Dum la granda Entrepreno konstruas trejnajn redutojn de eblaj internaj atakantoj kaj retpiratoj, phishing kaj spam-sendaĵoj restas kapdoloro por pli simplaj kompanioj. Se Marty McFly scius, ke en 2015 (kaj eĉ pli en 2020) homoj ne nur ne inventus ŝvebtabulojn, sed eĉ ne lernus tute forigi rubpoŝton, li verŝajne perdus fidon al la homaro. Plie, spamo hodiaŭ ne nur ĝenas, sed ofte malutilas. En proksimume 70% de killchain efektivigoj, ciberkrimuloj penetras la infrastrukturon uzante malware enhavita en aldonaĵoj aŭ tra phishing ligiloj en retpoŝtoj.
Lastatempe, ekzistas klara tendenco al la disvastiĝo de socia inĝenierado kiel maniero penetri la infrastrukturon de organizo. Komparante statistikojn de 2017 kaj 2018, ni vidas preskaŭ 50% pliiĝon en la nombro da kazoj kie malware estis liverita al dungitaj komputiloj per aldonaĵoj aŭ phishing-ligiloj en la korpo de retpoŝto.
Ĝenerale, la tuta gamo da minacoj, kiuj povas esti efektivigitaj per retpoŝto, povas esti dividita en plurajn kategoriojn:
- envenanta spamo
- inkludo de la komputiloj de organizo en botreto kiu sendas elirantan spamon
- malicaj aldonaĵoj kaj virusoj en la korpo de la letero (malgrandaj kompanioj plej ofte suferas de amasaj atakoj kiel Petya).
Por protekti kontraŭ ĉiuj specoj de atakoj, vi povas aŭ deploji plurajn informajn sekurecsistemojn, aŭ sekvi la vojon de servomodelo. Ni jam pri la Unified Cybersecurity Services Platform - la kerno de la Suna MSS administrita cibersekureca ekosistemo. Interalie, ĝi inkluzivas virtualigitan Secure Email Gateway (SEG) teknologion. Ĝenerale, abono al ĉi tiu servo estas aĉetata de malgrandaj kompanioj, en kiuj ĉiuj funkcioj pri IT kaj informa sekureco estas asignitaj al unu persono - la sistemadministranto. Spamo estas problemo, kiu ĉiam videblas por uzantoj kaj administrado, kaj ĝi ne povas esti ignorita. Tamen, kun la tempo, eĉ la administrado evidentiĝas, ke estas neeble simple "faligi" ĝin al la sistema administranto - necesas tro da tempo.
2 horoj por analizi poŝton estas iom multe
Unu el la komercistoj kontaktis nin kun simila situacio. Tempo-spuraj sistemoj montris, ke ĉiutage liaj dungitoj elspezis ĉirkaŭ 25% de sia labortempo (2 horoj!) por ordigi la leterkeston.
Konektinte la poŝtservilon de la kliento, ni agordis la SEG-instancon kiel dudirektan enirejon por kaj envenanta kaj eliranta poŝto. Ni komencis filtri laŭ antaŭestablitaj politikoj. Ni kompilis la Nigran Liston surbaze de analizo de la datumoj provizitaj de la kliento kaj niaj propraj listoj de potenciale danĝeraj adresoj akiritaj de Solar JSOC-fakuloj kiel parto de aliaj servoj - ekzemple, monitorado de informaj sekurecaj okazaĵoj. Post tio, ĉiuj poŝtaĵoj estis liveritaj al ricevantoj nur post purigado, kaj diversaj spam-mesaĝoj pri "grandaj rabatoj" ĉesis verŝi en la poŝtservilojn de la kliento en tunoj, liberigante spacon por aliaj bezonoj.
Sed estis situacioj kiam legitima letero estis erare klasifikita kiel spamo, ekzemple, kiel ricevita de nefidinda sendinto. En ĉi tiu kazo, ni donis la rajton de decido al la kliento. Ne estas multaj ebloj pri tio, kion fari: tuj forigu ĝin aŭ sendu ĝin al kvaranteno. Ni elektis la duan vojon, en kiu tia rubpoŝto estas konservita sur la SEG mem. Ni disponigis al la sistemadministranto aliron al la retkonzolo, en kiu li povis trovi gravan leteron iam ajn, ekzemple de kontraŭpartio, kaj plusendi ĝin al la uzanto.
Forigi parazitojn
La retpoŝta protektoservo inkluzivas analizajn raportojn, kies celo estas kontroli la sekurecon de la infrastrukturo kaj la efikecon de la uzataj agordoj. Krome, ĉi tiuj raportoj permesas antaŭdiri tendencojn. Ekzemple, ni trovas la respondan sekcion "Spamo de Ricevanto" aŭ "Spamo de Sendanto" en la raporto kaj rigardas kies adreso ricevas la plej grandan nombron da blokitaj mesaĝoj.
Ĝuste analizante tian raporton, la akre pliigita totala nombro da leteroj de unu el la klientoj ŝajnis al ni suspektinda. Ĝia infrastrukturo estas malgranda, la nombro da literoj estas malalta. Kaj subite, post labortago, la kvanto de blokita spamo preskaŭ duobliĝis. Ni decidis rigardi pli detale.
Ni vidas, ke la nombro da elirantaj leteroj pliiĝis, kaj ĉiuj ili en la kampo "Sendanto" enhavas adresojn de domajno, kiu estas konektita al la poŝtprotekta servo. Sed estas unu nuanco: inter tute prudentaj, eble eĉ ekzistantaj, adresoj, estas klare strangaj. Ni rigardis la IP-ojn, de kiuj la leteroj estis senditaj, kaj, tute atendite, montriĝis, ke ili ne apartenas al la protektita adresspaco. Evidente, la atakanto sendis spamon nome de la kliento.
En ĉi tiu kazo, ni faris rekomendojn por la kliento pri kiel ĝuste agordi DNS-rekordojn, specife SPF. Nia specialisto konsilis al ni krei TXT-rekordon enhavantan la regulon “v=spf1 mx ip:1.2.3.4/23 -all”, kiu enhavas ĝisfundan liston de adresoj, kiuj rajtas sendi leterojn nome de la protektita domajno.
Fakte, kial ĉi tio estas grava: spamado nome de nekonata malgranda kompanio estas malagrabla, sed ne kritika. La situacio estas tute alia, ekzemple, en la bankindustrio. Laŭ niaj observoj, la nivelo de fido de la viktimo en retpoŝto de phishing multfoje pliiĝas se ĝi estas supozeble sendita de la domajno de alia banko aŭ kontraŭpartio konata de la viktimo. Kaj tio distingas ne nur bankoficistojn; en aliaj industrioj - la energisektoro ekzemple - ni estas antaŭ la sama tendenco.
Mortigi virusojn
Sed parodiado ne estas tiel ofta problemo kiel, ekzemple, virusaj infektoj. Kiel vi plej ofte batalas kontraŭ virusaj epidemioj? Ili instalas antiviruson kaj esperas, ke "la malamiko ne trairos." Sed se ĉio estus tiel simpla, do, konsiderante la sufiĉe malaltan koston de antivirusoj, ĉiuj antaŭ longe forgesus pri la problemo de malware. Dume, ni konstante ricevas petojn de la serio "helpu nin restarigi la dosierojn, ni ĉifris ĉion, la laboro estas haltigita, la datumoj perdiĝas." Ni neniam laciĝas ripeti al niaj klientoj, ke antiviruso ne estas panaceo. Krom la fakto, ke kontraŭvirusaj datumbazoj eble ne sufiĉe rapide ĝisdatiĝas, ni ofte renkontas malware, kiuj povas preteriri ne nur kontraŭvirusojn, sed ankaŭ sabloketojn.
Bedaŭrinde, malmultaj ordinaraj dungitoj de organizoj konscias pri phishing kaj malicaj retpoŝtoj kaj kapablas distingi ilin de regula korespondado. Averaĝe ĉiu 7-a uzanto, kiu ne spertas regulan konsciiĝon, venkiĝas al socia inĝenierado: malfermante infektitan dosieron aŭ sendas siajn datumojn al atakantoj.
Kvankam la socia vektoro de atakoj, ĝenerale, iom post iom pliiĝis, ĉi tiu tendenco fariĝis precipe rimarkinda pasintjare. Phishing-retpoŝtoj fariĝis pli kaj pli similaj al regulaj dissendoj pri reklamoj, venontaj eventoj ktp. Ĉi tie ni povas rememori la Silence-atakon kontraŭ la financa sektoro - bankaj dungitoj ricevis leteron supozeble kun varba kodo por partopreno en la populara industria konferenco iFin, kaj la procento de tiuj, kiuj venkiĝis al la truko estis tre alta, kvankam ni memoru. , ni parolas pri la banka industrio - la plej progresinta en aferoj de informa sekureco.
Antaŭ la lasta Novjaro, ni ankaŭ observis plurajn sufiĉe scivolajn situaciojn, kiam dungitoj de industriaj kompanioj ricevis tre altkvalitajn phishing-leterojn kun "listo" de novjaraj promocioj en popularaj interretaj vendejoj kaj kun reklamaj kodoj por rabatoj. Dungitoj ne nur provis sekvi la ligilon mem, sed ankaŭ plusendis la leteron al kolegoj de rilataj organizaĵoj. Ĉar la rimedo, al kiu gvidis la ligo en la retpoŝto de phishing, estis blokita, dungitoj komencis amase sendi petojn al la IT-servo por havigi aliron al ĝi. Ĝenerale, la sukceso de la dissendo devas superi ĉiujn atendojn de la atakantoj.
Kaj lastatempe firmao kiu estis "ĉifrita" turnis nin por helpo. Ĉio komenciĝis kiam kontadaj dungitoj ricevis leteron supozeble de la Centra Banko de la Rusa Federacio. La librotenisto klakis sur la ligilon en la letero kaj elŝutis la ministon WannaMine sur sian maŝinon, kiu, kiel la fama WannaCry, ekspluatis la vundeblecon EternalBlue. La plej interesa afero estas, ke la plej multaj antivirusoj povis detekti ĝiajn subskribojn ekde la komenco de 2018. Sed, aŭ la antiviruso estis malŝaltita, aŭ la datumbazoj ne estis ĝisdatigitaj, aŭ ĝi tute ne estis tie - ĉiukaze, la ministo jam estis en la komputilo, kaj nenio malhelpis ĝin disvastigi plu tra la reto, ŝarĝante la servilojn. CPU kaj laborstacioj je 100%.
Ĉi tiu kliento, ricevinte raporton de nia jurmedicina teamo, vidis, ke la viruso komence penetris lin per retpoŝto, kaj lanĉis pilotprojekton por konekti retpoŝtan protektoservon. La unua afero, kiun ni starigis, estis retpoŝta antiviruso. Samtempe, skanado por malware estas farata konstante, kaj subskribaj ĝisdatigoj estis komence efektivigitaj ĉiun horon, kaj tiam la kliento ŝanĝis al dufoje tage.
Plena protekto kontraŭ virusaj infektoj devas esti tavoligita. Se ni parolas pri transdono de virusoj per retpoŝto, tiam necesas filtri tiajn leterojn ĉe la enirejo, trejni uzantojn por rekoni socian inĝenieristikon, kaj poste fidi antivirusojn kaj sabloskatolojn.
en SEGda garde
Kompreneble, ni ne asertas, ke Secure Email Gateway-solvoj estas panaceo. Celitaj atakoj, inkluzive de lanco-fiŝkaptado, estas ekstreme malfacile malhelpi ĉar... Ĉiu tia atako estas "tajlorita" por specifa ricevanto (organizo aŭ persono). Sed por firmao provanta provizi bazan nivelon de sekureco, ĉi tio estas multe, precipe kun la ĝusta sperto kaj kompetenteco aplikata al la tasko.
Plej ofte, kiam spear phishing estas farata, malicaj aldonaĵoj ne estas inkluzivitaj en la korpo de leteroj, alie la kontraŭspama sistemo tuj blokos tian leteron survoje al la ricevanto. Sed ili inkluzivas ligilojn al antaŭpreparita TTT-rimedo en la teksto de la letero, kaj tiam ĝi estas malgranda afero. La uzanto sekvas la ligilon, kaj poste post pluraj alidirektiloj en demando de sekundoj finiĝas sur la lasta en la tuta ĉeno, kies malfermo elŝutos malware sur sia komputilo.
Eĉ pli kompleksa: en la momento, kiam vi ricevas la leteron, la ligilo povas esti sendanĝera kaj nur post iom da tempo, kiam ĝi jam estas skanita kaj preterlasita, ĝi komencos redirekti al malware. Bedaŭrinde, Sunaj JSOC-specialistoj, eĉ konsiderante siajn kompetentecojn, ne povos agordi la poŝtan enirejon por "vidi" malware tra la tuta ĉeno (kvankam, kiel protekto, vi povas uzi la aŭtomatan anstataŭigon de ĉiuj ligiloj en literoj). al SEG, por ke ĉi tiu skanu la ligilon ne nur en la momento de transdono de la letero, kaj ĉe ĉiu transiro).
Dume, eĉ tipa alidirektilo povas esti traktita per la agregado de pluraj specoj de kompetenteco, inkluzive de datumoj akiritaj de niaj JSOC CERT kaj OSINT. Ĉi tio permesas krei plilongigitajn nigrajn listojn, surbaze de kiuj eĉ letero kun multobla plusendado estos blokita.
Uzi SEG estas nur malgranda briko en la muro, kiun iu ajn organizo volas konstrui por protekti siajn aktivaĵojn. Sed ĉi tiu ligo ankaŭ devas esti ĝuste integrita en la ĝeneralan bildon, ĉar eĉ SEG, kun taŭga agordo, povas esti transformita en plenrajtan rimedon de protekto.
Ksenia Sadunina, konsultisto de la faka antaŭvenda fako de Sunaj JSOC-produktoj kaj servoj
fonto: www.habr.com