Samal ajal kui suurettevõte loob võimalike sisemiste ründajate ja häkkerite ešelone, valmistavad andmepüügi- ja rämpspostid lihtsatele ettevõtetele endiselt peavalu. Kui Marty McFly teaks, et 2015. aastal (ja veelgi enam 2020. aastal) inimesed mitte ainult ei leiuta hõljuklaudu, vaid ei õpiks isegi rämpspostist täielikult vabanema, kaotaks ta tõenäoliselt usu inimkonda. Pealegi pole rämpspost tänapäeval mitte ainult tüütu, vaid sageli ka kahjulik. Ligikaudu 70% killchaini rakendustest tungivad küberkurjategijad taristusse, kasutades manustes sisalduvat pahavara või e-kirjades olevate andmepüügilinkide kaudu.
Viimasel ajal on ilmnenud selge suundumus sotsiaalse inseneride leviku suunas, mis võimaldab tungida organisatsiooni infrastruktuuri. Võrreldes 2017. ja 2018. aasta statistikat, näeme ligi 50% kasvu juhtumite osas, kus pahavara toimetati töötajate arvutitesse e-kirja sisus olevate manuste või andmepüügilinkide kaudu.
Üldiselt võib kogu e-posti abil teostatavad ohud jagada mitmesse kategooriasse:
- sissetulev rämpspost
- organisatsiooni arvutite kaasamine väljaminevat rämpsposti saatvasse robotvõrku
- kirja sisus olevad pahatahtlikud manused ja viirused (väikesed ettevõtted kannatavad enamasti massiliste rünnakute all nagu Petya).
Igat tüüpi rünnete eest kaitsmiseks võite juurutada mitu infoturbesüsteemi või järgida teenusemudeli teed. Meie juba Unified Cyber Security Services Platformi kohta – Solar MSS hallatavate küberturbeteenuste ökosüsteemi tuum. Muuhulgas sisaldab see virtualiseeritud Secure Email Gateway (SEG) tehnoloogiat. Reeglina ostavad selle teenuse tellimuse väikeettevõtted, kus kõik IT ja infoturbe funktsioonid on määratud ühele isikule - süsteemiadministraatorile. Rämpspost on probleem, mis on kasutajatele ja juhtkonnale alati nähtav ning seda ei saa ignoreerida. Aja jooksul saab aga isegi juhtkonnale selgeks, et seda on võimatu lihtsalt süsteemiadministraatorile "kukkuda" - see võtab liiga palju aega.
2 tundi kirja sõelumiseks on natuke palju
Üks jaemüüjatest pöördus meie poole sarnase olukorraga. Ajajälgimissüsteemid näitasid, et iga päev kulutasid tema töötajad umbes 25% oma tööajast (2 tundi!) postkasti sorteerimisele.
Pärast kliendi meiliserveri ühendamist konfigureerisime SEG eksemplari kahesuunaliseks lüüsiks nii sissetuleva kui ka väljamineva kirja jaoks. Alustasime filtreerimist vastavalt eelnevalt kehtestatud eeskirjadele. Musta nimekirja koostasime kliendi esitatud andmete analüüsi ja meie enda potentsiaalselt ohtlike aadresside loendite põhjal, mille Solar JSOC eksperdid said teiste teenuste raames – näiteks infoturbeintsidentide jälgimisel. Pärast seda jõudis kõik kirjad adressaatideni alles pärast puhastamist ja mitmesugused rämpspostid "suurte allahindluste" kohta lakkasid tonnide kaupa kliendi meiliserveritesse voolamast, vabastades ruumi muudeks vajadusteks.
Kuid on olnud olukordi, kus seaduslik kiri liigitati ekslikult rämpspostiks, näiteks kui see on saadud ebausaldusväärselt saatjalt. Antud juhul andsime otsustusõiguse kliendile. Ei ole palju võimalusi, mida teha: kustutada see kohe või saata see karantiini. Valisime teise tee, kus selline rämpspost salvestatakse SEG-i endasse. Andsime süsteemiadministraatorile ligipääsu veebikonsoolile, kust ta võis igal ajal leida näiteks mõne vastaspoole olulise kirja ja selle kasutajale edastada.
Parasiitidest vabanemine
Meilikaitseteenus sisaldab analüütilisi aruandeid, mille eesmärk on jälgida infrastruktuuri turvalisust ja kasutatavate seadete tõhusust. Lisaks võimaldavad need aruanded ennustada suundumusi. Näiteks leiame aruandest vastava jaotise “Rämpspost saaja järgi” või “Rämpspost saatja järgi” ja vaatame, kelle aadressile laekub kõige rohkem blokeeritud kirju.
Just sellist teadet analüüsides tundus meile kahtlane ühe kliendi kirjade järsult kasvanud koguarv. Selle infrastruktuur on väike, tähtede arv on väike. Ja järsku, pärast tööpäeva, blokeeritud rämpsposti hulk peaaegu kahekordistus. Otsustasime lähemalt uurida.
Näeme, et väljaminevate kirjade arv on suurenenud ja kõik need väljal “Saatja” sisaldavad aadresse domeenist, mis on ühendatud meilikaitseteenusega. Kuid on üks nüanss: üsna mõistlike, võib-olla isegi olemasolevate aadresside hulgas on selgelt kummalisi. Vaatasime IP-sid, millelt kirjad saadeti, ja üsna ootuspäraselt selgus, et need ei kuulu kaitstud aadressiruumi. Ilmselgelt saatis ründaja kliendi nimel rämpsposti.
Sel juhul andsime kliendile soovitusi DNS-kirjete, täpsemalt SPF-i korrektseks konfigureerimiseks. Meie spetsialist soovitas meil luua TXT-kirje, mis sisaldab reeglit “v=spf1 mx ip:1.2.3.4/23 -all”, mis sisaldab ammendavat loetelu aadressidest, millel on lubatud kaitstud domeeni nimel kirju saata.
Tegelikult, miks see oluline on: tundmatu väikeettevõtte nimel rämpspost on ebameeldiv, kuid mitte kriitiline. Hoopis teistsugune on olukord näiteks panganduses. Meie tähelepanekute kohaselt suureneb ohvri usalduse tase andmepüügimeili vastu mitu korda, kui see väidetavalt on saadetud mõne teise panga domeenilt või ohvrile teadaolevalt vastaspoolelt. Ja see ei erista mitte ainult pangatöötajaid, vaid ka teistes tööstusharudes – näiteks energeetikas – seisame silmitsi sama trendiga.
Viiruste tapmine
Kuid võltsimine pole nii levinud probleem kui näiteks viirusnakkused. Kuidas võitlete kõige sagedamini viiruste epideemiatega? Nad installivad viirusetõrje ja loodavad, et "vaenlane ei pääse läbi". Kuid kui kõik oleks nii lihtne, oleks viirusetõrje üsna madalat hinda arvestades kõik pahavara probleemi juba ammu unustanud. Samal ajal saame pidevalt palveid sarjast "aita meil failid taastada, oleme kõik krüpteerinud, töö on seiskunud, andmed on kadunud." Me ei väsi oma klientidele kordamast, et viirusetõrje ei ole imerohi. Lisaks sellele, et viirusetõrje andmebaase ei pruugita piisavalt kiiresti uuendada, kohtame sageli pahavara, mis suudab mitte ainult viirustõrjetest, vaid ka liivakastidest mööda minna.
Kahjuks on vähesed organisatsioonide tavatöötajad andmepüügist ja pahatahtlikest meilidest teadlikud ning suudavad neid tavalisest kirjavahetusest eristada. Keskmiselt iga seitsmes kasutaja, kes ei läbi regulaarset teadlikkuse tõstmist, alistub sotsiaalsele manipuleerimisele: avab nakatunud faili või saadab oma andmed ründajatele.
Kuigi üldiselt on rünnete sotsiaalne vektor tasapisi tõusnud, on see tendents muutunud eriti märgatavaks eelmisel aastal. Andmepüügimeilid hakkasid üha enam sarnanema tavaliste kampaaniate, eelseisvate sündmuste jms kirjadega. Siinkohal võib meenutada Vaikuse rünnakut finantssektori vastu – pangatöötajad said kirja väidetavalt sooduskoodiga populaarsel tööstuskonverentsil iFin osalemiseks ning trikile allajäänute protsent oli väga suur, ehkki meenutagem. , räägime pangandussektorist – infoturbe küsimustes kõige arenenumast.
Eelmise aastavahetuse eel täheldasime ka mitmeid üsna kurioosseid olukordi, kus tööstusettevõtete töötajad said väga kvaliteetseid andmepüügikirju populaarsete veebipoodide uusaastakampaaniate “nimekirjaga” ja allahindluste sooduskoodidega. Töötajad mitte ainult ei püüdnud ise linki jälgida, vaid edastasid kirja ka kolleegidele seotud organisatsioonidest. Kuna ressurss, kuhu andmepüügimeilis olev link viis, oli blokeeritud, hakkasid töötajad massiliselt esitama IT-teenusele taotlusi sellele juurdepääsu võimaldamiseks. Üldiselt pidi postitamise edu ületama ründajate kõik ootused.
Ja hiljuti pöördus meie poole abi saamiseks üks "krüpteeritud" ettevõte. Kõik sai alguse sellest, et raamatupidamistöötajad said väidetavalt Vene Föderatsiooni keskpangalt kirja. Raamatupidaja klõpsas kirjas oleval lingil ja laadis oma masinasse alla WannaMine kaevuri, mis sarnaselt kuulsa WannaCryga kasutas ära EternalBlue'i haavatavust. Kõige huvitavam on see, et enamik viirusetõrjeid on suutnud selle allkirju tuvastada alates 2018. aasta algusest. Kuid kas viirusetõrje keelati või andmebaase ei värskendatud või polnud seda üldse - igal juhul oli kaevandaja juba arvutis ja miski ei takistanud sellel võrgus edasi levimast, laadides servereid. CPU ja tööjaamad 100%.
See klient, olles saanud meie kohtuekspertiisi meeskonnalt teate, nägi, et viirus tungis temasse algselt meili teel, ja käivitas pilootprojekti e-posti kaitseteenuse ühendamiseks. Esimese asjana seadistasime meiliviirusetõrje. Samas tehakse pahavara skannimist pidevalt ning allkirja uuendamine toimus algul iga tunni tagant ning seejärel läks klient kaks korda päevas üle.
Täielik kaitse viirusnakkuste vastu peab olema kihiline. Kui me räägime viiruste edastamisest e-posti teel, siis on vaja sellised kirjad sissepääsu juures välja filtreerida, õpetada kasutajaid sotsiaalset manipuleerimist ära tundma ning seejärel tugineda viirusetõrjetele ja liivakastidele.
aastal SEGda valves
Muidugi ei väida me, et Secure Email Gateway lahendused on imerohi. Sihitud rünnakuid, sealhulgas õngepüüki, on äärmiselt raske ära hoida, sest... Iga selline rünnak on "kohandatud" konkreetse adressaadi (organisatsiooni või isiku) jaoks. Kuid ettevõtte jaoks, mis üritab pakkuda elementaarset turvalisuse taset, on see palju, eriti kui ülesande jaoks on rakendatud õigeid kogemusi ja teadmisi.
Enamasti ei lisata õngepüügi ajal pahatahtlikke manuseid kirjade sisusse, vastasel juhul blokeerib rämpspostitõrjesüsteem sellise kirja kohe teel adressaadini. Kuid need sisaldavad kirja tekstis linke eelnevalt ettevalmistatud veebiressursile ja siis on see väike asi. Kasutaja järgib linki ja satub seejärel pärast mitut ümbersuunamist mõne sekundi jooksul kogu ahela viimasele, mille avamisel laaditakse tema arvutisse pahavara.
Veelgi keerukam: kirja saamise hetkel võib link olla kahjutu ja alles mõne aja pärast, kui see on juba skannitud ja vahele jäetud, hakkab see pahavarale ümber suunama. Kahjuks ei suuda Solar JSOC spetsialistid isegi oma pädevusi arvesse võttes meililüüsi seadistada nii, et see näeks pahavara kogu ahela ulatuses (kuigi kaitseks saate kasutada kõigi kirjades olevate linkide automaatset asendamist SEG-ile, nii et viimane skannib linki mitte ainult kirja kohaletoimetamise ajal ja igal üleminekul).
Samal ajal saab isegi tüüpilise ümbersuunamise korral käsitleda mitut tüüpi ekspertiisi, sealhulgas meie JSOC CERT-i ja OSINT-i kogutud andmeid. See võimaldab luua laiendatud musti nimekirju, mille alusel blokeeritakse isegi mitme edasisuunamisega kiri.
SEG-i kasutamine on vaid väike telliskivi seinas, mida iga organisatsioon soovib oma varade kaitsmiseks ehitada. Kuid see link tuleb ka õigesti integreerida üldpilti, sest isegi SEG-i saab õige konfiguratsiooniga muuta täieõiguslikuks kaitsevahendiks.
Ksenia Sadunina, Solar JSOC toodete ja teenuste eelmüügi osakonna konsultant
Allikas: www.habr.com