia virtualizzata Secure Email Gateway (SEG). In regula, un abbunamentu à stu serviziu hè acquistatu da picculi imprese in quale tutte e funzioni di sicurezza di l'informatica è di l'informazioni sò attribuite à una persona - l'amministratore di u sistema. U puzzicheghju hè un prublema chì hè sempre visibile à l'utilizatori è a gestione, è ùn pò esse ignoratu. In ogni casu, cù u tempu, ancu a gestione diventa chjaru chì hè impussibile di "cascà" solu à l'amministratore di u sistema - ci vole troppu tempu.
2 ore per analizà u mail hè un pocu assai
Unu di i rivenditori ci hè avvicinatu cù una situazione simili. I sistemi di seguimentu di u tempu anu dimustratu chì ogni ghjornu i so impiegati passanu circa 25% di u so tempu di travagliu (2 ore!) In sorte di a cassetta postale.
Dopu avè cunnessu u servitore di mail di u cliente, avemu cunfiguratu l'istanza SEG cum'è un gateway bidirezionale per u mail entrante è in uscita. Avemu cuminciatu à filtrà secondu e pulitiche predeterminate. Avemu cumpilatu a Lista Nera basatu annantu à una analisi di e dati furnite da u cliente è a nostra propria lista di indirizzi potenzialmente periculosi ottenuti da l'esperti di Solar JSOC cum'è parte di altri servizii - per esempiu, monitoring incidenti di sicurità di l'infurmazioni. Dopu à quessa, tutti i mail sò stati mandati à i destinatari solu dopu a pulizia, è parechji mailing spam nantu à "grand discounts" cessanu di versà in i servitori di mail di u cliente in tunnellate, liberendu spaziu per altri bisogni.
Ma ci sò stati situazioni quandu una lettera legittima hè stata classificata per errore cum'è spam, per esempiu, cum'è ricevutu da un mittente micca fiduciale. In questu casu, avemu datu u dirittu di decisione à u cliente. Ùn ci sò parechje opzioni nantu à ciò chì fà: sguassate immediatamente o mandate in quarantena. Avemu sceltu a seconda strada, in quale tali mail junk hè guardatu in u SEG stessu. Avemu furnitu l'amministratore di u sistema cù l'accessu à a cunsola web, in quale puderia truvà una lettera impurtante in ogni mumentu, per esempiu, da una contraparte, è trasmette à l'utilizatore.
Sbarazzarsi di parassiti
U serviziu di prutezzione di e-mail include rapporti analitici, chì u scopu hè di monitorà a sicurità di l'infrastruttura è l'efficacità di i paràmetri utilizati. Inoltre, sti rapporti permettenu di predichendu tendenzi. Per esempiu, truvamu a sezione currispundente "Spam by Recipient" o "Spam by Sender" in u rapportu è fighjate à quale l'indirizzu riceve u più grande numaru di messagi bluccati.
Era mentre analizzava un tali rapportu chì u numeru tutale di lettere da unu di i clienti ci pareva sospetti. A so infrastruttura hè chjuca, u numeru di lettere hè bassu. È di colpu, dopu un ghjornu di travagliu, a quantità di spam bluccatu quasi duppiò. Avemu decisu di piglià un ochju più vicinu.
Avemu vistu chì u numeru di lettere in uscita hè aumentatu, è tutti in u campu "Sender" cuntenenu indirizzi da un duminiu chì hè cunnessu à u serviziu di prutezzione di mail. Ma ci hè una sfumatura: trà indirizzi abbastanza sani, forse ancu esistenti, ci sò chjaramente strani. Fighjemu à l'IP da quale e lettere sò state mandate, è, abbastanza previstu, hè risultatu chì ùn appartene micca à u spaziu di l'indirizzu prutettu. Ovviamente, l'attaccante mandava spam in nome di u cliente.
In questu casu, avemu fattu cunsiglii per u cliente nantu à cumu cunfigurà currettamente i registri DNS, in particulare SPF. U nostru specialista ci hà cunsigliatu per creà un registru TXT chì cuntene a regula "v=spf1 mx ip:1.2.3.4/23 -all", chì cuntene una lista exhaustiva di indirizzi chì sò permessi di mandà lettere in nome di u duminiu prutettu.
In verità, perchè questu hè impurtante: u puzzicheghju in nome di una piccula cumpagnia scunnisciuta hè dispiacevule, ma micca criticu. A situazione hè completamente diversa, per esempiu, in l'industria bancaria. Sicondu i nostri osservazioni, u livellu di fiducia di a vittima in un email di phishing aumenta parechje volte s'ellu hè suppostu mandatu da u duminiu di un altru bancu o una contraparte cunnisciuta da a vittima. È questu distingue micca solu l'impiegati di u bancu in altri industrii - per esempiu, l'energia - avemu affruntatu a listessa tendenza.
Uccide i virus
Ma spoofing ùn hè micca cum'è un prublema cum'è, per esempiu, infizzioni virali. Cumu a più spessu cumbatte l'epidemie virali? Installanu un antivirus è speranu chì "u nemicu ùn passa micca". Ma s'ellu tuttu era cusì simplice, allora, datu u costu abbastanza bassu di l'antivirus, tutti avianu scurdatu di u prublema di malware. Intantu, ricevemu constantemente richieste da a serie "aiutateci à restaurà i fugliali, avemu criptatu tuttu, u travagliu hè stallatu, i dati sò persi". Ùn ci stanchemu mai di ripetiri à i nostri clienti chì l'antivirus ùn hè micca una panacea. In più di u fattu chì e basa di dati anti-virus ùn ponu micca esse aghjurnati abbastanza rapidamente, spessu scontru malware chì pò sguassate micca solu anti-virus, ma ancu sandbox.
Sfurtunatamente, pochi impiegati ordinariu di l'urganisazione sò cunuscenti di phishing è email maliziusi è sò capaci di distinguelli da a currispundenza regulare. In media, ogni 7u utilizatore chì ùn hè micca sottumessu à una sensibilizazione regulare succumbe à l'ingegneria suciale: apre un schedariu infettatu o invià e so dati à l'attaccanti.
Ancu s'è u vettore suciale di l'attacchi, in generale, hè statu gradualmente crescente, sta tendenza hè diventata soprattuttu notevuli l'annu passatu. L'e-mail di phishing sò diventati sempre più simili à i mailings regulari nantu à promozioni, avvenimenti imminenti, etc. Quì pudemu ricurdà l'attaccu di Silence à u settore finanziariu - l'impiegati di u bancu anu ricevutu una lettera presuntamente cù un codice promozionale per a participazione à a populari cunferenza di l'industria iFin, è u percentualità di quelli chì succumbiscenu à u truccu era assai altu, ancu s'ellu ci ricurdemu. , parlemu di l'industria bancaria - a più avanzata in materia di sicurità di l'infurmazioni.
Prima di l'ultimu annu novu, avemu ancu osservatu parechje situazioni piuttostu curiose quandu l'impiegati di l'imprese industriali anu ricivutu lettere di phishing d'alta qualità cù una "lista" di promozioni di l'annu in i buttreghi online populari è cù codici promozionali per sconti. L'impiegati ùn anu micca solu pruvatu à seguità u ligame elli stessi, ma anu ancu trasmessu a lettera à i culleghi di l'urganisazioni ligati. Siccomu a risorsa à quale u ligame in l'email di phishing hè stata bluccata, l'impiegati cuminciaru in massa à mandà richieste à u serviziu IT per furnisce l'accessu. In generale, u successu di u mailing deve esse superatu tutte l'aspettattivi di l'attaccanti.
È pocu tempu una cumpagnia chì era stata "cifrata" hà vultatu à noi per aiutu. Tuttu hà cuminciatu quandu l'impiegati di cuntabilità anu ricevutu una lettera presuntamente da u Bancu Centrale di a Federazione Russa. L'accountante cliccà nantu à u ligame in a lettera è scaricatu u minatore WannaMine nantu à a so macchina, chì, cum'è u famosu WannaCry, sfruttava a vulnerabilità EternalBlue. A cosa più interessante hè chì a maiò parte di l'antivirus anu sappiutu detectà e so signature da u principiu di u 2018. Ma, o l'antivirus hè statu disattivatu, o e basa di dati ùn sò micca aghjurnati, o ùn ci era micca in tuttu - in ogni casu, u minatore era digià in l'urdinatore, è nunda ùn l'impedì di sparghje più in a reta, carrichendu i servitori ". CPU è stazioni di travagliu à 100%.
Stu cliente, avè ricevutu un rapportu da a nostra squadra forensica, hà vistu chì u virus hà inizialmente penetratu in ellu per email, è hà lanciatu un prughjettu pilotu per cunnette un serviziu di prutezzione di e-mail. A prima cosa chì avemu stallatu era un antivirus email. À u listessu tempu, u scanning per malware hè realizatu constantemente, è l'aghjurnamenti di a firma sò stati inizialmente realizati ogni ora, è dopu u cliente hà cambiatu à duie volte à ghjornu.
A prutezzione completa contra l'infizzioni virali deve esse stratificata. Se parlemu di a trasmissione di virus per e-mail, allora hè necessariu di filtrà tali lettere à l'entrata, furmà l'utilizatori à ricunnosce l'ingegneria suciale, è poi s'appoghjanu in antivirus è sandbox.
in SEGda in guardia
Di sicuru, ùn dicemu micca chì e soluzioni Secure Email Gateway sò una panacea. L'attacchi mirati, cumprese spear phishing, sò estremamente difficiuli di prevene perchè ... Ogni tali attaccu hè "adatta" per un destinatariu specificu (urganizazione o persona). Ma per una sucità chì prova di furnisce un livellu basu di sicurità, questu hè assai, soprattuttu cù l'experientia ghjusta è a cumpetenza applicata à u compitu.
A maiò spessu, quandu u spear phishing hè realizatu, l'attachments maliziusi ùn sò micca inclusi in u corpu di lettere, altrimente u sistema antispam bluccarà immediatamente una tale lettera in u so modu à u destinatariu. Ma includenu ligami à una risorsa web pre-preparata in u testu di a lettera, è poi hè una piccula materia. L'utilizatore seguita u ligame, è dopu dopu parechji redirects in una materia di sicondi finiscinu nantu à l'ultimu in a catena sana, l'apertura di quale scaricarà malware in u so urdinatore.
Ancu più sufisticatu: in u mumentu chì riceve a lettera, u ligame pò esse innocu è solu dopu à qualchì tempu hè passatu, quandu hè digià scansatu è saltatu, hà da cumincià à redirige à malware. Sfurtunatamente, i specialisti di Solar JSOC, ancu tenendu in contu e so cumpetenze, ùn puderanu micca cunfigurà u gateway di mail per "vede" malware in tutta a catena (ancu se, cum'è prutezzione, pudete aduprà a rimpiazzamentu automaticu di tutti i ligami in lettere). à SEG, cusì chì l'ultime scansà u ligame micca solu à u mumentu di a consegna di a lettera, è à ogni transizione).
Intantu, ancu una redirezzione tipica pò esse trattata da l'agregazione di parechji tipi di sapè fà, cumprese i dati ottenuti da u nostru JSOC CERT è OSINT. Questu permette di creà liste nere estese, basate nantu à quale ancu una lettera cù trasmissioni multiple serà bluccata.
Utilizà SEG hè solu un picculu brique in u muru chì ogni urganizazione vole custruisce per prutege i so assi. Ma stu ligame hà ancu esse integratu currettamente in a stampa generale, perchè ancu SEG, cù una cunfigurazione propria, pò esse trasfurmata in un mezzu di prutezzione cumpletu.
Ksenia Sadunina, cunsultante di u dipartimentu di prevendita espertu di prudutti è servizii di Solar JSOC
Source: www.habr.com