Er bod mentrau mawr yn adeiladu amddiffynfeydd aml-haenog yn erbyn ymosodwyr a hacwyr mewnol posibl, mae negeseuon e-bost gwe-rwydo a sbam yn parhau i fod yn gur pen i gwmnïau llai. Pe bai Marty McFly wedi gwybod na fyddai pobl yn dyfeisio hoverboards yn 2015 (ac yn sicr nid yn 2020), heb sôn am ddysgu sut i ddileu sbam yn llwyr, mae'n debyg y byddai wedi colli ffydd mewn dynoliaeth. Ar ben hynny, nid yn unig mae sbam heddiw yn annifyr, ond yn aml yn faleisus. Mewn tua 70% o ymosodiadau cadwyn ladd, mae seiberdroseddwyr yn treiddio seilwaith trwy ddrwgwedd sydd wedi'i gynnwys mewn atodiadau neu drwy ddolenni gwe-rwydo mewn negeseuon e-bost.
Yn ddiweddar, bu tuedd glir tuag at ledaeniad peirianneg gymdeithasol fel ffordd o dreiddio seilwaith sefydliad. Wrth gymharu ystadegau o 2017 a 2018, rydym yn gweld cynnydd o bron i 50 y cant yn nifer yr achosion lle cyflwynwyd meddalwedd faleisus i gyfrifiaduron gweithwyr trwy atodiadau neu ddolenni gwe-rwydo mewn e-byst.
Yn gyffredinol, gellir rhannu'r sbectrwm cyfan o fygythiadau y gellir eu gweithredu gan ddefnyddio e-bost yn sawl categori:
- sbam sy'n dod i mewn
- cynnwys cyfrifiaduron sefydliad mewn botnet sy'n anfon sbam allanol
- Atodiadau maleisus a firysau yng nghorff yr e-bost (mae cwmnïau bach yn cael eu heffeithio amlaf gan ymosodiadau torfol fel Petya).
Er mwyn amddiffyn rhag pob math o ymosodiadau, gallwch naill ai ddefnyddio nifer o systemau diogelwch gwybodaeth neu ddewis model gwasanaeth. Rydym eisoes wedi Ynglŷn â'r Platfform Gwasanaethau Seiberddiogelwch Unedig—craidd ecosystem gwasanaethau seiberddiogelwch a reolir gan Solar MSS. Ymhlith pethau eraill, mae'n cynnwys y dechnoleg Porth E-bost Diogel (SEG) rhithwir. Fel arfer, mae cwmnïau bach yn tanysgrifio i'r gwasanaeth hwn, lle mae pob swyddogaeth TG a diogelwch gwybodaeth yn cael ei thrin gan un person—y gweinyddwr system. Mae sbam yn broblem sydd bob amser ar radar defnyddwyr a rheolwyr, ac mae'n hanfodol mynd i'r afael â hi. Fodd bynnag, dros amser, mae hyd yn oed y rheolwyr yn sylweddoli nad yw ei daflu at y gweinyddwr system yn opsiwn—mae'n cymryd gormod o amser.
Mae 2 awr i ddidoli trwy e-byst braidd yn ormod.
Cysylltodd manwerthwr â ni gyda sefyllfa debyg. Dangosodd systemau olrhain amser fod eu gweithwyr yn treulio tua 25% o'u hamser gwaith dyddiol (dwy awr!) yn didoli trwy eu blwch post.
Ar ôl cysylltu gweinydd post y cwsmer, fe wnaethom ffurfweddu'r enghraifft SEG fel porth dwyffordd ar gyfer post sy'n dod i mewn ac yn mynd allan. Fe wnaethom lansio hidlo yn seiliedig ar bolisïau wedi'u diffinio ymlaen llaw. Fe wnaethom greu rhestr ddu yn seiliedig ar ddadansoddiad o'r data a ddarparwyd gan y cwsmer a'n rhestrau ein hunain o gyfeiriadau a allai fod yn beryglus a gafwyd gan arbenigwyr Solar JSOC trwy wasanaethau eraill, megis monitro digwyddiadau diogelwch gwybodaeth. Ar ôl hyn, dim ond ar ôl iddo gael ei lanhau y cafodd yr holl bost ei ddanfon at dderbynwyr, a pheidiodd negeseuon e-bost sbam am "ostyngiadau enfawr" â gorlifo gweinyddion post y cwsmer, gan ryddhau lle ar gyfer anghenion eraill.
Fodd bynnag, bu sefyllfaoedd lle cafodd e-bost cyfreithlon ei ddosbarthu ar gam fel sbam, er enghraifft, fel un a ddaeth gan anfonwr di-ymddiried. Yn yr achosion hyn, fe wnaethom adael y penderfyniad i'r cleient. Roedd yr opsiynau'n gyfyngedig: dileu ar unwaith neu roi mewn cwarantîn. Dewisom yr olaf, sy'n storio e-bost diangen o'r fath ar SEG ei hun. Fe wnaethom ddarparu mynediad i'r gweinyddwr system i'r consol we, lle gallent ddod o hyd i e-byst pwysig ar unrhyw adeg, er enghraifft, gan gontractwr, a'u llwybro at y defnyddiwr.
Cael gwared ar barasitiaid
Mae'r gwasanaeth diogelwch e-bost yn cynnwys adroddiadau dadansoddol sydd wedi'u cynllunio i fonitro diogelwch eich seilwaith ac effeithiolrwydd eich gosodiadau. Mae'r adroddiadau hyn hefyd yn caniatáu ichi ragweld tueddiadau. Er enghraifft, gallwn ddod o hyd i'r adran gyfatebol "Sbam yn ôl Derbynnydd" neu "Sbam yn ôl Anfonwr" yn yr adroddiad a gweld pa gyfeiriad sy'n derbyn y negeseuon sydd wedi'u blocio fwyaf.
Wrth ddadansoddi adroddiad o'r fath y daethom yn amheus o gynnydd sydyn yn nifer cyffredinol yr e-byst yn un o'n cleientiaid. Roedd eu seilwaith yn fach, a nifer yr e-byst yn isel. Yna, ar ôl gwaith, bron â dyblu faint o sbam a oedd wedi'i flocio. Penderfynon ni edrych yn agosach.
Rydym yn gweld cynnydd yn nifer yr e-byst sy'n mynd allan, ac mae'r maes "Anfonwr" ym mhob un ohonynt yn cynnwys cyfeiriadau o barth sy'n gysylltiedig â'r gwasanaeth amddiffyn e-bost. Ond mae un rhybudd: ymhlith cyfeiriadau cwbl resymol, o bosibl hyd yn oed yn bodoli eisoes, mae rhai sydd yn amlwg allan o le. Edrychon ni ar y cyfeiriadau IP yr oedd yr e-byst yn cael eu hanfon ohonynt, ac, yn rhagweladwy, daeth i'r amlwg nad oeddent yn y gofod cyfeiriadau gwarchodedig. Yn amlwg, roedd yr ymosodwr yn anfon sbam ar ran y cleient.
Yn yr achos hwn, fe wnaethom roi argymhellion i'r cleient ar sut i ffurfweddu cofnodion DNS yn iawn, yn benodol SPF. Argymhellodd ein harbenigwr greu cofnod TXT sy'n cynnwys y rheol "v=spf1 mx ip:1.2.3.4/23 -all," sy'n cynnwys rhestr gynhwysfawr o gyfeiriadau y caniateir iddynt anfon negeseuon e-bost ar ran y parth gwarchodedig.
Dyma pam mae hyn yn bwysig: mae sbam gan gwmni bach anhysbys yn annymunol, ond nid yn hollbwysig. Mae pethau'n eithaf gwahanol, er enghraifft, yn y diwydiant bancio. Yn ôl ein harsylwadau, mae ymddiriedaeth dioddefwyr mewn e-byst gwe-rwydo yn cynyddu'n esbonyddol os ydynt yn ymddangos fel pe baent wedi'u hanfon o barth banc arall neu wrthbarti hysbys. Ac nid yw hyn yn berthnasol i weithwyr bancio yn unig; rydym yn gweld yr un duedd mewn diwydiannau eraill, fel y sector ynni.
Lladd firysau
Ond nid yw ffugio mor gyffredin â, dyweder, heintiau firysau. A sut mae pobl fel arfer yn mynd i'r afael ag achosion o firysau? Maen nhw'n gosod gwrthfeirws ac yn gobeithio "na fydd y gelyn yn mynd drwodd." Ond pe bai mor syml â hynny, yna, o ystyried cost gymharol isel meddalwedd gwrthfeirws, byddai pawb wedi anghofio am ddrwgwedd ers tro byd. Yn y cyfamser, rydym yn derbyn ceisiadau'n gyson ar hyd y llinellau "helpwch ni i adfer ffeiliau, mae popeth wedi'i amgryptio, mae'r gwaith wedi dod i ben, mae data wedi'i golli." Nid ydym byth yn blino dweud wrth ein cwsmeriaid nad yw meddalwedd gwrthfeirws yn ateb i bob problem. Ar wahân i'r ffaith efallai na fydd cronfeydd data gwrthfeirws yn cael eu diweddaru'n ddigon cyflym, rydym yn aml yn dod ar draws meddalwedd ddrwgwedd a all osgoi nid yn unig meddalwedd gwrthfeirws ond hefyd blychau tywod.
Yn anffodus, ychydig o weithwyr cyffredin sy'n ymwybodol o negeseuon e-bost gwe-rwydo a maleisus ac yn gallu eu gwahaniaethu oddi wrth ohebiaeth reolaidd. Ar gyfartaledd, mae un o bob saith defnyddiwr nad ydynt yn derbyn hyfforddiant ymwybyddiaeth rheolaidd yn ildio i beirianneg gymdeithasol, gan agor ffeil heintiedig neu anfon eu data at ymosodwyr.
Er bod y fector ymosodiadau cymdeithasol wedi bod yn cynyddu'n raddol yn gyffredinol, daeth y duedd hon yn arbennig o amlwg y llynedd. Roedd negeseuon e-bost gwe-rwydo yn fwyfwy tebyg i negeseuon e-bost cyfarwydd am hyrwyddiadau, digwyddiadau sydd ar ddod, a'r cyffelyb. Mae ymosodiad y Silence ar y sector ariannol yn arbennig o nodedig: derbyniodd gweithwyr banc e-bost a oedd yn cynnwys cod hyrwyddo yn ôl pob sôn ar gyfer cymryd rhan yn y gynhadledd diwydiant boblogaidd iFin. Roedd canran y rhai a syrthiodd am y tric yn uchel iawn, er, cofiwch, ein bod yn sôn am y sector bancio, sef y mwyaf datblygedig o ran diogelwch gwybodaeth.
Cyn y Flwyddyn Newydd ddiwethaf, gwelsom hefyd sawl sefyllfa eithaf rhyfedd lle derbyniodd gweithwyr cwmnïau diwydiannol e-byst gwe-rwydo soffistigedig iawn yn cynnwys "rhestr" o hyrwyddiadau Blwyddyn Newydd mewn siopau ar-lein poblogaidd a chodau hyrwyddo disgownt. Nid yn unig y ceisiodd y gweithwyr glicio ar y ddolen eu hunain ond anfonasant yr e-bost ymlaen at gydweithwyr mewn sefydliadau cysylltiedig. Gan fod yr adnodd a gysylltwyd ag ef yn yr e-bost gwe-rwydo wedi'i rwystro, dechreuodd gweithwyr gyflwyno ceisiadau i'r adran TG ar raddfa fawr am fynediad. Ar y cyfan, mae'n rhaid bod llwyddiant yr ymgyrch e-bost wedi rhagori ar ddisgwyliadau'r ymosodwyr.
Yn ddiweddar, cysylltodd cwmni a oedd wedi'i "amgryptio" â ni am gymorth. Dechreuodd y cyfan pan dderbyniodd gweithwyr yr adran gyfrifyddu lythyr a oedd yn ôl pob sôn gan Fanc Canolog Ffederasiwn Rwsia. Cliciodd y cyfrifydd ar y ddolen yn y llythyr a lawrlwytho'r glöwr WannaMine i'w peiriant. Fel y WannaCry drwg-enwog, fe fanteisiodd ar y bregusrwydd EternalBlue. Y peth mwyaf diddorol yw bod y rhan fwyaf o raglenni gwrthfeirws wedi gallu canfod ei lofnodion ers dechrau 2018. Ond p'un a oedd y gwrthfeirws wedi'i analluogi, nad oedd ei gronfeydd data wedi'u diweddaru, neu nad oedd y glöwr yno o gwbl - beth bynnag, roedd y glöwr eisoes ar y cyfrifiadur, ac nid oedd dim yn ei atal rhag lledaenu ymhellach ar draws y rhwydwaith, gan ddefnyddio adnoddau CPU. gweinyddwyr ac ARM ar 100%.
Ar ôl derbyn adroddiad ein tîm fforensig, sylweddolodd y cleient hwn fod y firws wedi treiddio i'w system drwy e-bost i ddechrau a lansiodd brosiect peilot i integreiddio gwasanaeth amddiffyn e-bost. Y peth cyntaf a ffurfiwyd gennym oedd meddalwedd gwrthfeirws e-bost. Roedd sganio meddalwedd faleisus yn parhau, a pherfformiwyd diweddariadau llofnod bob awr i ddechrau, ond yn ddiweddarach newidiodd y cleient i'r modd ddwywaith y dydd.
Rhaid rhoi haenau o amddiffyniad cynhwysfawr yn erbyn heintiau firysau. O ran firysau a drosglwyddir drwy e-bost, mae'n hanfodol hidlo negeseuon e-bost o'r fath wrth y pwynt mynediad, hyfforddi defnyddwyr i adnabod peirianneg gymdeithasol, ac yna dibynnu ar feddalwedd gwrthfeirws a blychau tywod.
Bob amser ar wyliadwriaeth
Wrth gwrs, dydyn ni ddim yn honni bod atebion Porth E-bost Diogel yn ateb i bob problem. Mae ymosodiadau wedi'u targedu, gan gynnwys gwe-rwydo gwaywffon, yn anodd iawn i'w hatal, gan fod pob ymosodiad wedi'i deilwra i dderbynnydd penodol (sefydliad neu unigolyn). Ond i gwmni sy'n ceisio sicrhau lefel sylfaenol o ddiogelwch, mae hwn yn gam arwyddocaol, yn enwedig gyda'r profiad a'r arbenigedd cywir yn cael eu rhoi ar waith i'r dasg.
Nid yw'r rhan fwyaf o ymosodiadau gwe-rwydo gwaywffon yn cynnwys atodiadau maleisus yng nghorff negeseuon e-bost, fel arall bydd systemau gwrth-sbam yn rhwystro'r e-bost ar unwaith cyn iddo gyrraedd y derbynnydd. Yn lle hynny, maent yn cynnwys dolenni i adnodd gwe wedi'i baratoi ymlaen llaw yng nghorff yr e-bost, ac yna mae'n fater syml. Mae'r defnyddiwr yn clicio ar y ddolen, ac yna, ar ôl sawl ailgyfeiriad, o fewn eiliadau, maent yn cyrraedd y ddolen olaf yn y gadwyn, sydd, pan gaiff ei hagor, yn lawrlwytho meddalwedd faleisus ar eu cyfrifiadur.
Yn fwy soffistigedig fyth: gall y ddolen fod yn ddiniwed pan dderbynnir yr e-bost, a dim ond ar ôl peth amser, pan fydd eisoes wedi'i sganio a'i brosesu, y bydd yn dechrau ailgyfeirio at ddrwgwedd. Yn anffodus, ni all arbenigwyr Solar JSOC, hyd yn oed gyda'u harbenigedd, ffurfweddu'r porth post i "weld" drwgwedd drwy'r gadwyn gyfan (er y gellir defnyddio amnewid awtomatig pob dolen mewn e-byst gyda SEG fel amddiffyniad, fel bod yr olaf yn sganio'r ddolen nid yn unig ar ôl ei chyflwyno, ond gyda phob clic).
Yn y cyfamser, gellir mynd i'r afael ag ailgyfeiriadau nodweddiadol hyd yn oed trwy gasglu sawl math o arbenigedd, gan gynnwys data o'n JSOC CERT ac OSINT. Mae hyn yn caniatáu inni greu rhestrau du helaeth a fydd yn rhwystro hyd yn oed negeseuon e-bost gydag ailgyfeiriadau lluosog.
Dim ond bricsen fach yn y wal y mae unrhyw sefydliad eisiau ei hadeiladu i amddiffyn ei asedau yw defnyddio SEG. Ond rhaid integreiddio'r gydran hon hyd yn oed yn iawn i'r darlun cyffredinol, oherwydd gellir troi hyd yn oed SEG, gyda'i ffurfweddu'n gywir, yn offeryn diogelwch llawn.
Ksenia Sadunina, ymgynghorydd yn yr adran cyn-werthu arbenigol ar gyfer cynhyrchion a gwasanaethau yn Solar JSOC
Ffynhonnell: hab.com
