Enpresa handia barne-erasotzaile eta hacker potentzialen aurkako erredukzio mailakatuak eraikitzen ari den bitartean, phishing-ak eta spam-mezuek buruhauste izaten jarraitzen dute enpresa sinpleagoentzat. Marty McFly-k jakingo balu 2015ean (eta are gehiago 2020an) jendeak hoverboardak asmatuko ez zituela ez ezik, zabor-posta guztiz kentzen ikasiko ez zuela, ziurrenik gizateriarengan fedea galduko luke. Gainera, gaur egun spam-a gogaikarria izateaz gain, askotan kaltegarria da. Killchain-en inplementazioen % 70ean, gutxi gorabehera, ziberkriminalak azpiegituran sartzen dira eranskinetan jasotako malwarea erabiliz edo mezu elektronikoetako phishing esteken bidez.
Azkenaldian, gizarte-ingeniaritza zabaltzeko joera argia izan da, erakunde baten azpiegituretan sartzeko modu gisa. 2017ko eta 2018ko estatistikak alderatuz gero, ia % 50eko igoera ikusten dugu langileen ordenagailuetara malwarea mezu elektroniko baten gorputzeko eranskinen edo phishing esteken bidez bidalitako kasuen kopurua.
Oro har, posta elektronikoa erabiliz egin daitezkeen mehatxu sorta osoa hainbat kategoriatan bana daiteke:
- sarrerako spama
- Irteerako spam-a bidaltzen duen botnet batean erakunde baten ordenagailuak sartzea
- eranskin gaiztoak eta birusak gutunaren gorputzean (enpresa txikiek Petya bezalako eraso masiboak jasaten dituzte gehienetan).
Eraso guztien aurka babesteko, informazio-segurtasun-sistema batzuk zabaldu ditzakezu edo zerbitzu-eredu baten bidea jarraitu. Gu dagoeneko Zibersegurtasun Zerbitzu Bateratuaren Plataformari buruz - Solar MSS kudeatutako zibersegurtasun zerbitzuen ekosistemaren muina. Besteak beste, Secure Email Gateway (SEG) teknologia birtualizatua dakar. Oro har, zerbitzu honetarako harpidetza enpresa txikiek erosten dute eta bertan IT eta informazioaren segurtasun funtzio guztiak pertsona bati esleitzen zaizkio - sistemaren administratzaileari. Spam erabiltzaileek eta zuzendaritzak beti ikusten duten arazoa da, eta ezin zaio alde batera utzi. Hala ere, denboraren poderioz, kudeaketak ere argi ikusten du ezinezkoa dela sistemaren administratzaileari "jaregitea" besterik gabe; denbora gehiegi behar da.
2 ordu posta analizatzeko apur bat da
Antzeko egoera batekin hurbildu zen dendarietako bat. Denboraren jarraipena egiteko sistemek erakutsi zuten egunero bere langileek lan denboraren % 25 inguru (2 ordu!) pasatzen zutela postontzia ordenatzen.
Bezeroaren posta zerbitzaria konektatu ondoren, SEG instantzia bi norabideko atebide gisa konfiguratu dugu sarrerako eta irteerako postarako. Aurrez ezarritako politiken arabera iragazten hasi ginen. Bezeroak emandako datuen analisian eta Solar JSOC adituek beste zerbitzu batzuen barruan lortutako helbide arriskutsuak izan daitezkeen gure zerrendetan oinarrituta osatu genuen Zerrenda Beltza, adibidez, informazioaren segurtasuneko gorabeherak kontrolatzea. Horren ostean, posta guztiak garbitu ondoren bakarrik entregatu zitzaizkien hartzaileei, eta "deskontu handiei" buruzko hainbat spam mezuak bezeroaren posta-zerbitzarietara tonatan isurtzeari utzi zioten, beste beharretarako lekua askatuz.
Baina egon dira gutun legitimo bat oker spam gisa sailkatu zeneko egoerak, adibidez, konfiantzarik gabeko igorle batengandik jaso izana. Kasu honetan, erabakitzeko eskubidea bezeroari eman genion. Ez dago aukera asko zer egin: berehala ezabatu edo berrogeialdira bidali. Bigarren bidea aukeratu genuen, eta bertan SEGn bertan gordetzen den zabor-posta. Sistemaren administratzaileari web kontsolarako sarbidea eman genion, eta bertan edozein unetan aurkitu zezakeen gutun garrantzitsu bat, adibidez, kontraparte batena, eta erabiltzaileari helarazi.
Parasitoak kentzea
Posta elektronikoa babesteko zerbitzuak txosten analitikoak biltzen ditu, eta horien helburua azpiegituraren segurtasuna eta erabilitako ezarpenen eraginkortasuna kontrolatzea da. Gainera, txosten hauek joerak aurreikusteko aukera ematen dute. Esaterako, txostenean dagokion βSpam-a hartzailearen araberaβ edo βSpam-a igorlearen araberaβ atala aurkitzen dugu eta noren helbideak blokeatutako mezu kopuru handiena jasotzen duen ikusten dugu.
Txosten hori aztertzean bezeroetako baten gutun-kopurua nabarmen handitu izana susmagarria iruditu zitzaigun. Bere azpiegitura txikia da, letra kopurua txikia da. Eta bat-batean, lan egun baten ondoren, blokeatutako spam kopurua ia bikoiztu zen. Gertutik begiratzea erabaki genuen.
Irteerako gutunen kopurua handitu egin dela ikusten dugu, eta "Bidaltzailea" eremuan dauden guztiek posta babesteko zerbitzura konektatuta dagoen domeinu bateko helbideak dituzte. Baina bada Γ±abardura bat: nahiko sano, agian existitzen diren helbideen artean, bitxiak daude argi eta garbi. Gutunak bidaltzen ziren IP-ak aztertu genituen, eta, nahiko ustekabean, agertu zen ez zirela babestutako helbide-espaziokoak. Jakina, erasotzaileak spam bidaltzen ari zen bezeroaren izenean.
Kasu honetan, DNS erregistroak, zehazki SPF, behar bezala konfiguratzeko gomendioak egin dizkiogu bezeroari. Gure espezialistak gomendatu zigun βv=spf1 mx ip:1.2.3.4/23 -allβ araua duen TXT erregistro bat sortzea, babestutako domeinuaren izenean gutunak bidaltzeko baimena duten helbideen zerrenda zehatza duena.
Egia esan, zergatik den garrantzitsua: enpresa txiki ezezagun baten izenean spam desatsegina da, baina ez da kritikoa. Egoera guztiz bestelakoa da, adibidez, bankugintzan. Gure behaketen arabera, biktimak phishing-mezu batean duen konfiantza maila askotan handitzen da, ustez beste banku baten domeinutik edo biktimak ezagutzen duen kontraparte batetik bidaltzen bada. Eta horrek ez ditu bankuetako langileak bakarrik bereizten; beste industria batzuetan -energiaren sektorean adibidez- joera beraren aurrean gaude.
Birusak hiltzea
Baina spoofing-a ez da, adibidez, infekzio birikoak bezain ohiko arazoa. Nola aurre egiten diezu gehienetan epidemia birikoei? Antibirus bat instalatzen dute eta "etsaia ez dela gaindituko" espero dute. Baina dena hain sinplea balitz, orduan, antibirusen kostu nahiko baxua ikusita, denek aspaldi ahaztuko zuten malwarearen arazoa. Bien bitartean, etengabe jasotzen ditugu seriearen eskaerak "lagundu iezaguzu fitxategiak leheneratzen, dena enkriptatu dugu, lana geldirik dago, datuak galtzen dira". Inoiz ez gara nekatzen gure bezeroei birusa antibirusa ez dela panazea errepikatzeaz. Birusen aurkako datu-baseak behar bezain azkar eguneratu ez izateaz gain, birusen aurkakoak ez ezik, sandboxak ere saihestu ditzakeen malwarea topatzen dugu maiz.
Zoritxarrez, erakundeetako langile arrunt gutxik ezagutzen dituzte phishing eta mezu elektroniko gaiztoen berri eta gai dira ohiko korrespondentziatik bereizteko. Batez beste, kontzientziazio erregularra jasaten ez duten 7. erabiltzaile bakoitzak ingeniaritza sozialari men egiten dio: infektatutako fitxategi bat irekitzea edo erasotzaileei datuak bidaltzea.
Erasoen bektore soziala, orokorrean, pixkanaka-pixkanaka handituz joan den arren, joera hori bereziki nabaritu da iaz. Phishing-eko mezuak gero eta antzekoagoak ziren sustapenei, datozen ekitaldiei, etab. Hemen finantza-sektorearen aurkako Silence erasoa gogoratu dezakegu - bankuko langileek ustez iFin industriaren hitzaldi ezagunean parte hartzeko sustapen-kode batekin jaso zuten gutun bat jaso zuten, eta trikimailuari men egin ziotenen ehunekoa oso altua izan zen, nahiz eta, gogora dezagun. , banku-industriaz ari gara -informazioaren segurtasun gaietan aurreratuena-.
Azken Urte Berriaren aurretik, hainbat egoera bitxi samarrak ere ikusi genituen industria-enpresetako langileek kalitate handiko phishing-gutunak jasotzen zituztenean Urteberriko promozioen "zerrenda" batekin lineako denda ezagunetan eta deskontuetarako promozio-kodeekin. Langileak esteka beraiek jarraitzen saiatu ez ezik, gutuna helarazi zieten erlazionatutako erakundeetako lankideei. Phishing-eko mezu elektronikoan estekak zekarren baliabidea blokeatu zenez, langileak masiboki hasi ziren eskaerak bidaltzen IT zerbitzura bertara sartzeko. Oro har, bidalketaren arrakastak erasotzaileen itxaropen guztiak gainditu behar ditu.
Eta duela gutxi βzifratutaβ zegoen enpresa batek guregana jo zuen laguntza eske. Dena hasi zen kontabilitate langileek ustez Errusiako Federazioko Banku Zentralaren gutun bat jaso zutenean. Kontu-hartzaileak gutuneko estekan klik egin zuen eta WannaMine meatzaria deskargatu zuen bere makinan, eta horrek, WannaCry ospetsuak bezala, EternalBlue ahultasuna ustiatzen zuen. Interesgarriena da antibirus gehienek bere sinadurak detektatzeko gai izan direla 2018 hasieratik. Baina, edo antibirusa desgaituta zegoen, edo datu-baseak ez ziren eguneratu, edo ez zegoen batere bertan - nolanahi ere, meatzaria jada ordenagailuan zegoen, eta ezerk ez zuen eragotzi sarean gehiago zabaltzea, zerbitzariak kargatuz. CPU eta lan-estazioak %100ean.
Bezero honek, gure auzitegi-taldearen txostena jaso ondoren, hasiera batean birusa posta elektroniko bidez sartzen zela ikusi zuen, eta proiektu pilotu bat jarri zuen martxan posta elektronikoa babesteko zerbitzu bat konektatzeko. Konfiguratu genuen lehenengo gauza posta elektronikoko birusen aurkako bat izan zen. Aldi berean, malware bilatze etengabe egiten da, eta hasiera batean sinadura eguneratzeak orduro egiten ziren, eta gero bezeroa egunean bi aldiz aldatzen zen.
Infekzio birikoaren aurkako babes osoa geruzatu behar da. Posta elektronikoaren bidez birusen transmisioari buruz hitz egiten badugu, beharrezkoa da sarreran halako letrak iragaztea, erabiltzaileak gizarte ingeniaritza ezagutzen trebatu eta gero antibirusetan eta sandboxetan fidatzea.
SEGda-n guardian
Jakina, ez dugu aldarrikatzen Secure Email Gateway irtenbideak panazea direnik. Norakoak diren erasoak, spear phishing barne, oso zailak dira saihestea, zeren... Eraso bakoitza hartzaile jakin baterako (erakunde edo pertsona) "neurri" egiten da. Baina oinarrizko segurtasun-maila bat eskaintzen saiatzen ari den enpresa batentzat, hori asko da, batez ere zereginari aplikatutako esperientzia eta espezializazio egokiarekin.
Gehienetan, spear phishing egiten denean, eranskin gaiztoak ez dira gutunen gorputzean sartzen, bestela spam-aren aurkako sistemak berehala blokeatuko du gutun hori hartzailearengana bidean. Baina gutunaren testuan aurrez prestatutako web-baliabide baterako estekak sartzen dituzte, eta gero kontu txikia da. Erabiltzaileak esteka jarraitzen du, eta, ondoren, hainbat birbideraketa egin ondoren, segundo gutxitan kate osoko azken batean amaitzen da, eta horren irekierak malwarea deskargatuko du bere ordenagailura.
Are sofistikatuagoa: gutuna jasotzen duzun momentuan, esteka kaltegabea izan daiteke eta denbora pixka bat igaro ondoren, dagoeneko eskaneatu eta saltatu denean, malwarera birbideratzen hasiko da. Zoritxarrez, Solar JSOC espezialistek, beren gaitasunak kontuan izanda ere, ezin izango dute posta-pasabidea konfiguratu malwarea kate osoan zehar "ikusteko" (nahiz eta, babes gisa, esteka guztien ordezkapen automatikoa erabil dezakezu letraz). SEGra, azken honek esteka eskaneatu dezan, ez bakarrik gutuna bidaltzeko unean, eta trantsizio bakoitzean).
Bien bitartean, birbideratze tipiko bat ere hainbat espezializazio mota batuz landu daiteke, gure JSOC CERT eta OSINT-ek lortutako datuak barne. Horri esker, zerrenda beltz hedatuak sor ditzakezu, eta horietan oinarrituta, birbidaltze anitz duen gutun bat ere blokeatuko da.
SEG erabiltzea edozein erakundek bere aktiboak babesteko eraiki nahi duen hormako adreilu txiki bat besterik ez da. Baina lotura hori ere behar bezala integratu behar da irudi orokorrean, zeren eta SEG ere, konfigurazio egokiarekin, erabateko babes-bide bihur daitekeelako.
Ksenia Sadunina, Solar JSOC produktu eta zerbitzuen aurresalmenta saileko aditua
Iturria: www.habr.com