Mientras que las grandes empresas están construyendo reductos escalonados frente a posibles atacantes internos y piratas informáticos, el phishing y los correos spam siguen siendo un dolor de cabeza para las empresas más simples. Si Marty McFly supiera que en 2015 (y más aún en 2020) la gente no sólo no inventaría los hoverboards, sino que ni siquiera aprendería a deshacerse por completo del correo basura, probablemente perdería la fe en la humanidad. Además, hoy en día el spam no sólo es molesto, sino a menudo perjudicial. En aproximadamente el 70% de las implementaciones de Killchain, los ciberdelincuentes penetran la infraestructura utilizando malware contenido en archivos adjuntos o mediante enlaces de phishing en correos electrónicos.
Recientemente, ha habido una clara tendencia hacia la difusión de la ingeniería social como una forma de penetrar la infraestructura de una organización. Al comparar las estadísticas de 2017 y 2018, vemos un aumento de casi el 50 % en la cantidad de casos en los que se entregó malware a las computadoras de los empleados a través de archivos adjuntos o enlaces de phishing en el cuerpo de un correo electrónico.
En general, toda la gama de amenazas que se pueden llevar a cabo mediante el correo electrónico se puede dividir en varias categorías:
- spam entrante
- inclusión de las computadoras de una organización en una botnet que envía spam saliente
- archivos adjuntos maliciosos y virus en el cuerpo de la carta (las pequeñas empresas suelen sufrir ataques masivos como Petya).
Para protegerse contra todo tipo de ataques, puede implementar varios sistemas de seguridad de la información o seguir el camino de un modelo de servicio. Nosotros ya sobre la Plataforma Unificada de Servicios de Ciberseguridad, el núcleo del ecosistema de servicios de ciberseguridad gestionados por Solar MSS. Entre otras cosas, incluye tecnología virtualizada Secure Email Gateway (SEG). Como regla general, la suscripción a este servicio la adquieren pequeñas empresas en las que todas las funciones de TI y seguridad de la información están asignadas a una sola persona: el administrador del sistema. El spam es un problema que siempre es visible para los usuarios y la administración y no se puede ignorar. Sin embargo, con el tiempo, incluso la gerencia se da cuenta de que es imposible simplemente "dejarlo" al administrador del sistema; lleva demasiado tiempo.
2 horas para analizar el correo es demasiado
Uno de los minoristas se acercó a nosotros con una situación similar. Los sistemas de seguimiento del tiempo mostraron que cada día sus empleados dedicaban alrededor del 25% de su tiempo de trabajo (¡2 horas!) a ordenar el buzón.
Una vez conectado el servidor de correo del cliente, configuramos la instancia SEG como una puerta de enlace bidireccional tanto para el correo entrante como para el saliente. Comenzamos a filtrar según políticas preestablecidas. Elaboramos la Lista Negra basándonos en un análisis de los datos proporcionados por el cliente y nuestras propias listas de direcciones potencialmente peligrosas obtenidas por los expertos de Solar JSOC como parte de otros servicios, por ejemplo, monitoreando incidentes de seguridad de la información. Después de eso, todo el correo se entregó a los destinatarios solo después de la limpieza, y varios correos no deseados sobre "grandes descuentos" dejaron de llegar en toneladas a los servidores de correo del cliente, liberando espacio para otras necesidades.
Pero ha habido situaciones en las que una carta legítima se clasificó erróneamente como spam, por ejemplo, como recibida de un remitente que no era de confianza. En este caso, cedimos el derecho de decisión al cliente. No hay muchas opciones sobre qué hacer: eliminarlo inmediatamente o enviarlo a cuarentena. Elegimos la segunda ruta, en la que dicho correo basura se almacena en el propio SEG. Proporcionamos al administrador del sistema acceso a la consola web, en la que podía encontrar en cualquier momento una carta importante, por ejemplo, de una contraparte, y reenviarla al usuario.
Deshacerse de los parásitos
El servicio de protección de correo electrónico incluye informes analíticos, cuya finalidad es controlar la seguridad de la infraestructura y la eficacia de la configuración utilizada. Además, estos informes le permiten predecir tendencias. Por ejemplo, encontramos la sección correspondiente "Spam por destinatario" o "Spam por remitente" en el informe y observamos qué dirección recibe la mayor cantidad de mensajes bloqueados.
Al analizar un informe de este tipo nos pareció sospechoso el fuerte aumento del número total de cartas de uno de los clientes. Su infraestructura es pequeña, el número de letras es reducido. Y de repente, después de un día laborable, la cantidad de spam bloqueado casi se duplicó. Decidimos echar un vistazo más de cerca.
Vemos que la cantidad de cartas salientes ha aumentado y todas ellas en el campo "Remitente" contienen direcciones de un dominio que está conectado al servicio de protección de correo. Pero hay un matiz: entre direcciones bastante sensatas, tal vez incluso existentes, hay claramente otras extrañas. Observamos las IP desde las que se enviaron las cartas y, como era de esperar, resultó que no pertenecían al espacio de direcciones protegido. Obviamente, el atacante enviaba spam en nombre del cliente.
En este caso, hicimos recomendaciones al cliente sobre cómo configurar correctamente los registros DNS, específicamente SPF. Nuestro especialista nos recomendó crear un registro TXT que contenga la regla “v=spf1 mx ip:1.2.3.4/23 -all”, que contiene una lista exhaustiva de direcciones a las que se les permite enviar cartas en nombre del dominio protegido.
En realidad, ¿por qué esto es importante? El spam en nombre de una pequeña empresa desconocida es desagradable, pero no crítico. La situación es completamente diferente, por ejemplo, en el sector bancario. Según nuestras observaciones, el nivel de confianza de la víctima en un correo electrónico de phishing aumenta muchas veces si supuestamente se envía desde el dominio de otro banco o de una contraparte conocida por la víctima. Y esto no sólo distingue a los empleados bancarios; en otras industrias, como por ejemplo en el sector energético, nos enfrentamos a la misma tendencia.
Matar virus
Pero la suplantación de identidad no es un problema tan común como, por ejemplo, las infecciones virales. ¿Cómo se lucha con mayor frecuencia contra las epidemias virales? Instala un antivirus y espera que “el enemigo no pase”. Pero si todo fuera tan simple, entonces, dado el costo bastante bajo de los antivirus, hace tiempo que todos se habrían olvidado del problema del malware. Mientras tanto, recibimos constantemente solicitudes de la serie "ayúdanos a restaurar los archivos, hemos cifrado todo, el trabajo está estancado, los datos se han perdido". No nos cansamos de repetir a nuestros clientes que el antivirus no es una panacea. Además del hecho de que es posible que las bases de datos antivirus no se actualicen con la suficiente rapidez, a menudo nos encontramos con malware que puede eludir no sólo los antivirus, sino también los entornos sandbox.
Desafortunadamente, pocos empleados comunes de las organizaciones conocen el phishing y los correos electrónicos maliciosos y pueden distinguirlos de la correspondencia normal. De media, uno de cada siete usuarios que no realiza una sensibilización periódica sucumbe a la ingeniería social: abrir un archivo infectado o enviar sus datos a los atacantes.
Aunque el vector social de los ataques, en general, ha ido aumentando paulatinamente, esta tendencia se ha hecho especialmente notoria el año pasado. Los correos electrónicos de phishing se parecían cada vez más a los correos electrónicos habituales sobre promociones, próximos eventos, etc. Aquí podemos recordar el ataque de Silence al sector financiero: los empleados del banco recibieron una carta supuestamente con un código promocional para participar en la popular conferencia industrial iFin, y el porcentaje de los que sucumbieron al truco fue muy alto, aunque recordemos , estamos hablando de la industria bancaria, la más avanzada en materia de seguridad de la información.
Antes del último Año Nuevo, también observamos varias situaciones bastante curiosas cuando los empleados de empresas industriales recibieron cartas de phishing de muy alta calidad con una "lista" de promociones de Año Nuevo en tiendas populares en línea y con códigos promocionales para descuentos. Los empleados no sólo intentaron seguir el enlace ellos mismos, sino que también enviaron la carta a colegas de organizaciones relacionadas. Desde que se bloqueó el recurso al que conducía el enlace en el correo electrónico de phishing, los empleados comenzaron a enviar en masa solicitudes al servicio de TI para proporcionar acceso a él. En general, el éxito del envío debió superar todas las expectativas de los atacantes.
Y recientemente, una empresa que había sido "cifrada" pidió ayuda a nosotros. Todo comenzó cuando los contables recibieron una carta supuestamente del Banco Central de la Federación de Rusia. El contable hizo clic en el enlace de la carta y descargó en su máquina el minero WannaMine que, al igual que el famoso WannaCry, aprovechó la vulnerabilidad EternalBlue. Lo más interesante es que la mayoría de antivirus son capaces de detectar sus firmas desde principios de 2018. Pero o el antivirus estaba desactivado, las bases de datos no estaban actualizadas o no estaba allí en absoluto; en cualquier caso, el minero ya estaba en la computadora y nada impidió que se propagara más por la red y cargara los servidores. CPU y estaciones de trabajo al 100%.
Este cliente, tras recibir un informe de nuestro equipo forense, vio que el virus le había llegado inicialmente a través del correo electrónico y puso en marcha un proyecto piloto para conectar un servicio de protección de correo electrónico. Lo primero que configuramos fue un antivirus de correo electrónico. Al mismo tiempo, el análisis en busca de malware se realiza constantemente y las actualizaciones de firmas se realizaban inicialmente cada hora y luego el cliente cambiaba a dos veces al día.
Se debe aplicar una protección total contra las infecciones virales en capas. Si hablamos de la transmisión de virus a través del correo electrónico, entonces es necesario filtrar dichas cartas en la entrada, capacitar a los usuarios para que reconozcan la ingeniería social y luego confiar en antivirus y sandboxes.
en SEGda en guardia
Por supuesto, no pretendemos que las soluciones Secure Email Gateway sean una panacea. Los ataques dirigidos, incluido el phishing, son extremadamente difíciles de prevenir porque... Cada uno de estos ataques está "adaptado" a un destinatario específico (organización o persona). Pero para una empresa que intenta proporcionar un nivel básico de seguridad, esto es mucho, especialmente con la experiencia y los conocimientos adecuados aplicados a la tarea.
En la mayoría de los casos, cuando se lleva a cabo phishing, los archivos adjuntos maliciosos no se incluyen en el cuerpo de las cartas; de lo contrario, el sistema antispam bloqueará inmediatamente dicha carta en su camino hacia el destinatario. Pero incluyen enlaces a un recurso web preparado previamente en el texto de la carta, y luego es un asunto menor. El usuario sigue el enlace y, después de varias redirecciones, en cuestión de segundos llega al último enlace de toda la cadena, cuya apertura descarga malware en su ordenador.
Aún más sofisticado: en el momento en que recibes la carta, el enlace puede ser inofensivo y sólo después de un tiempo, cuando ya haya sido escaneado y saltado, comenzará a redirigir a malware. Desafortunadamente, los especialistas de Solar JSOC, incluso teniendo en cuenta sus competencias, no podrán configurar la puerta de enlace de correo para "ver" el malware a lo largo de toda la cadena (aunque, como protección, puede utilizar el reemplazo automático de todos los enlaces en letras a la SEG, para que ésta escanee el enlace no sólo en el momento de la entrega de la carta, sino en cada transición).
Mientras tanto, incluso una redirección típica puede solucionarse mediante la agregación de varios tipos de experiencia, incluidos los datos obtenidos por nuestro JSOC CERT y OSINT. Esto le permite crear listas negras ampliadas, en función de las cuales se bloqueará incluso una carta con reenvío múltiple.
El uso de SEG es sólo un pequeño ladrillo en el muro que cualquier organización quiere construir para proteger sus activos. Pero este vínculo también debe integrarse correctamente en el panorama general, porque incluso el SEG, con una configuración adecuada, puede convertirse en un medio de protección completo.
Ksenia Sadunina, consultora del departamento experto de preventa de productos y servicios de Solar JSOC
Fuente: habr.com