Ενώ η μεγάλη Enterprise χτίζει εκτεταμένες αμφιβολίες από πιθανούς εσωτερικούς εισβολείς και χάκερ, το ηλεκτρονικό ψάρεμα και οι αποστολές ανεπιθύμητης αλληλογραφίας παραμένουν πονοκέφαλος για απλούστερες εταιρείες. Αν ο Marty McFly ήξερε ότι το 2015 (και ακόμη περισσότερο το 2020) οι άνθρωποι όχι μόνο δεν θα εφεύρουν τα hoverboard, αλλά δεν θα μάθαιναν καν να απαλλαγούν εντελώς από την ανεπιθύμητη αλληλογραφία, πιθανότατα θα έχανε την πίστη του στην ανθρωπότητα. Επιπλέον, το spam σήμερα δεν είναι μόνο ενοχλητικό, αλλά συχνά επιβλαβές. Στο 70% περίπου των εφαρμογών killchain, οι εγκληματίες του κυβερνοχώρου διεισδύουν στην υποδομή χρησιμοποιώντας κακόβουλο λογισμικό που περιέχεται στα συνημμένα ή μέσω συνδέσμων phishing σε μηνύματα ηλεκτρονικού ταχυδρομείου.
Πρόσφατα, υπήρξε μια σαφής τάση προς τη διάδοση της κοινωνικής μηχανικής ως τρόπο διείσδυσης στην υποδομή ενός οργανισμού. Συγκρίνοντας στατιστικά στοιχεία από το 2017 και το 2018, παρατηρούμε σχεδόν 50% αύξηση στον αριθμό των περιπτώσεων όπου κακόβουλο λογισμικό παραδόθηκε σε υπολογιστές εργαζομένων μέσω συνημμένων ή συνδέσμων phishing στο σώμα ενός μηνύματος ηλεκτρονικού ταχυδρομείου.
Σε γενικές γραμμές, ολόκληρο το φάσμα των απειλών που μπορούν να πραγματοποιηθούν με χρήση email μπορεί να χωριστεί σε διάφορες κατηγορίες:
- εισερχόμενα ανεπιθύμητα μηνύματα
- συμπερίληψη των υπολογιστών ενός οργανισμού σε ένα botnet που στέλνει εξερχόμενα ανεπιθύμητα μηνύματα
- κακόβουλα συνημμένα και ιοί στο σώμα της επιστολής (οι μικρές εταιρείες υποφέρουν συχνότερα από μαζικές επιθέσεις όπως η Petya).
Για προστασία από όλους τους τύπους επιθέσεων, μπορείτε είτε να αναπτύξετε πολλά συστήματα ασφάλειας πληροφοριών είτε να ακολουθήσετε τη διαδρομή ενός μοντέλου υπηρεσίας. Εμείς ήδη σχετικά με την Ενιαία Πλατφόρμα Υπηρεσιών Κυβερνοασφάλειας - τον πυρήνα του οικοσυστήματος υπηρεσιών κυβερνοασφάλειας που διαχειρίζεται το Solar MSS. Μεταξύ άλλων, περιλαμβάνει εικονικοποιημένη τεχνολογία Secure Email Gateway (SEG). Κατά κανόνα, μια συνδρομή σε αυτήν την υπηρεσία αγοράζεται από μικρές εταιρείες στις οποίες όλες οι λειτουργίες πληροφορικής και ασφάλειας πληροφοριών ανατίθενται σε ένα άτομο - τον διαχειριστή του συστήματος. Το ανεπιθύμητο περιεχόμενο είναι ένα πρόβλημα που είναι πάντα ορατό στους χρήστες και τη διαχείριση και δεν μπορεί να αγνοηθεί. Ωστόσο, με την πάροδο του χρόνου, ακόμη και η διαχείριση γίνεται σαφές ότι είναι αδύνατο να το "πέσει" απλά στον διαχειριστή του συστήματος - χρειάζεται πάρα πολύς χρόνος.
2 ώρες για ανάλυση αλληλογραφίας είναι λίγο πολλές
Ένας από τους λιανοπωλητές μας προσέγγισε με παρόμοια κατάσταση. Τα συστήματα παρακολούθησης χρόνου έδειξαν ότι καθημερινά οι υπάλληλοί του ξόδευαν περίπου το 25% του χρόνου εργασίας τους (2 ώρες!) για να τακτοποιήσουν το γραμματοκιβώτιο.
Έχοντας συνδέσει τον διακομιστή αλληλογραφίας του πελάτη, διαμορφώσαμε την παρουσία του SEG ως πύλη διπλής κατεύθυνσης τόσο για την εισερχόμενη όσο και για την εξερχόμενη αλληλογραφία. Ξεκινήσαμε το φιλτράρισμα σύμφωνα με προκαθορισμένες πολιτικές. Συγκεντρώσαμε τη μαύρη λίστα με βάση την ανάλυση των δεδομένων που παρέχονται από τον πελάτη και τις δικές μας λίστες με δυνητικά επικίνδυνες διευθύνσεις που ελήφθησαν από ειδικούς της Solar JSOC ως μέρος άλλων υπηρεσιών - για παράδειγμα, παρακολούθηση συμβάντων ασφάλειας πληροφοριών. Μετά από αυτό, όλη η αλληλογραφία παραδόθηκε στους παραλήπτες μόνο μετά τον καθαρισμό και διάφορες αποστολές ανεπιθύμητης αλληλογραφίας σχετικά με «μεγάλες εκπτώσεις» σταμάτησαν να εισρέουν στους διακομιστές αλληλογραφίας του πελάτη σε τόνους, ελευθερώνοντας χώρο για άλλες ανάγκες.
Ωστόσο, υπήρξαν περιπτώσεις όπου μια νόμιμη επιστολή ταξινομήθηκε κατά λάθος ως ανεπιθύμητη, για παράδειγμα, ότι ελήφθη από μη αξιόπιστο αποστολέα. Σε αυτή την περίπτωση δώσαμε το δικαίωμα απόφασης στον πελάτη. Δεν υπάρχουν πολλές επιλογές για το τι να κάνετε: διαγράψτε το αμέσως ή στείλτε το σε καραντίνα. Επιλέξαμε τη δεύτερη διαδρομή, στην οποία τέτοια ανεπιθύμητη αλληλογραφία αποθηκεύονται στο ίδιο το SEG. Παρέχαμε στον διαχειριστή του συστήματος πρόσβαση στην κονσόλα Ιστού, στην οποία μπορούσε να βρει μια σημαντική επιστολή ανά πάσα στιγμή, για παράδειγμα, από έναν αντισυμβαλλόμενο και να την προωθήσει στον χρήστη.
Απαλλαγή από τα παράσιτα
Η υπηρεσία προστασίας email περιλαμβάνει αναλυτικές αναφορές, σκοπός των οποίων είναι η παρακολούθηση της ασφάλειας της υποδομής και της αποτελεσματικότητας των ρυθμίσεων που χρησιμοποιούνται. Επιπλέον, αυτές οι αναφορές σάς επιτρέπουν να προβλέψετε τις τάσεις. Για παράδειγμα, βρίσκουμε την αντίστοιχη ενότητα "Ανεπιθύμητα από παραλήπτη" ή "Ανεπιθύμητα από αποστολέα" στην αναφορά και εξετάζουμε ποια διεύθυνση λαμβάνει τον μεγαλύτερο αριθμό αποκλεισμένων μηνυμάτων.
Ήταν κατά την ανάλυση μιας τέτοιας αναφοράς που ο απότομα αυξημένος συνολικός αριθμός επιστολών από έναν από τους πελάτες μας φαινόταν ύποπτος. Οι υποδομές του είναι μικρές, ο αριθμός των γραμμάτων μικρός. Και ξαφνικά, μετά από μια εργάσιμη ημέρα, ο αριθμός των αποκλεισμένων ανεπιθύμητων μηνυμάτων σχεδόν διπλασιάστηκε. Αποφασίσαμε να ρίξουμε μια πιο προσεκτική ματιά.
Βλέπουμε ότι ο αριθμός των εξερχόμενων επιστολών έχει αυξηθεί και όλες στο πεδίο «Αποστολέας» περιέχουν διευθύνσεις από έναν τομέα που είναι συνδεδεμένος με την υπηρεσία προστασίας αλληλογραφίας. Αλλά υπάρχει μια απόχρωση: ανάμεσα σε αρκετά λογικές, ίσως και υπάρχουσες, διευθύνσεις, υπάρχουν σαφώς παράξενες. Εξετάσαμε τις IP από τις οποίες στάλθηκαν οι επιστολές και, πολύ αναμενόμενο, αποδείχθηκε ότι δεν ανήκαν στον προστατευμένο χώρο διευθύνσεων. Προφανώς, ο εισβολέας έστελνε spam για λογαριασμό του πελάτη.
Σε αυτήν την περίπτωση, κάναμε συστάσεις στον πελάτη σχετικά με τον τρόπο σωστής διαμόρφωσης των εγγραφών DNS, και συγκεκριμένα του SPF. Ο ειδικός μας συμβούλεψε να δημιουργήσουμε μια εγγραφή TXT που θα περιέχει τον κανόνα "v=spf1 mx ip:1.2.3.4/23 -all", ο οποίος περιέχει μια εξαντλητική λίστα διευθύνσεων που επιτρέπεται να στέλνουν γράμματα για λογαριασμό του προστατευόμενου τομέα.
Στην πραγματικότητα, γιατί αυτό είναι σημαντικό: το spam για λογαριασμό μιας άγνωστης μικρής εταιρείας είναι δυσάρεστο, αλλά όχι κρίσιμο. Η κατάσταση είναι εντελώς διαφορετική, για παράδειγμα, στον τραπεζικό κλάδο. Σύμφωνα με τις παρατηρήσεις μας, το επίπεδο εμπιστοσύνης του θύματος σε ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος (phishing) αυξάνεται πολλές φορές εάν υποτίθεται ότι αποστέλλεται από τον τομέα άλλης τράπεζας ή αντισυμβαλλομένου που είναι γνωστός στο θύμα. Και αυτό δεν διακρίνει μόνο τους τραπεζικούς υπαλλήλους· σε άλλους κλάδους - για παράδειγμα, την ενέργεια - αντιμετωπίζουμε την ίδια τάση.
Σκοτώνει ιούς
Αλλά η πλαστογράφηση δεν είναι τόσο συχνό πρόβλημα όσο, για παράδειγμα, οι ιογενείς λοιμώξεις. Πώς καταπολεμάτε συχνότερα τις ιογενείς επιδημίες; Εγκαθιστούν ένα antivirus και ελπίζουν ότι «ο εχθρός δεν θα περάσει». Αλλά αν όλα ήταν τόσο απλά, τότε, δεδομένου του αρκετά χαμηλού κόστους των antivirus, όλοι θα είχαν ξεχάσει εδώ και πολύ καιρό το πρόβλημα του κακόβουλου λογισμικού. Εν τω μεταξύ, λαμβάνουμε συνεχώς αιτήματα από τη σειρά «βοηθήστε μας να επαναφέρουμε τα αρχεία, έχουμε κρυπτογραφήσει τα πάντα, η εργασία έχει σταματήσει, τα δεδομένα χάνονται». Δεν κουραζόμαστε ποτέ να επαναλαμβάνουμε στους πελάτες μας ότι το antivirus δεν είναι πανάκεια. Εκτός από το γεγονός ότι οι βάσεις δεδομένων προστασίας από ιούς ενδέχεται να μην ενημερώνονται αρκετά γρήγορα, συναντάμε συχνά κακόβουλο λογισμικό που μπορεί να παρακάμψει όχι μόνο τα anti-virus, αλλά και τα sandboxes.
Δυστυχώς, λίγοι απλοί υπάλληλοι οργανισμών γνωρίζουν το ηλεκτρονικό ψάρεμα και τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου και είναι σε θέση να τα διακρίνουν από την τακτική αλληλογραφία. Κατά μέσο όρο, κάθε 7ος χρήστης που δεν υποβάλλεται σε τακτική ευαισθητοποίηση υποκύπτει στην κοινωνική μηχανική: ανοίγοντας ένα μολυσμένο αρχείο ή στέλνοντας τα δεδομένα του σε εισβολείς.
Αν και ο κοινωνικός φορέας των επιθέσεων, γενικά, αυξάνεται σταδιακά, αυτή η τάση έγινε ιδιαίτερα αισθητή πέρυσι. Τα μηνύματα ηλεκτρονικού ψαρέματος έμοιαζαν όλο και περισσότερο με τακτικές αποστολές σχετικά με προσφορές, επερχόμενες εκδηλώσεις κ.λπ. Εδώ μπορούμε να θυμηθούμε την επίθεση Silence στον χρηματοπιστωτικό τομέα - οι τραπεζικοί υπάλληλοι έλαβαν μια επιστολή φερόμενη με κωδικό προσφοράς για συμμετοχή στο δημοφιλές βιομηχανικό συνέδριο iFin και το ποσοστό όσων υπέκυψαν στο κόλπο ήταν πολύ υψηλό, αν και, ας θυμηθούμε , μιλάμε για τον τραπεζικό κλάδο - τον πιο προηγμένο σε θέματα ασφάλειας πληροφοριών.
Πριν από την περασμένη Πρωτοχρονιά, παρατηρήσαμε επίσης αρκετές περίεργες καταστάσεις, όταν υπάλληλοι βιομηχανικών εταιρειών έλαβαν πολύ υψηλής ποιότητας επιστολές phishing με μια «λίστα» με τις προσφορές της Πρωτοχρονιάς σε δημοφιλή ηλεκτρονικά καταστήματα και με κωδικούς προσφοράς για εκπτώσεις. Οι εργαζόμενοι όχι μόνο προσπάθησαν να ακολουθήσουν οι ίδιοι τον σύνδεσμο, αλλά και διαβίβασαν την επιστολή σε συναδέλφους από σχετικούς οργανισμούς. Δεδομένου ότι ο πόρος στον οποίο οδηγούσε ο σύνδεσμος στο email ηλεκτρονικού ψαρέματος ήταν αποκλεισμένος, οι εργαζόμενοι άρχισαν μαζικά να υποβάλλουν αιτήματα στην υπηρεσία πληροφορικής για την παροχή πρόσβασης σε αυτήν. Γενικά, η επιτυχία της αποστολής πρέπει να ξεπέρασε όλες τις προσδοκίες των επιτιθέμενων.
Και πρόσφατα μια εταιρεία που είχε «κρυπτογραφηθεί» στράφηκε σε εμάς για βοήθεια. Όλα ξεκίνησαν όταν οι υπάλληλοι της λογιστικής έλαβαν μια επιστολή σύμφωνα με τους ισχυρισμούς από την Κεντρική Τράπεζα της Ρωσικής Ομοσπονδίας. Ο λογιστής έκανε κλικ στον σύνδεσμο στην επιστολή και κατέβασε το WannaMine miner στο μηχάνημά του, το οποίο, όπως το περίφημο WannaCry, εκμεταλλεύτηκε την ευπάθεια του EternalBlue. Το πιο ενδιαφέρον είναι ότι τα περισσότερα προγράμματα προστασίας από ιούς μπόρεσαν να εντοπίσουν τις υπογραφές του από τις αρχές του 2018. Αλλά, είτε το πρόγραμμα προστασίας από ιούς ήταν απενεργοποιημένο, είτε οι βάσεις δεδομένων δεν ενημερώθηκαν, είτε δεν υπήρχε καθόλου - σε κάθε περίπτωση, το miner ήταν ήδη στον υπολογιστή και τίποτα δεν τον εμπόδιζε να εξαπλωθεί περαιτέρω στο δίκτυο, φορτώνοντας τους διακομιστές». CPU και σταθμοί εργασίας στο 100%.
Αυτός ο πελάτης, έχοντας λάβει μια αναφορά από την ομάδα ιατροδικαστών μας, είδε ότι ο ιός τον διείσδυσε αρχικά μέσω email και ξεκίνησε ένα πιλοτικό έργο για τη σύνδεση μιας υπηρεσίας προστασίας email. Το πρώτο πράγμα που δημιουργήσαμε ήταν ένα πρόγραμμα προστασίας από ιούς ηλεκτρονικού ταχυδρομείου. Ταυτόχρονα, η σάρωση για κακόβουλο λογισμικό πραγματοποιείται συνεχώς και οι ενημερώσεις υπογραφής πραγματοποιούνταν αρχικά κάθε ώρα και στη συνέχεια ο πελάτης άλλαξε σε δύο φορές την ημέρα.
Πρέπει να υπάρχει πλήρης προστασία από ιογενείς λοιμώξεις. Αν μιλάμε για τη μετάδοση ιών μέσω email, τότε είναι απαραίτητο να φιλτράρουμε τέτοια γράμματα στην είσοδο, να εκπαιδεύσουμε τους χρήστες να αναγνωρίζουν την κοινωνική μηχανική και στη συνέχεια να βασίζονται σε antivirus και sandboxes.
σε ΣΕΓδα σε φρουρά
Φυσικά, δεν ισχυριζόμαστε ότι οι λύσεις Secure Email Gateway είναι πανάκεια. Οι στοχευμένες επιθέσεις, συμπεριλαμβανομένου του spear phishing, είναι εξαιρετικά δύσκολο να αποφευχθούν επειδή... Κάθε τέτοια επίθεση είναι «προσαρμοσμένη» για έναν συγκεκριμένο παραλήπτη (οργανισμό ή άτομο). Αλλά για μια εταιρεία που προσπαθεί να προσφέρει ένα βασικό επίπεδο ασφάλειας, αυτό είναι πολύ, ειδικά με τη σωστή εμπειρία και τεχνογνωσία που εφαρμόζεται στην εργασία.
Τις περισσότερες φορές, όταν εκτελείται ψάρεμα με δόρυ, τα κακόβουλα συνημμένα δεν περιλαμβάνονται στο σώμα των γραμμάτων, διαφορετικά το σύστημα antispam θα μπλοκάρει αμέσως ένα τέτοιο γράμμα στο δρόμο του προς τον παραλήπτη. Αλλά περιλαμβάνουν συνδέσμους σε έναν προπαρασκευασμένο πόρο Ιστού στο κείμενο της επιστολής, και τότε είναι μικρό θέμα. Ο χρήστης ακολουθεί τον σύνδεσμο και, στη συνέχεια, μετά από πολλές ανακατευθύνσεις σε λίγα δευτερόλεπτα καταλήγει στην τελευταία σε ολόκληρη την αλυσίδα, το άνοιγμα της οποίας θα κατεβάσει κακόβουλο λογισμικό στον υπολογιστή του.
Ακόμη πιο περίπλοκο: τη στιγμή που λαμβάνετε την επιστολή, ο σύνδεσμος μπορεί να είναι ακίνδυνος και μόνο μετά από κάποιο χρονικό διάστημα, όταν έχει ήδη σαρωθεί και παραλειφθεί, θα αρχίσει να ανακατευθύνεται σε κακόβουλο λογισμικό. Δυστυχώς, οι ειδικοί της Solar JSOC, ακόμη και λαμβάνοντας υπόψη τις ικανότητές τους, δεν θα μπορούν να διαμορφώσουν την πύλη αλληλογραφίας έτσι ώστε να «βλέπουν» κακόβουλο λογισμικό σε ολόκληρη την αλυσίδα (αν και, ως προστασία, μπορείτε να χρησιμοποιήσετε την αυτόματη αντικατάσταση όλων των συνδέσμων με γράμματα στη SEG, έτσι ώστε η τελευταία να σαρώνει τον σύνδεσμο όχι μόνο τη στιγμή της παράδοσης της επιστολής, αλλά και σε κάθε μετάβαση).
Εν τω μεταξύ, ακόμη και μια τυπική ανακατεύθυνση μπορεί να αντιμετωπιστεί με τη συγκέντρωση πολλών τύπων εμπειρογνωμοσύνης, συμπεριλαμβανομένων των δεδομένων που λαμβάνονται από το JSOC CERT και το OSINT. Αυτό σας επιτρέπει να δημιουργήσετε εκτεταμένες μαύρες λίστες, βάσει των οποίων θα αποκλειστεί ακόμη και ένα γράμμα με πολλαπλή προώθηση.
Η χρήση του SEG είναι απλώς ένα μικρό τούβλο στον τοίχο που κάθε οργανισμός θέλει να χτίσει για να προστατεύσει τα περιουσιακά του στοιχεία. Αλλά αυτός ο σύνδεσμος πρέπει επίσης να ενσωματωθεί σωστά στη συνολική εικόνα, επειδή ακόμη και το SEG, με την κατάλληλη διαμόρφωση, μπορεί να μετατραπεί σε ένα πλήρες μέσο προστασίας.
Ksenia Sadunina, σύμβουλος του ειδικού τμήματος προπώλησης προϊόντων και υπηρεσιών Solar JSOC
Πηγή: www.habr.com