ProHoster > وبلاگ > اداره > فراتر از آنتی اسپم: چگونه از دروازه ایمیل امنیتی بیشترین بهره را ببرید

فراتر از آنتی اسپم: چگونه از دروازه ایمیل امنیتی بیشترین بهره را ببرید

در حالی که Enterprise بزرگ در حال ایجاد شک و تردیدهای مجدد از سوی مهاجمان و هکرهای داخلی بالقوه است، ایمیل‌های فیشینگ و هرزنامه همچنان برای شرکت‌های ساده‌تر دردسرساز هستند. اگر مارتی مک فلای می دانست که در سال 2015 (و حتی بیشتر از آن در سال 2020) مردم نه تنها هاوربرد را اختراع نمی کردند، بلکه حتی یاد نمی گرفتند که کاملاً از شر نامه های ناخواسته خلاص شوند، احتمالاً ایمانش را به انسانیت از دست می داد. علاوه بر این، هرزنامه امروز نه تنها آزاردهنده است، بلکه اغلب مضر است. تقریباً در 70 درصد از اجرای killchain، مجرمان سایبری با استفاده از بدافزارهای موجود در پیوست‌ها یا از طریق پیوندهای فیشینگ در ایمیل‌ها، به زیرساخت نفوذ می‌کنند.

فراتر از آنتی اسپم: چگونه از دروازه ایمیل امنیتی بیشترین بهره را ببرید

اخیراً، گرایش آشکاری به سوی گسترش مهندسی اجتماعی به عنوان راهی برای نفوذ به زیرساخت های سازمان وجود داشته است. با مقایسه آمارهای سال‌های 2017 و 2018، شاهد افزایش تقریبا 50 درصدی تعداد مواردی هستیم که بدافزار از طریق پیوست‌ها یا پیوندهای فیشینگ در بدنه یک ایمیل به رایانه‌های کارکنان تحویل داده شده است.

به طور کلی، طیف وسیعی از تهدیدات را که می توان با استفاده از ایمیل انجام داد را می توان به چند دسته تقسیم کرد:

  • هرزنامه های دریافتی
  • گنجاندن رایانه های یک سازمان در یک بات نت که هرزنامه های خروجی را ارسال می کند
  • پیوست های مخرب و ویروس ها در بدنه نامه (شرکت های کوچک اغلب از حملات گسترده ای مانند Petya رنج می برند).

برای محافظت در برابر انواع حملات، می توانید چندین سیستم امنیت اطلاعات را مستقر کنید یا مسیر یک مدل سرویس را دنبال کنید. ما قبلا گفت: درباره پلت فرم خدمات امنیت سایبری یکپارچه - هسته اکوسیستم خدمات امنیت سایبری مدیریت شده Solar MSS. در میان چیزهای دیگر، این شامل فناوری دروازه ایمیل امن (SEG) مجازی شده است. به عنوان یک قاعده، اشتراک این سرویس توسط شرکت های کوچک خریداری می شود که در آن تمام عملکردهای فناوری اطلاعات و امنیت اطلاعات به یک نفر - مدیر سیستم اختصاص داده می شود. هرزنامه مشکلی است که همیشه برای کاربران و مدیریت قابل مشاهده است و نمی توان از آن چشم پوشی کرد. با این حال ، با گذشت زمان ، حتی مدیریت مشخص می شود که نمی توان آن را به سادگی به مدیر سیستم "رها کرد" - زمان زیادی می برد.

فراتر از آنتی اسپم: چگونه از دروازه ایمیل امنیتی بیشترین بهره را ببرید

2 ساعت برای تجزیه نامه ها کمی زیاد است

یکی از خرده فروشان با وضعیت مشابهی به ما مراجعه کرد. سیستم‌های ردیابی زمان نشان دادند که کارکنان او هر روز حدود 25 درصد از زمان کاری خود (2 ساعت!) را صرف مرتب کردن صندوق پستی می‌کنند.

پس از اتصال سرور ایمیل مشتری، نمونه SEG را به عنوان یک دروازه دو طرفه برای نامه های ورودی و خروجی پیکربندی کردیم. ما فیلترینگ را طبق سیاست های از پیش تعیین شده شروع کردیم. ما لیست سیاه را بر اساس تجزیه و تحلیل داده های ارائه شده توسط مشتری و لیست های خودمان از آدرس های بالقوه خطرناک که توسط کارشناسان Solar JSOC به عنوان بخشی از خدمات دیگر به دست آمده است - به عنوان مثال، نظارت بر حوادث امنیت اطلاعات، گردآوری کردیم. پس از آن، تمام نامه‌ها تنها پس از تمیز کردن به گیرندگان تحویل داده شد و پیام‌های هرزنامه مختلف درباره «تخفیف‌های بزرگ» به تن‌ها به سرورهای پستی مشتری سرازیر نشد و فضا را برای سایر نیازها آزاد کرد.

اما مواردی وجود داشته است که یک نامه قانونی به اشتباه به عنوان هرزنامه طبقه بندی شده است، به عنوان مثال، به عنوان دریافت شده از یک فرستنده نامعتبر. در این صورت ما حق تصمیم گیری را به مشتری دادیم. گزینه های زیادی برای انجام دادن وجود ندارد: فوراً آن را حذف کنید یا به قرنطینه بفرستید. ما مسیر دوم را انتخاب کردیم که در آن نامه های ناخواسته در خود SEG ذخیره می شود. ما به مدیر سیستم دسترسی به کنسول وب را فراهم کردیم که در آن او می‌توانست هر زمان که بخواهد نامه مهمی را پیدا کند، مثلاً از طرف مقابل، و آن را برای کاربر ارسال کند.

خلاص شدن از شر انگل ها

سرویس حفاظت از ایمیل شامل گزارش های تحلیلی است که هدف از آن نظارت بر امنیت زیرساخت و اثربخشی تنظیمات استفاده شده است. علاوه بر این، این گزارش ها به شما امکان پیش بینی روند را می دهد. به عنوان مثال، بخش مربوطه "هرزنامه توسط گیرنده" یا "هرزنامه توسط فرستنده" را در گزارش می‌یابیم و به آدرسی که بیشترین تعداد پیام‌های مسدود شده را دریافت می‌کند نگاه می‌کنیم.

در حین تجزیه و تحلیل چنین گزارشی بود که افزایش شدید تعداد کل نامه های یکی از مشتریان برای ما مشکوک به نظر می رسید. زیرساختش کم است، تعداد حروف کم است. و ناگهان، پس از یک روز کاری، مقدار هرزنامه های مسدود شده تقریبا دو برابر شد. تصمیم گرفتیم از نزدیک نگاه کنیم.

فراتر از آنتی اسپم: چگونه از دروازه ایمیل امنیتی بیشترین بهره را ببرید

می بینیم که تعداد نامه های ارسالی افزایش یافته است و همه آنها در قسمت "فرستنده" حاوی آدرس هایی از دامنه ای هستند که به سرویس حفاظت از نامه متصل است. اما یک نکته ظریف وجود دارد: در میان آدرس های کاملاً منطقی، شاید حتی موجود، آدرس های کاملاً عجیب و غریب وجود دارد. ما به IP هایی که نامه ها از آنها ارسال شده اند نگاه کردیم و کاملاً قابل انتظار بود که مشخص شد آنها به فضای آدرس محافظت شده تعلق ندارند. بدیهی است که مهاجم از طرف مشتری هرزنامه می فرستاد.

در این مورد، ما توصیه هایی را برای مشتری در مورد چگونگی پیکربندی صحیح رکوردهای DNS، به ویژه SPF ارائه کردیم. متخصص ما به ما توصیه کرد که یک رکورد TXT حاوی قانون "v=spf1 mx ip:1.2.3.4/23 -all" ایجاد کنیم، که حاوی لیست کاملی از آدرس هایی است که مجاز به ارسال نامه از طرف دامنه محافظت شده هستند.

در واقع، چرا این مهم است: هرزنامه از طرف یک شرکت کوچک ناشناخته ناخوشایند است، اما مهم نیست. برای مثال در صنعت بانکداری وضعیت کاملا متفاوت است. با توجه به مشاهدات ما، سطح اعتماد قربانی به ایمیل فیشینگ در صورتی که ظاهراً از دامنه بانک دیگری یا طرف مقابل شناخته شده برای قربانی ارسال شود، چندین برابر افزایش می یابد. و این نه تنها کارمندان بانک را متمایز می کند، بلکه در سایر صنایع - مثلاً انرژی - با همین روند روبرو هستیم.

کشتن ویروس ها

اما جعل به اندازه عفونت های ویروسی مشکل رایجی نیست. بیشتر اوقات چگونه با اپیدمی های ویروسی مبارزه می کنید؟ آنها یک آنتی ویروس نصب می کنند و امیدوارند که "دشمن از آن عبور نکند." اما اگر همه چیز به این سادگی بود، با توجه به هزینه نسبتاً پایین آنتی ویروس ها، همه مدت ها پیش مشکل بدافزار را فراموش کرده بودند. در همین حال، ما دائماً درخواست هایی از مجموعه دریافت می کنیم "به ما کمک کنید فایل ها را بازیابی کنیم، ما همه چیز را رمزگذاری کرده ایم، کار متوقف شده است، داده ها از بین می روند." ما هرگز از تکرار به مشتریان خود خسته نمی‌شویم که آنتی ویروس یک دارو نیست. علاوه بر این واقعیت که پایگاه داده های آنتی ویروس ممکن است به اندازه کافی سریع به روز نشوند، ما اغلب با بدافزارهایی مواجه می شویم که می توانند نه تنها آنتی ویروس ها، بلکه جعبه های ماسه ای را نیز دور بزنند.

متأسفانه تعداد کمی از کارمندان عادی سازمان ها از فیشینگ و ایمیل های مخرب آگاه هستند و می توانند آنها را از مکاتبات معمولی متمایز کنند. به طور متوسط، هر هفتمین کاربر که به طور منظم تحت افزایش آگاهی قرار نمی گیرد، تسلیم مهندسی اجتماعی می شود: باز کردن یک فایل آلوده یا ارسال داده های خود برای مهاجمان.

اگرچه بردار اجتماعی حملات، به طور کلی، به تدریج در حال افزایش است، این روند به ویژه در سال گذشته قابل توجه است. ایمیل‌های فیشینگ بیشتر و بیشتر شبیه پست‌های معمولی در مورد تبلیغات، رویدادهای آینده و غیره می‌شدند. در اینجا می‌توان حمله سکوت به بخش مالی را به یاد آورد - کارمندان بانک نامه‌ای دریافت کردند که ظاهراً دارای کد تبلیغاتی برای شرکت در کنفرانس صنعتی محبوب iFin بود و درصد کسانی که تسلیم این ترفند شدند بسیار بالا بود، اگرچه، به یاد داشته باشیم. ، ما در مورد صنعت بانکداری صحبت می کنیم - پیشرفته ترین در مسائل امنیت اطلاعات.

قبل از سال جدید گذشته، ما چندین موقعیت نسبتاً عجیب را مشاهده کردیم که کارکنان شرکت های صنعتی نامه های فیشینگ بسیار با کیفیت را با "فهرستی" از تبلیغات سال نو در فروشگاه های آنلاین محبوب و با کدهای تبلیغاتی برای تخفیف دریافت کردند. کارمندان نه تنها سعی کردند خودشان این پیوند را دنبال کنند، بلکه نامه را به همکاران سازمان های مرتبط نیز ارسال کردند. از آنجایی که منبعی که پیوند در ایمیل فیشینگ به آن منتهی می شد مسدود شد، کارمندان به طور انبوه شروع به ارسال درخواست به سرویس فناوری اطلاعات برای دسترسی به آن کردند. به طور کلی، موفقیت ارسال پستی باید فراتر از همه انتظارات مهاجمان باشد.

و اخیراً یک شرکت که "رمزگذاری شده" شده بود برای کمک به ما مراجعه کرد. همه چیز از زمانی شروع شد که کارمندان حسابداری نامه ای را از بانک مرکزی فدراسیون روسیه دریافت کردند. حسابدار روی لینک موجود در نامه کلیک کرد و ماینر WannaMine را روی دستگاه خود دانلود کرد، که مانند WannaCry معروف، از آسیب پذیری EternalBlue سوء استفاده کرد. جالب ترین چیز این است که اکثر آنتی ویروس ها از ابتدای سال 2018 توانسته اند امضای آن را شناسایی کنند. اما، یا آنتی ویروس غیرفعال بود، یا پایگاه داده ها به روز نشدند، یا اصلاً وجود نداشت - در هر صورت، ماینر از قبل روی رایانه بود، و هیچ چیز مانع از انتشار بیشتر آن در سراسر شبکه و بارگیری سرورها نشد. CPU و ایستگاه های کاری در 100٪.

این مشتری با دریافت گزارشی از تیم پزشکی قانونی ما، مشاهده کرد که ویروس ابتدا از طریق ایمیل به او نفوذ کرده و یک پروژه آزمایشی برای اتصال یک سرویس حفاظت از ایمیل راه اندازی کرد. اولین چیزی که ما راه اندازی کردیم یک آنتی ویروس ایمیل بود. در همان زمان، اسکن بدافزار به طور مداوم انجام می شود و به روز رسانی امضا در ابتدا هر ساعت انجام می شد و سپس مشتری به دو بار در روز تغییر می کرد.

محافظت کامل در برابر عفونت های ویروسی باید لایه لایه باشد. اگر در مورد انتقال ویروس ها از طریق ایمیل صحبت می کنیم، لازم است چنین نامه هایی را در ورودی فیلتر کنید، به کاربران آموزش دهید تا مهندسی اجتماعی را تشخیص دهند و سپس به آنتی ویروس ها و جعبه های شنی تکیه کنند.

در SEGda در نگهبانی

البته، ما ادعا نمی کنیم که راه حل های Secure Email Gateway یک نوشدارویی هستند. پیشگیری از حملات هدفمند، از جمله فیشینگ نیزه، بسیار دشوار است زیرا... هر حمله ای برای یک گیرنده خاص (سازمان یا شخص) "طراحی شده" است. اما برای شرکتی که سعی در ارائه سطح پایه ای از امنیت دارد، این امر بسیار زیاد است، به خصوص با تجربه و تخصص مناسب که در این کار به کار رفته است.

بیشتر اوقات، هنگامی که فیشینگ نیزه ای انجام می شود، پیوست های مخرب در بدنه نامه ها گنجانده نمی شوند، در غیر این صورت سیستم ضد هرزنامه بلافاصله چنین نامه ای را در مسیر خود به سمت گیرنده مسدود می کند. اما آنها پیوندهایی به یک منبع وب از پیش آماده شده را در متن نامه قرار می دهند، و سپس این یک موضوع کوچک است. کاربر پیوند را دنبال می کند و پس از چندین بار تغییر مسیر در عرض چند ثانیه به آخرین مورد در کل زنجیره می رسد که با باز شدن آن بدافزار بر روی رایانه او دانلود می شود.

حتی پیچیده تر: در لحظه ای که نامه را دریافت می کنید، پیوند می تواند بی ضرر باشد و تنها پس از گذشت مدتی، زمانی که قبلاً اسکن شده و رد شده است، شروع به تغییر مسیر به بدافزار می کند. متأسفانه، متخصصان Solar JSOC، حتی با در نظر گرفتن صلاحیت‌های خود، نمی‌توانند دروازه ایمیل را به گونه‌ای پیکربندی کنند که بدافزار را در کل زنجیره ببینند (اگرچه، به عنوان محافظت، می‌توانید از جایگزینی خودکار همه پیوندها با حروف استفاده کنید. به SEG، به طوری که دومی پیوند را نه تنها در زمان تحویل نامه، و در هر انتقال اسکن می کند).

در همین حال، حتی یک تغییر مسیر معمولی را می‌توان با تجمیع چندین نوع تخصص، از جمله داده‌های به‌دست‌آمده توسط JSOC CERT و OSINT ما، بررسی کرد. این به شما امکان می دهد لیست سیاه گسترده ای ایجاد کنید که بر اساس آن حتی نامه ای با چندین بار ارسال مسدود می شود.

استفاده از SEG فقط یک آجر کوچک در دیوار است که هر سازمانی می خواهد برای محافظت از دارایی های خود بسازد. اما این پیوند همچنین باید به درستی در تصویر کلی ادغام شود، زیرا حتی SEG نیز با پیکربندی مناسب می تواند به یک وسیله حفاظت کامل تبدیل شود.

Ksenia Sadunina، مشاور بخش پیش فروش تخصصی محصولات و خدمات Solar JSOC

منبع: www.habr.com

اضافه کردن نظر