Tra bod y Fenter fawr yn adeiladu amheuon uwch gan ymosodwyr a hacwyr mewnol posibl, mae post gwe-rwydo a sbam yn parhau i fod yn gur pen i gwmnïau symlach. Pe bai Marty McFly yn gwybod y byddai pobl nid yn unig yn dyfeisio byrddau hover yn 2015 (a hyd yn oed yn fwy felly yn 2020), ond na fyddent hyd yn oed yn dysgu cael gwared ar bost sothach yn llwyr, mae'n debyg y byddai'n colli ffydd yn y ddynoliaeth. Ar ben hynny, mae sbam heddiw nid yn unig yn blino, ond yn aml yn niweidiol. Mewn tua 70% o weithrediadau killchain, mae seiberdroseddwyr yn treiddio i'r seilwaith gan ddefnyddio meddalwedd maleisus sydd wedi'i gynnwys mewn atodiadau neu drwy ddolenni gwe-rwydo mewn e-byst.
Yn ddiweddar, bu tuedd amlwg tuag at ledaeniad peirianneg gymdeithasol fel ffordd o dreiddio i seilwaith sefydliad. O gymharu ystadegau 2017 a 2018, rydym yn gweld cynnydd o bron i 50% yn nifer yr achosion lle cafodd meddalwedd maleisus ei ddosbarthu i gyfrifiaduron gweithwyr trwy atodiadau neu ddolenni gwe-rwydo yng nghorff e-bost.
Yn gyffredinol, gellir rhannu'r ystod gyfan o fygythiadau y gellir eu cyflawni gan ddefnyddio e-bost yn sawl categori:
- sbam sy'n dod i mewn
- cynnwys cyfrifiaduron sefydliad mewn botnet sy'n anfon sbam sy'n mynd allan
- atodiadau maleisus a firysau yng nghorff y llythyr (mae cwmnïau bach yn aml yn dioddef o ymosodiadau enfawr fel Petya).
Er mwyn amddiffyn rhag pob math o ymosodiadau, gallwch naill ai ddefnyddio sawl system diogelwch gwybodaeth, neu ddilyn llwybr model gwasanaeth. Rydym yn barod am y Llwyfan Gwasanaethau Cybersecurity Unedig - craidd yr ecosystem gwasanaethau seiberddiogelwch a reolir gan Solar MSS. Ymhlith pethau eraill, mae'n cynnwys technoleg rhithwir Porth E-bost Diogel (SEG). Fel rheol, mae cwmnïau bach yn prynu tanysgrifiad i'r gwasanaeth hwn lle mae'r holl swyddogaethau TG a diogelwch gwybodaeth yn cael eu neilltuo i un person - gweinyddwr y system. Mae sbam yn broblem sydd bob amser yn weladwy i ddefnyddwyr a rheolwyr, ac ni ellir ei anwybyddu. Fodd bynnag, dros amser, mae hyd yn oed y rheolwyr yn dod yn amlwg ei bod yn amhosibl ei “ollwng” i weinyddwr y system - mae'n cymryd gormod o amser.
Mae 2 awr i ddosrannu post ychydig yn llawer
Daeth un o’r manwerthwyr atom gyda sefyllfa debyg. Dangosodd systemau olrhain amser fod ei weithwyr bob dydd yn treulio tua 25% o'u hamser gwaith (2 awr!) ar roi trefn ar y blwch post.
Ar ôl cysylltu gweinydd post y cwsmer, fe wnaethom ffurfweddu'r enghraifft SEG fel porth dwy ffordd ar gyfer post sy'n dod i mewn ac yn mynd allan. Dechreuon ni hidlo yn unol â pholisïau a sefydlwyd ymlaen llaw. Fe wnaethom lunio'r Blacklist yn seiliedig ar ddadansoddiad o'r data a ddarparwyd gan y cwsmer a'n rhestrau ein hunain o gyfeiriadau a allai fod yn beryglus a gafwyd gan arbenigwyr Solar JSOC fel rhan o wasanaethau eraill - er enghraifft, monitro digwyddiadau diogelwch gwybodaeth. Ar ôl hynny, dim ond ar ôl glanhau y cafodd yr holl bost ei ddosbarthu i dderbynwyr, ac fe wnaeth amryw o bostiadau sbam am “gostyngiadau mawr” roi'r gorau i arllwys i weinyddion post y cwsmer mewn tunnell, gan ryddhau lle ar gyfer anghenion eraill.
Ond bu sefyllfaoedd pan gafodd llythyr cyfreithlon ei ddosbarthu ar gam fel sbam, er enghraifft, fel llythyr a dderbyniwyd gan anfonwr di-ymddiried. Yn yr achos hwn, rhoesom yr hawl i benderfyniad i'r cwsmer. Nid oes llawer o opsiynau ar beth i'w wneud: ei ddileu ar unwaith neu ei anfon i gwarantîn. Fe wnaethom ddewis yr ail lwybr, lle mae post sothach o'r fath yn cael ei storio ar y SEG ei hun. Fe wnaethom ddarparu mynediad i'r consol gwe i weinyddwr y system, lle gallai ddod o hyd i lythyren bwysig ar unrhyw adeg, er enghraifft, gan wrthbarti, a'i anfon ymlaen at y defnyddiwr.
Cael gwared ar barasitiaid
Mae'r gwasanaeth diogelu e-bost yn cynnwys adroddiadau dadansoddol, a'u diben yw monitro diogelwch y seilwaith ac effeithiolrwydd y gosodiadau a ddefnyddir. Yn ogystal, mae'r adroddiadau hyn yn caniatáu ichi ragweld tueddiadau. Er enghraifft, rydym yn dod o hyd i'r adran gyfatebol “Spam gan Derbynnydd” neu “Sbam gan Anfonwr” yn yr adroddiad ac yn edrych ar gyfeiriad pwy sy'n derbyn y nifer fwyaf o negeseuon sydd wedi'u blocio.
Wrth ddadansoddi adroddiad o'r fath yr ymddangosai'r cynnydd sydyn yng nghyfanswm y llythyrau gan un o'r cwsmeriaid yn amheus i ni. Mae ei seilwaith yn fach, mae nifer y llythyrau yn isel. Ac yn sydyn, ar ôl diwrnod gwaith, roedd swm y sbam wedi'i rwystro bron yn dyblu. Fe benderfynon ni edrych yn agosach.
Gwelwn fod nifer y llythyrau sy'n mynd allan wedi cynyddu, ac mae pob un ohonynt yn y maes “Anfonwr” yn cynnwys cyfeiriadau o barth sy'n gysylltiedig â'r gwasanaeth diogelu post. Ond mae yna un naws: ymhlith cyfeiriadau eithaf call, efallai hyd yn oed sy'n bodoli, mae'n amlwg bod rhai rhyfedd. Edrychasom ar yr IPs yr anfonwyd y llythyrau ohonynt, ac, yn ddigon disgwyliadwy, daeth i'r amlwg nad oeddent yn perthyn i'r gofod cyfeiriad gwarchodedig. Yn amlwg, roedd yr ymosodwr yn anfon sbam ar ran y cwsmer.
Yn yr achos hwn, gwnaethom argymhellion i'r cwsmer ar sut i ffurfweddu cofnodion DNS yn gywir, yn benodol SPF. Cynghorodd ein harbenigwr ni i greu cofnod TXT yn cynnwys y rheol “v=spf1 mx ip:1.2.3.4/23 -all”, sy'n cynnwys rhestr gynhwysfawr o gyfeiriadau y caniateir iddynt anfon llythyrau ar ran y parth gwarchodedig.
Mewn gwirionedd, pam mae hyn yn bwysig: mae sbam ar ran cwmni bach anhysbys yn annymunol, ond nid yn feirniadol. Mae’r sefyllfa’n hollol wahanol, er enghraifft, yn y diwydiant bancio. Yn ôl ein harsylwadau, mae lefel ymddiriedaeth y dioddefwr mewn e-bost gwe-rwydo yn cynyddu lawer gwaith drosodd os yw i fod i gael ei anfon o barth banc arall neu wrthbarti sy'n hysbys i'r dioddefwr. Ac mae hyn yn gwahaniaethu nid yn unig gweithwyr banc; mewn diwydiannau eraill - er enghraifft, ynni - rydym yn wynebu'r un duedd.
Lladd firysau
Ond nid yw ffugio yn broblem mor gyffredin ag, er enghraifft, heintiau firaol. Sut ydych chi'n ymladd epidemigau firaol amlaf? Maen nhw'n gosod gwrthfeirws ac yn gobeithio “na fydd y gelyn yn dod trwodd.” Ond pe bai popeth mor syml, yna, o ystyried cost eithaf isel gwrthfeirysau, byddai pawb wedi anghofio am broblem malware ers amser maith. Yn y cyfamser, rydym yn derbyn ceisiadau o'r gyfres yn gyson “ein helpu i adfer y ffeiliau, rydym wedi amgryptio popeth, mae'r gwaith wedi'i atal, mae'r data'n cael ei golli." Nid ydym byth yn blino dweud wrth ein cwsmeriaid nad yw gwrthfeirws yn ateb i bob problem. Yn ogystal â'r ffaith efallai na fydd cronfeydd data gwrth-firws yn cael eu diweddaru'n ddigon cyflym, rydym yn aml yn dod ar draws malware sy'n gallu osgoi nid yn unig gwrth-firysau, ond hefyd blychau tywod.
Yn anffodus, ychydig o weithwyr cyffredin sefydliadau sy'n ymwybodol o we-rwydo a negeseuon e-bost maleisus ac yn gallu gwahaniaethu rhyngddynt a gohebiaeth reolaidd. Ar gyfartaledd, mae pob 7fed defnyddiwr nad yw'n mynd trwy godi ymwybyddiaeth yn rheolaidd yn ildio i beirianneg gymdeithasol: agor ffeil heintiedig neu anfon eu data at ymosodwyr.
Er bod fector cymdeithasol ymosodiadau, yn gyffredinol, wedi bod yn cynyddu'n raddol, mae'r duedd hon wedi dod yn arbennig o amlwg y llynedd. Roedd e-byst gwe-rwydo yn dod yn fwyfwy tebyg i bostio rheolaidd am hyrwyddiadau, digwyddiadau i ddod, ac ati. Yma gallwn ddwyn i gof ymosodiad Distawrwydd ar y sector ariannol - derbyniodd gweithwyr banc lythyr yr honnir iddo fod â chod hyrwyddo ar gyfer cymryd rhan yn y gynhadledd diwydiant poblogaidd iFin, ac roedd canran y rhai a ildiodd i'r tric yn uchel iawn, er, gadewch inni gofio , rydym yn sôn am y diwydiant bancio - y mwyaf datblygedig mewn materion diogelwch gwybodaeth.
Cyn y Flwyddyn Newydd ddiwethaf, gwelsom hefyd sawl sefyllfa eithaf chwilfrydig pan dderbyniodd gweithwyr cwmnïau diwydiannol lythyrau gwe-rwydo o ansawdd uchel iawn gyda “rhestr” o hyrwyddiadau Blwyddyn Newydd mewn siopau ar-lein poblogaidd a gyda chodau hyrwyddo ar gyfer gostyngiadau. Ceisiodd gweithwyr nid yn unig ddilyn y ddolen eu hunain, ond hefyd anfonwyd y llythyr ymlaen at gydweithwyr o sefydliadau cysylltiedig. Ers i'r adnodd y mae'r ddolen yn yr e-bost gwe-rwydo a arweinir iddo gael ei rwystro, dechreuodd gweithwyr yn llu i gyflwyno ceisiadau i'r gwasanaeth TG i ddarparu mynediad iddo. Yn gyffredinol, mae'n rhaid bod llwyddiant y postio wedi rhagori ar holl ddisgwyliadau'r ymosodwyr.
Ac yn ddiweddar trodd cwmni oedd wedi ei “amgryptio” atom ni am help. Dechreuodd y cyfan pan dderbyniodd gweithwyr cyfrifeg lythyr yr honnir gan Fanc Canolog Ffederasiwn Rwsia. Cliciwch y cyfrifydd ar y ddolen yn y llythyr a llwytho i lawr y glöwr WannaMine i'w beiriant, a oedd, fel yr enwog WannaCry, wedi manteisio ar fregusrwydd EternalBlue. Y peth mwyaf diddorol yw bod y mwyafrif o wrthfeirysau wedi gallu canfod eu llofnodion ers dechrau 2018. Ond, naill ai roedd y gwrthfeirws yn anabl, neu ni chafodd y cronfeydd data eu diweddaru, neu nid oedd yno o gwbl - beth bynnag, roedd y glöwr eisoes ar y cyfrifiadur, ac nid oedd dim yn ei atal rhag lledaenu ymhellach ar draws y rhwydwaith, gan lwytho'r gweinyddwyr ' CPU a gweithfannau ar 100%.
Ar ôl derbyn adroddiad gan ein tîm fforensig, gwelodd y cwsmer hwn fod y firws wedi treiddio iddo trwy e-bost i ddechrau, a lansiodd brosiect peilot i gysylltu gwasanaeth diogelu e-bost. Y peth cyntaf i ni ei sefydlu oedd gwrthfeirws e-bost. Ar yr un pryd, mae sganio am malware yn cael ei wneud yn gyson, a gwnaed diweddariadau llofnod i ddechrau bob awr, ac yna newidiodd y cwsmer i ddwywaith y dydd.
Rhaid haenu amddiffyniad llawn rhag heintiau firaol. Os byddwn yn siarad am drosglwyddo firysau trwy e-bost, yna mae angen hidlo llythyrau o'r fath wrth y fynedfa, hyfforddi defnyddwyr i adnabod peirianneg gymdeithasol, ac yna dibynnu ar wrthfeirysau a blychau tywod.
yn SEGda ar wyliadwriaeth
Wrth gwrs, nid ydym yn honni bod atebion Porth E-bost Diogel yn ateb i bob problem. Mae ymosodiadau wedi'u targedu, gan gynnwys gwe-rwydo gwaywffon, yn anodd iawn i'w hatal oherwydd... Mae pob ymosodiad o'r fath wedi'i “deilwra” ar gyfer derbynnydd penodol (sefydliad neu berson). Ond i gwmni sy'n ceisio darparu lefel sylfaenol o ddiogelwch, mae hyn yn llawer, yn enwedig gyda'r profiad a'r arbenigedd cywir wedi'u cymhwyso i'r dasg.
Yn fwyaf aml, pan fydd gwe-rwydo gwaywffon yn cael ei wneud, nid yw atodiadau maleisus wedi'u cynnwys yng nghorff y llythyrau, fel arall bydd y system antispam yn rhwystro llythyr o'r fath ar ei ffordd i'r derbynnydd ar unwaith. Ond maent yn cynnwys dolenni i adnodd gwe a baratowyd ymlaen llaw yn nhestun y llythyr, ac yna mater bach ydyw. Mae'r defnyddiwr yn dilyn y ddolen, ac yna ar ôl sawl ailgyfeiriad mewn ychydig eiliadau mae'n dod i ben ar yr un olaf yn y gadwyn gyfan, a bydd ei hagor yn lawrlwytho meddalwedd maleisus i'w gyfrifiadur.
Hyd yn oed yn fwy soffistigedig: ar hyn o bryd rydych chi'n derbyn y llythyr, gall y ddolen fod yn ddiniwed a dim ond ar ôl peth amser, pan fydd eisoes wedi'i sganio a'i hepgor, y bydd yn dechrau ailgyfeirio i malware. Yn anffodus, ni fydd arbenigwyr Solar JSOC, hyd yn oed o ystyried eu cymwyseddau, yn gallu ffurfweddu'r porth post er mwyn “gweld” malware trwy'r gadwyn gyfan (er, fel amddiffyniad, gallwch ddefnyddio ailosodiad awtomatig yr holl ddolenni mewn llythyrau i SEG, fel bod yr olaf yn sganio'r ddolen nid yn unig ar adeg danfon y llythyr, ac ar bob trosglwyddiad).
Yn y cyfamser, gellir delio â hyd yn oed ailgyfeiriad nodweddiadol trwy agregu sawl math o arbenigedd, gan gynnwys data a gafwyd gan ein JSOC CERT ac OSINT. Mae hyn yn caniatáu ichi greu rhestrau gwahardd estynedig, y bydd hyd yn oed llythyren ag anfon ymlaen lluosog yn cael ei rwystro ar eu sail.
Dim ond bricsen fach yn y wal yw defnyddio SEG y mae unrhyw sefydliad am ei adeiladu i ddiogelu ei asedau. Ond mae angen integreiddio'r ddolen hon yn gywir i'r darlun cyffredinol hefyd, oherwydd gall hyd yn oed SEG, gyda chyfluniad priodol, gael ei droi'n ddull amddiffyn llawn.
Ksenia Sadunina, ymgynghorydd yr adran ragwerthu arbenigol o gynhyrchion a gwasanaethau Solar JSOC
Ffynhonnell: hab.com