Mens den store virksomhed opbygger gentagende skanser fra potentielle interne angribere og hackere, forbliver phishing- og spam-mails en hovedpine for enklere virksomheder. Hvis Marty McFly vidste, at folk i 2015 (og endnu mere i 2020) ikke blot ikke ville opfinde hoverboards, men ikke engang ville lære helt at slippe af med junkmail, ville han sandsynligvis miste troen på menneskeheden. Desuden er spam i dag ikke kun irriterende, men ofte skadeligt. I cirka 70 % af killchain-implementeringerne trænger cyberkriminelle ind i infrastrukturen ved hjælp af malware indeholdt i vedhæftede filer eller gennem phishing-links i e-mails.
For nylig har der været en klar tendens til udbredelsen af social engineering som en måde at trænge ind i en organisations infrastruktur. Sammenligner vi statistik fra 2017 og 2018, ser vi en stigning på næsten 50 % i antallet af tilfælde, hvor malware blev leveret til medarbejdernes computere gennem vedhæftede filer eller phishing-links i brødteksten af en e-mail.
Generelt kan hele rækken af trusler, der kan udføres ved hjælp af e-mail, opdeles i flere kategorier:
- indgående spam
- inklusion af en organisations computere i et botnet, der sender udgående spam
- ondsindede vedhæftede filer og vira i selve brevet (små virksomheder lider oftest af massive angreb som Petya).
For at beskytte mod alle typer angreb kan du enten implementere flere informationssikkerhedssystemer eller følge stien til en servicemodel. Vi allerede om Unified Cybersecurity Services Platform - kernen i Solar MSS-administrerede cybersikkerhedstjenester-økosystemet. Det omfatter blandt andet virtualiseret Secure Email Gateway (SEG) teknologi. Som regel købes et abonnement på denne service af små virksomheder, hvor alle IT- og informationssikkerhedsfunktioner er tildelt én person - systemadministratoren. Spam er et problem, der altid er synligt for brugere og ledelse, og det kan ikke ignoreres. Men med tiden bliver selv ledelsen klart, at det er umuligt blot at "slippe" det til systemadministratoren - det tager for meget tid.
2 timer til at parse mail er lidt meget
En af forhandlerne henvendte sig til os med en lignende situation. Tidsregistreringssystemer viste, at hans medarbejdere hver dag brugte omkring 25 % af deres arbejdstid (2 timer!) på at sortere postkassen.
Efter at have tilsluttet kundens mailserver, konfigurerede vi SEG-instansen som en to-vejs gateway for både indgående og udgående mail. Vi begyndte at filtrere i henhold til på forhånd fastlagte politikker. Vi kompilerede sortlisten baseret på en analyse af data leveret af kunden og vores egne lister over potentielt farlige adresser opnået af Solar JSOC-eksperter som en del af andre tjenester - for eksempel overvågning af informationssikkerhedshændelser. Derefter blev al post leveret til modtagerne først efter rengøring, og diverse spam-mails om "store rabatter" holdt op med at strømme ind på kundens mailservere i tonsvis, hvilket frigjorde plads til andre behov.
Men der har været situationer, hvor et legitimt brev fejlagtigt blev klassificeret som spam, for eksempel som modtaget fra en afsender, der ikke er tillid til. I dette tilfælde gav vi beslutningsretten til kunden. Der er ikke mange muligheder for, hvad man skal gøre: slet det med det samme eller send det i karantæne. Vi valgte den anden vej, hvor sådan uønsket post gemmes på selve SEG'en. Vi gav systemadministratoren adgang til webkonsollen, hvor han til enhver tid kunne finde et vigtigt brev, for eksempel fra en modpart, og videresende det til brugeren.
At slippe af med parasitter
E-mail-beskyttelsestjenesten omfatter analytiske rapporter, hvis formål er at overvåge infrastrukturens sikkerhed og effektiviteten af de anvendte indstillinger. Derudover giver disse rapporter dig mulighed for at forudsige tendenser. For eksempel finder vi det tilsvarende afsnit "Spam efter modtager" eller "Spam af afsender" i rapporten og ser på, hvis adresse modtager det største antal blokerede beskeder.
Det var under analyse af en sådan rapport, at det stærkt øgede samlede antal breve fra en af kunderne virkede mistænkeligt for os. Dens infrastruktur er lille, antallet af bogstaver er lavt. Og pludselig, efter en arbejdsdag, blev mængden af blokeret spam næsten fordoblet. Vi besluttede at kigge nærmere.
Vi ser, at antallet af udgående breve er steget, og alle i feltet "Afsender" indeholder adresser fra et domæne, der er forbundet med postbeskyttelsestjenesten. Men der er én nuance: Blandt ganske fornuftige, måske endda eksisterende, adresser er der tydeligt mærkelige. Vi kiggede på de IP'er, hvorfra brevene blev sendt, og ganske forventet viste det sig, at de ikke tilhørte det beskyttede adresseområde. Det er klart, at angriberen sendte spam på vegne af kunden.
I dette tilfælde lavede vi anbefalinger til kunden om, hvordan man korrekt konfigurerer DNS-poster, specifikt SPF. Vores specialist rådede os til at oprette en TXT-record indeholdende reglen "v=spf1 mx ip:1.2.3.4/23 -all", som indeholder en udtømmende liste over adresser, som har tilladelse til at sende breve på vegne af det beskyttede domæne.
Faktisk, hvorfor dette er vigtigt: Spam på vegne af en ukendt lille virksomhed er ubehagelig, men ikke kritisk. Helt anderledes er situationen for eksempel i bankbranchen. Ifølge vores observationer stiger ofrets tillid til en phishing-e-mail mange gange, hvis den angiveligt sendes fra domænet af en anden bank eller en modpart, som offeret kender. Og det kendetegner ikke kun bankansatte; i andre brancher - f.eks. energisektoren - står vi over for samme tendens.
Dræber vira
Men spoofing er ikke et så almindeligt problem som for eksempel virusinfektioner. Hvordan bekæmper du oftest virale epidemier? De installerer et antivirus og håber, at "fjenden ikke kommer igennem." Men hvis alt var så enkelt, ville alle, i betragtning af de forholdsvis lave omkostninger ved antivirus, for længst have glemt problemet med malware. I mellemtiden modtager vi konstant anmodninger fra serien "hjælp os med at gendanne filerne, vi har krypteret alt, arbejdet er gået i stå, dataene går tabt." Vi bliver aldrig trætte af at gentage over for vores kunder, at antivirus ikke er et vidundermiddel. Ud over at antivirusdatabaser måske ikke bliver opdateret hurtigt nok, støder vi ofte på malware, der kan omgå ikke kun antivirus, men også sandkasser.
Desværre er det få almindelige medarbejdere i organisationer, der er opmærksomme på phishing og ondsindede e-mails og er i stand til at skelne dem fra almindelig korrespondance. I gennemsnit bukker hver 7. bruger, der ikke gennemgår regelmæssig opmærksomhedsskabelse, under for social engineering: åbne en inficeret fil eller sende deres data til angribere.
Selvom den sociale vektor af angreb generelt har været gradvist stigende, er denne tendens blevet særligt mærkbar sidste år. Phishing-e-mails blev mere og mere lig almindelige mails om kampagner, kommende begivenheder osv. Her kan vi huske Silence-angrebet på finanssektoren - bankansatte modtog et brev angiveligt med en salgsfremmende kode for deltagelse i den populære industrikonference iFin, og procentdelen af dem, der bukkede under for tricket, var meget høj, selvom, lad os huske , vi taler om banksektoren - den mest avancerede i spørgsmål om informationssikkerhed.
Inden sidste nytår observerede vi også flere ret besynderlige situationer, hvor ansatte i industrivirksomheder modtog phishing-breve af meget høj kvalitet med en "liste" over nytårskampagner i populære netbutikker og med kampagnekoder for rabatter. Medarbejdere forsøgte ikke kun selv at følge linket, men sendte også brevet videre til kolleger fra relaterede organisationer. Da ressourcen, som linket i phishing-mailen førte til, blev blokeret, begyndte medarbejderne i massevis at sende anmodninger til it-tjenesten om at give adgang til den. Generelt må succesen med forsendelsen have oversteget alle angribernes forventninger.
Og for nylig henvendte et firma, der var blevet "krypteret", til os for at få hjælp. Det hele startede, da regnskabsmedarbejdere modtog et brev angiveligt fra Den Russiske Føderations centralbank. Revisoren klikkede på linket i brevet og downloadede WannaMine-minearbejderen på sin maskine, der ligesom den berømte WannaCry udnyttede EternalBlue-sårbarheden. Det mest interessante er, at de fleste antivirus har været i stand til at opdage dets signaturer siden begyndelsen af 2018. Men enten var antivirusprogrammet deaktiveret, eller databaserne blev ikke opdateret, eller det var der slet ikke - under alle omstændigheder var minearbejderen allerede på computeren, og intet forhindrede den i at sprede sig videre over netværket og indlæse serverne' CPU og arbejdsstationer på 100 %.
Denne kunde, efter at have modtaget en rapport fra vores retsmedicinske team, så, at virussen oprindeligt trængte ind i ham via e-mail, og lancerede et pilotprojekt for at forbinde en e-mail-beskyttelsestjeneste. Det første, vi satte op, var et e-mail-antivirus. Samtidig bliver der konstant scannet for malware, og signaturopdateringer blev i første omgang udført hver time, hvorefter kunden skiftede til to gange dagligt.
Fuld beskyttelse mod virusinfektioner skal være lagdelt. Hvis vi taler om transmission af vira via e-mail, så er det nødvendigt at filtrere sådanne bogstaver fra ved indgangen, træne brugere til at genkende social engineering og derefter stole på antivirus og sandkasser.
i SEGda på vagt
Vi påstår selvfølgelig ikke, at Secure Email Gateway-løsninger er et vidundermiddel. Målrettede angreb, herunder spyd-phishing, er ekstremt vanskelige at forhindre, fordi... Hvert sådant angreb er "skræddersyet" til en specifik modtager (organisation eller person). Men for en virksomhed, der forsøger at levere et grundlæggende sikkerhedsniveau, er dette meget, især med den rigtige erfaring og ekspertise anvendt til opgaven.
Oftest, når spear phishing udføres, er ondsindede vedhæftede filer ikke inkluderet i brevets brødtekst, ellers vil antispamsystemet straks blokere et sådant brev på vej til modtageren. Men de inkluderer links til en på forhånd forberedt webressource i brevets tekst, og så er det en lille sag. Brugeren følger linket og ender så efter flere omdirigeringer i løbet af få sekunder på den sidste i hele kæden, hvis åbning vil downloade malware til hans computer.
Endnu mere sofistikeret: i det øjeblik, du modtager brevet, kan linket være harmløst, og først efter et stykke tid, når det allerede er blevet scannet og sprunget over, vil det begynde at omdirigere til malware. Desværre vil Solar JSOC-specialister, selv under hensyntagen til deres kompetencer, ikke være i stand til at konfigurere mail-gatewayen for at "se" malware gennem hele kæden (selvom du som beskyttelse kan bruge den automatiske udskiftning af alle links i bogstaver til SEG, så sidstnævnte scanner linket ikke kun på tidspunktet for leveringen af brevet og ved hver overgang).
I mellemtiden kan selv en typisk omdirigering håndteres ved sammenlægning af flere typer ekspertise, herunder data opnået af vores JSOC CERT og OSINT. Dette giver dig mulighed for at oprette udvidede sorte lister, baseret på hvilke selv et brev med flere videresendelser vil blive blokeret.
At bruge SEG er blot en lille mursten i muren, som enhver organisation ønsker at bygge for at beskytte sine aktiver. Men dette link skal også integreres korrekt i det overordnede billede, fordi selv SEG, med korrekt konfiguration, kan gøres til et fuldgyldigt beskyttelsesmiddel.
Ksenia Sadunina, konsulent for ekspertforsalgsafdelingen for Solar JSOC-produkter og -tjenester
Kilde: www.habr.com