Samal ajal kui suurettevĂ”te loob vĂ”imalike sisemiste rĂŒndajate ja hĂ€kkerite eĆĄelone, valmistavad andmepĂŒĂŒgi- ja rĂ€mpspostid lihtsatele ettevĂ”tetele endiselt peavalu. Kui Marty McFly teaks, et 2015. aastal (ja veelgi enam 2020. aastal) inimesed mitte ainult ei leiuta hĂ”ljuklaudu, vaid ei Ă”piks isegi rĂ€mpspostist tĂ€ielikult vabanema, kaotaks ta tĂ”enĂ€oliselt usu inimkonda. Pealegi pole rĂ€mpspost tĂ€napĂ€eval mitte ainult tĂŒĂŒtu, vaid sageli ka kahjulik. Ligikaudu 70% killchaini rakendustest tungivad kĂŒberkurjategijad taristusse, kasutades manustes sisalduvat pahavara vĂ”i e-kirjades olevate andmepĂŒĂŒgilinkide kaudu.
Viimasel ajal on ilmnenud selge suundumus sotsiaalse inseneride leviku suunas, mis vĂ”imaldab tungida organisatsiooni infrastruktuuri. VĂ”rreldes 2017. ja 2018. aasta statistikat, nĂ€eme ligi 50% kasvu juhtumite osas, kus pahavara toimetati töötajate arvutitesse e-kirja sisus olevate manuste vĂ”i andmepĂŒĂŒgilinkide kaudu.
Ăldiselt vĂ”ib kogu e-posti abil teostatavad ohud jagada mitmesse kategooriasse:
- sissetulev rÀmpspost
- organisatsiooni arvutite kaasamine vÀljaminevat rÀmpsposti saatvasse robotvÔrku
- kirja sisus olevad pahatahtlikud manused ja viirused (vĂ€ikesed ettevĂ”tted kannatavad enamasti massiliste rĂŒnnakute all nagu Petya).
Igat tĂŒĂŒpi rĂŒnnete eest kaitsmiseks vĂ”ite juurutada mitu infoturbesĂŒsteemi vĂ”i jĂ€rgida teenusemudeli teed. Meie juba Unified Cyber ââSecurity Services Platformi kohta â Solar MSS hallatavate kĂŒberturbeteenuste ökosĂŒsteemi tuum. Muuhulgas sisaldab see virtualiseeritud Secure Email Gateway (SEG) tehnoloogiat. Reeglina ostavad selle teenuse tellimuse vĂ€ikeettevĂ”tted, kus kĂ”ik IT ja infoturbe funktsioonid on mÀÀratud ĂŒhele isikule - sĂŒsteemiadministraatorile. RĂ€mpspost on probleem, mis on kasutajatele ja juhtkonnale alati nĂ€htav ning seda ei saa ignoreerida. Aja jooksul saab aga isegi juhtkonnale selgeks, et seda on vĂ”imatu lihtsalt sĂŒsteemiadministraatorile "kukkuda" - see vĂ”tab liiga palju aega.
2 tundi kirja sÔelumiseks on natuke palju
Ăks jaemĂŒĂŒjatest pöördus meie poole sarnase olukorraga. AjajĂ€lgimissĂŒsteemid nĂ€itasid, et iga pĂ€ev kulutasid tema töötajad umbes 25% oma tööajast (2 tundi!) postkasti sorteerimisele.
PĂ€rast kliendi meiliserveri ĂŒhendamist konfigureerisime SEG eksemplari kahesuunaliseks lĂŒĂŒsiks nii sissetuleva kui ka vĂ€ljamineva kirja jaoks. Alustasime filtreerimist vastavalt eelnevalt kehtestatud eeskirjadele. Musta nimekirja koostasime kliendi esitatud andmete analĂŒĂŒsi ja meie enda potentsiaalselt ohtlike aadresside loendite pĂ”hjal, mille Solar JSOC eksperdid said teiste teenuste raames â nĂ€iteks infoturbeintsidentide jĂ€lgimisel. PĂ€rast seda jĂ”udis kĂ”ik kirjad adressaatideni alles pĂ€rast puhastamist ja mitmesugused rĂ€mpspostid "suurte allahindluste" kohta lakkasid tonnide kaupa kliendi meiliserveritesse voolamast, vabastades ruumi muudeks vajadusteks.
Kuid on olnud olukordi, kus seaduslik kiri liigitati ekslikult rĂ€mpspostiks, nĂ€iteks kui see on saadud ebausaldusvÀÀrselt saatjalt. Antud juhul andsime otsustusĂ”iguse kliendile. Ei ole palju vĂ”imalusi, mida teha: kustutada see kohe vĂ”i saata see karantiini. Valisime teise tee, kus selline rĂ€mpspost salvestatakse SEG-i endasse. Andsime sĂŒsteemiadministraatorile ligipÀÀsu veebikonsoolile, kust ta vĂ”is igal ajal leida nĂ€iteks mĂ”ne vastaspoole olulise kirja ja selle kasutajale edastada.
Parasiitidest vabanemine
Meilikaitseteenus sisaldab analĂŒĂŒtilisi aruandeid, mille eesmĂ€rk on jĂ€lgida infrastruktuuri turvalisust ja kasutatavate seadete tĂ”husust. Lisaks vĂ”imaldavad need aruanded ennustada suundumusi. NĂ€iteks leiame aruandest vastava jaotise âRĂ€mpspost saaja jĂ€rgiâ vĂ”i âRĂ€mpspost saatja jĂ€rgiâ ja vaatame, kelle aadressile laekub kĂ”ige rohkem blokeeritud kirju.
Just sellist teadet analĂŒĂŒsides tundus meile kahtlane ĂŒhe kliendi kirjade jĂ€rsult kasvanud koguarv. Selle infrastruktuur on vĂ€ike, tĂ€htede arv on vĂ€ike. Ja jĂ€rsku, pĂ€rast tööpĂ€eva, blokeeritud rĂ€mpsposti hulk peaaegu kahekordistus. Otsustasime lĂ€hemalt uurida.
NĂ€eme, et vĂ€ljaminevate kirjade arv on suurenenud ja kĂ”ik need vĂ€ljal âSaatjaâ sisaldavad aadresse domeenist, mis on ĂŒhendatud meilikaitseteenusega. Kuid on ĂŒks nĂŒanss: ĂŒsna mĂ”istlike, vĂ”ib-olla isegi olemasolevate aadresside hulgas on selgelt kummalisi. Vaatasime IP-sid, millelt kirjad saadeti, ja ĂŒsna ootuspĂ€raselt selgus, et need ei kuulu kaitstud aadressiruumi. Ilmselgelt saatis rĂŒndaja kliendi nimel rĂ€mpsposti.
Sel juhul andsime kliendile soovitusi DNS-kirjete, tĂ€psemalt SPF-i korrektseks konfigureerimiseks. Meie spetsialist soovitas meil luua TXT-kirje, mis sisaldab reeglit âv=spf1 mx ip:1.2.3.4/23 -allâ, mis sisaldab ammendavat loetelu aadressidest, millel on lubatud kaitstud domeeni nimel kirju saata.
Tegelikult, miks see oluline on: tundmatu vĂ€ikeettevĂ”tte nimel rĂ€mpspost on ebameeldiv, kuid mitte kriitiline. Hoopis teistsugune on olukord nĂ€iteks panganduses. Meie tĂ€helepanekute kohaselt suureneb ohvri usalduse tase andmepĂŒĂŒgimeili vastu mitu korda, kui see vĂ€idetavalt on saadetud mĂ”ne teise panga domeenilt vĂ”i ohvrile teadaolevalt vastaspoolelt. Ja see ei erista mitte ainult pangatöötajaid, vaid ka teistes tööstusharudes â nĂ€iteks energeetikas â seisame silmitsi sama trendiga.
Viiruste tapmine
Kuid vĂ”ltsimine pole nii levinud probleem kui nĂ€iteks viirusnakkused. Kuidas vĂ”itlete kĂ”ige sagedamini viiruste epideemiatega? Nad installivad viirusetĂ”rje ja loodavad, et "vaenlane ei pÀÀse lĂ€bi". Kuid kui kĂ”ik oleks nii lihtne, oleks viirusetĂ”rje ĂŒsna madalat hinda arvestades kĂ”ik pahavara probleemi juba ammu unustanud. Samal ajal saame pidevalt palveid sarjast "aita meil failid taastada, oleme kĂ”ik krĂŒpteerinud, töö on seiskunud, andmed on kadunud." Me ei vĂ€si oma klientidele kordamast, et viirusetĂ”rje ei ole imerohi. Lisaks sellele, et viirusetĂ”rje andmebaase ei pruugita piisavalt kiiresti uuendada, kohtame sageli pahavara, mis suudab mitte ainult viirustĂ”rjetest, vaid ka liivakastidest mööda minna.
Kahjuks on vĂ€hesed organisatsioonide tavatöötajad andmepĂŒĂŒgist ja pahatahtlikest meilidest teadlikud ning suudavad neid tavalisest kirjavahetusest eristada. Keskmiselt iga seitsmes kasutaja, kes ei lĂ€bi regulaarset teadlikkuse tĂ”stmist, alistub sotsiaalsele manipuleerimisele: avab nakatunud faili vĂ”i saadab oma andmed rĂŒndajatele.
Kuigi ĂŒldiselt on rĂŒnnete sotsiaalne vektor tasapisi tĂ”usnud, on see tendents muutunud eriti mĂ€rgatavaks eelmisel aastal. AndmepĂŒĂŒgimeilid hakkasid ĂŒha enam sarnanema tavaliste kampaaniate, eelseisvate sĂŒndmuste jms kirjadega. Siinkohal vĂ”ib meenutada Vaikuse rĂŒnnakut finantssektori vastu â pangatöötajad said kirja vĂ€idetavalt sooduskoodiga populaarsel tööstuskonverentsil iFin osalemiseks ning trikile allajÀÀnute protsent oli vĂ€ga suur, ehkki meenutagem. , rÀÀgime pangandussektorist â infoturbe kĂŒsimustes kĂ”ige arenenumast.
Eelmise aastavahetuse eel tĂ€heldasime ka mitmeid ĂŒsna kurioosseid olukordi, kus tööstusettevĂ”tete töötajad said vĂ€ga kvaliteetseid andmepĂŒĂŒgikirju populaarsete veebipoodide uusaastakampaaniate ânimekirjagaâ ja allahindluste sooduskoodidega. Töötajad mitte ainult ei pĂŒĂŒdnud ise linki jĂ€lgida, vaid edastasid kirja ka kolleegidele seotud organisatsioonidest. Kuna ressurss, kuhu andmepĂŒĂŒgimeilis olev link viis, oli blokeeritud, hakkasid töötajad massiliselt esitama IT-teenusele taotlusi sellele juurdepÀÀsu vĂ”imaldamiseks. Ăldiselt pidi postitamise edu ĂŒletama rĂŒndajate kĂ”ik ootused.
Hiljuti vĂ”ttis meiega abi saamiseks ĂŒhendust ĂŒks "krĂŒpteeritud" ettevĂ”te. KĂ”ik algas sellest, kui raamatupidamisosakonna töötajad said kirja, mis vĂ€idetavalt oli pĂ€rit Venemaa Föderatsiooni keskpangast. Raamatupidaja klĂ”psas kirjas oleval lingil ja laadis oma arvutisse alla WannaMine'i kaevuri. Nagu kurikuulus WannaCry, kasutas see Ă€ra EternalBlue haavatavust. KĂ”ige huvitavam on see, et enamik viirusetĂ”rjeprogramme on suutnud selle signatuure tuvastada alates 2018. aasta algusest. Kuid olenemata sellest, kas viirusetĂ”rje oli keelatud, selle andmebaasid polnud uuendatud vĂ”i kaevurit ĂŒldse polnud â igal juhul oli kaevur juba arvutis ja miski ei takistanud sellel vĂ”rgus edasi levimast, kulutades protsessori ressursse. serverid ja ARM 100% juures.
See klient, olles saanud meie kohtuekspertiisi meeskonnalt teate, nĂ€gi, et viirus tungis temasse algselt meili teel, ja kĂ€ivitas pilootprojekti e-posti kaitseteenuse ĂŒhendamiseks. Esimese asjana seadistasime meiliviirusetĂ”rje. Samas tehakse pahavara skannimist pidevalt ning allkirja uuendamine toimus algul iga tunni tagant ning seejĂ€rel lĂ€ks klient kaks korda pĂ€evas ĂŒle.
TÀielik kaitse viirusnakkuste vastu peab olema kihiline. Kui me rÀÀgime viiruste edastamisest e-posti teel, siis on vaja sellised kirjad sissepÀÀsu juures vÀlja filtreerida, Ôpetada kasutajaid sotsiaalset manipuleerimist Àra tundma ning seejÀrel tugineda viirusetÔrjetele ja liivakastidele.
aastal SEGda valves
Muidugi ei vĂ€ida me, et Secure Email Gateway lahendused on imerohi. Sihitud rĂŒnnakuid, sealhulgas Ă”ngepĂŒĂŒki, on ÀÀrmiselt raske Ă€ra hoida, sest... Iga selline rĂŒnnak on "kohandatud" konkreetse adressaadi (organisatsiooni vĂ”i isiku) jaoks. Kuid ettevĂ”tte jaoks, mis ĂŒritab pakkuda elementaarset turvalisuse taset, on see palju, eriti kui ĂŒlesande jaoks on rakendatud Ă”igeid kogemusi ja teadmisi.
Enamasti ei lisata Ă”ngepĂŒĂŒgi ajal pahatahtlikke manuseid kirjade sisusse, vastasel juhul blokeerib rĂ€mpspostitĂ”rjesĂŒsteem sellise kirja kohe teel adressaadini. Kuid need sisaldavad kirja tekstis linke eelnevalt ettevalmistatud veebiressursile ja siis on see vĂ€ike asi. Kasutaja jĂ€rgib linki ja satub seejĂ€rel pĂ€rast mitut ĂŒmbersuunamist mĂ”ne sekundi jooksul kogu ahela viimasele, mille avamisel laaditakse tema arvutisse pahavara.
Veelgi keerukam: kirja saamise hetkel vĂ”ib link olla kahjutu ja alles mĂ”ne aja pĂ€rast, kui see on juba skannitud ja vahele jĂ€etud, hakkab see pahavarale ĂŒmber suunama. Kahjuks ei suuda Solar JSOC spetsialistid isegi oma pĂ€devusi arvesse vĂ”ttes meililĂŒĂŒsi seadistada nii, et see nĂ€eks pahavara kogu ahela ulatuses (kuigi kaitseks saate kasutada kĂ”igi kirjades olevate linkide automaatset asendamist SEG-ile, nii et viimane skannib linki mitte ainult kirja kohaletoimetamise ajal ja igal ĂŒleminekul).
Samal ajal saab isegi tĂŒĂŒpilise ĂŒmbersuunamise korral kĂ€sitleda mitut tĂŒĂŒpi ekspertiisi, sealhulgas meie JSOC CERT-i ja OSINT-i kogutud andmeid. See vĂ”imaldab luua laiendatud musti nimekirju, mille alusel blokeeritakse isegi mitme edasisuunamisega kiri.
SEG-i kasutamine on vaid vĂ€ike telliskivi seinas, mida iga organisatsioon soovib oma varade kaitsmiseks ehitada. Kuid see link tuleb ka Ă”igesti integreerida ĂŒldpilti, sest isegi SEG-i saab Ă”ige konfiguratsiooniga muuta tĂ€ieĂ”iguslikuks kaitsevahendiks.
Ksenia Sadunina, Solar JSOC toodete ja teenuste eelmĂŒĂŒgi osakonna konsultant
Allikas: www.habr.com
