Vaikka isoyritys rakentaa peräkkäisiä varoja mahdollisilta sisäisiltä hyökkääjiltä ja hakkereilta, tietojenkalastelu- ja roskapostiviestit ovat edelleen päänsärky yksinkertaisemmille yrityksille. Jos Marty McFly tietäisi, että vuonna 2015 (ja vielä enemmän vuonna 2020) ihmiset eivät vain keksi hoverboardeja, vaan eivät edes oppisi pääsemään kokonaan eroon roskapostista, hän luultavasti menettäisi uskonsa ihmiskuntaan. Lisäksi roskaposti ei ole nykyään vain ärsyttävää, vaan usein myös haitallista. Noin 70 prosentissa killchain-toteutuksista verkkorikolliset tunkeutuvat infrastruktuuriin liitteissä olevien haittaohjelmien tai sähköpostien tietojenkalastelulinkkien kautta.
Viime aikoina on ollut selvä suuntaus sosiaalisen suunnittelun leviämiseen keinona tunkeutua organisaation infrastruktuuriin. Vertailemalla vuosien 2017 ja 2018 tilastoja havaitsemme lähes 50 prosentin kasvun niiden tapausten määrässä, joissa haittaohjelmia on toimitettu työntekijöiden tietokoneille sähköpostin tekstiosassa olevien liitteiden tai tietojenkalastelulinkkien kautta.
Yleisesti ottaen kaikki sähköpostilla suoritettavat uhat voidaan jakaa useisiin luokkiin:
- saapuva roskaposti
- organisaation tietokoneiden sisällyttäminen bottiverkkoon, joka lähettää lähtevää roskapostia
- haitalliset liitteet ja virukset kirjeen rungossa (pienet yritykset kärsivät useimmiten massiivisista hyökkäyksistä, kuten Petya).
Suojautuaksesi kaikenlaisilta hyökkäyksiltä voit joko ottaa käyttöön useita tietoturvajärjestelmiä tai seurata palvelumallin polkua. Me jo Tietoja Unified Cybersecurity Services Platformista – Solar MSS:n hallittujen kyberturvallisuuspalvelujen ekosysteemin ytimestä. Se sisältää muun muassa virtualisoitua Secure Email Gateway (SEG) -tekniikkaa. Pääsääntöisesti tämän palvelun tilauksen ostavat pienet yritykset, joissa kaikki IT- ja tietoturvatoiminnot on annettu yhdelle henkilölle - järjestelmänvalvojalle. Roskaposti on ongelma, joka näkyy aina käyttäjille ja johdolle, eikä sitä voida jättää huomiotta. Ajan myötä jopa hallinta käy kuitenkin selväksi, että sitä on mahdotonta yksinkertaisesti "pudottaa" järjestelmänvalvojalle - se vie liian paljon aikaa.
2 tuntia postin jäsentämiseen on vähän paljon
Yksi jälleenmyyjistä otti meihin yhteyttä samanlaisessa tilanteessa. Ajanseurantajärjestelmät osoittivat, että joka päivä hänen työntekijänsä käyttivät noin 25 % työajastaan (2 tuntia!) postilaatikon selvittämiseen.
Asiakkaan sähköpostipalvelimen yhdistämisen jälkeen määritimme SEG-instanssin kaksisuuntaiseksi yhdyskäytäväksi sekä saapuvalle että lähtevälle postille. Aloitimme suodatuksen ennalta määritettyjen käytäntöjen mukaisesti. Kokosimme Mustan listan asiakkaan toimittamien tietojen analyysin ja Solarin JSOC:n asiantuntijoiden saamien omien mahdollisesti vaarallisten osoitteiden luetteloiden perusteella osana muita palveluita - esimerkiksi tietoturvahäiriöiden seurantaa. Sen jälkeen kaikki posti toimitettiin vastaanottajille vasta siivouksen jälkeen, ja erilaiset "suuria alennuksia" koskevat roskapostiviestit lakkasivat vuotamasta asiakkaan postipalvelimille tonneittain, mikä vapautti tilaa muihin tarpeisiin.
Mutta on ollut tilanteita, joissa laillinen kirje on virheellisesti luokiteltu roskapostiksi, esimerkiksi saatuna epäluotettavalta lähettäjältä. Tässä tapauksessa annoimme päätösoikeuden asiakkaalle. Ei ole monia vaihtoehtoja, mitä tehdä: poistaa se välittömästi tai lähettää se karanteeniin. Valitsimme toisen polun, jossa tällainen roskaposti tallennetaan itse SEG:hen. Järjestimme järjestelmänvalvojalle pääsyn verkkokonsoliin, josta hän löysi milloin tahansa tärkeän kirjeen esimerkiksi vastapuolelta ja välitti sen käyttäjälle.
Loisista eroon pääseminen
Sähköpostin suojauspalvelu sisältää analyyttiset raportit, joiden tarkoituksena on seurata infrastruktuurin turvallisuutta ja käytettyjen asetusten toimivuutta. Lisäksi näiden raporttien avulla voit ennustaa trendejä. Löydämme raportista esimerkiksi vastaavan osion "Roskaposti vastaanottajalta" tai "Roskaposti lähettäjältä" ja katsomme, kenen osoitteeseen tulee eniten estettyjä viestejä.
Juuri tällaista raporttia analysoitaessa yhdeltä asiakkaalta tulleiden kirjeiden jyrkästi lisääntynyt kokonaismäärä tuntui meille epäilyttävältä. Sen infrastruktuuri on pieni, kirjaimia on vähän. Ja yhtäkkiä työpäivän jälkeen estetyn roskapostin määrä lähes kaksinkertaistui. Päätimme katsoa tarkemmin.
Näemme, että lähtevien kirjeiden määrä on kasvanut ja ne kaikki "Lähettäjä"-kentässä sisältävät osoitteita verkkotunnuksesta, joka on yhteydessä sähköpostin suojauspalveluun. Mutta on yksi vivahde: melko järkevien, ehkä jopa olemassa olevien osoitteiden joukossa on selvästi outoja. Katselimme IP-osoitteita, joista kirjeet lähetettiin, ja odotetusti kävi ilmi, että ne eivät kuulu suojattuun osoiteavaruuteen. Ilmeisesti hyökkääjä lähetti roskapostia asiakkaan puolesta.
Tässä tapauksessa teimme asiakkaalle suosituksia DNS-tietueiden, erityisesti SPF:n, oikein määrittämiseksi. Asiantuntijamme neuvoi meitä luomaan TXT-tietueen, joka sisältää säännön "v=spf1 mx ip:1.2.3.4/23 -all", joka sisältää kattavan luettelon osoitteista, jotka saavat lähettää kirjeitä suojatun verkkotunnuksen puolesta.
Oikeastaan miksi tämä on tärkeää: roskaposti tuntemattoman pienen yrityksen puolesta on epämiellyttävää, mutta ei kriittistä. Täysin erilainen tilanne on esimerkiksi pankkialalla. Havainnojemme mukaan uhrin luottamus phishing-sähköpostiin moninkertaistuu, jos se oletetaan lähetetyn toisen pankin tai uhrin tunteman vastapuolen verkkotunnuksesta. Tämä ei erota vain pankkien työntekijöitä, vaan myös muilla aloilla - esimerkiksi energia-alalla - kohtaamme saman suuntauksen.
Tappaa viruksia
Mutta huijaus ei ole niin yleinen ongelma kuin esimerkiksi virusinfektiot. Miten taistelet useimmiten virusepidemiasta? He asentavat virustorjuntaohjelman ja toivovat, että "vihollinen ei pääse läpi". Mutta jos kaikki olisi niin yksinkertaista, kaikki olisivat jo kauan sitten unohtaneet haittaohjelmien ongelman, kun otetaan huomioon virustorjuntaohjelmistojen melko alhaiset kustannukset. Samalla saamme jatkuvasti pyyntöjä sarjasta "auta meitä palauttamaan tiedostot, olemme salaaneet kaiken, työ pysähtyy, tiedot katoavat." Emme koskaan väsy toistamaan asiakkaillemme, että virustorjunta ei ole ihmelääke. Sen lisäksi, että virustentorjuntatietokantoja ei välttämättä päivitetä tarpeeksi nopeasti, kohtaamme usein haittaohjelmia, jotka voivat ohittaa virustentorjunnan lisäksi myös hiekkalaatikot.
Valitettavasti harvat organisaatioiden tavalliset työntekijät ovat tietoisia tietojenkalastelusta ja haitallisista sähköposteista ja pystyvät erottamaan ne tavallisesta kirjeenvaihdosta. Keskimäärin joka seitsemäs käyttäjä, joka ei käy läpi säännöllistä tietoisuuden lisäämistä, antautuu manipulointiin: avaa tartunnan saaneen tiedoston tai lähettää tietonsa hyökkääjille.
Vaikka hyökkäysten sosiaalinen vektori on yleisesti ottaen vähitellen lisääntynyt, tämä suuntaus on tullut erityisen havaittavaksi viime vuonna. Tietojenkalasteluviestit olivat yhä enemmän samankaltaisia kuin tavallisia kampanjoita, tulevia tapahtumia jne. koskevia sähköpostiviestejä. Tästä voidaan muistaa Silence-hyökkäys finanssisektoria vastaan - pankin työntekijät saivat kirjeen, jossa väitetään tarjouskoodin osallistumisesta suosittuun alan konferenssiin iFin, ja tempulle antautuneiden prosenttiosuus oli erittäin korkea, vaikka muistakaamme. , puhumme pankkialasta - edistyneimmistä tietoturvakysymyksissä.
Ennen kulunutta uutta vuotta havaitsimme myös useita varsin outoja tilanteita, kun teollisuusyritysten työntekijät saivat erittäin laadukkaita phishing-kirjeitä, joissa oli "luettelo" suosituista verkkokaupoista uudenvuoden kampanjat ja alennuskoodit. Työntekijät eivät vain yrittäneet seurata linkkiä itse, vaan myös välittivät kirjeen kollegoille asiaan liittyvistä organisaatioista. Koska resurssi, johon phishing-sähköpostin linkki johti, oli estetty, työntekijät alkoivat lähettää joukoittain pyyntöjä IT-palvelulle pääsyn antamiseen. Yleisesti ottaen postituksen onnistumisen on täytynyt ylittää kaikki hyökkääjien odotukset.
Ja äskettäin "salattu" yritys kääntyi puoleemme saadakseen apua. Kaikki alkoi, kun kirjanpitotyöntekijät saivat kirjeen väitetysti Venäjän federaation keskuspankilta. Kirjanpitäjä napsautti kirjeessä olevaa linkkiä ja latasi koneelleen WannaMine-kaivostyöntekijän, joka, kuten kuuluisa WannaCry, käytti hyväkseen EternalBlue-haavoittuvuutta. Mielenkiintoisin asia on, että useimmat virustorjuntaohjelmat ovat pystyneet havaitsemaan sen allekirjoitukset vuoden 2018 alusta lähtien. Mutta joko virustorjunta poistettiin käytöstä tai tietokantoja ei päivitetty, tai sitä ei ollut ollenkaan - joka tapauksessa kaivosmies oli jo tietokoneella, eikä mikään estänyt sitä leviämästä edelleen verkon yli lataamalla palvelimia CPU ja työasemat 100 % .
Tämä asiakas, saatuaan rikoslääketiimimme raportin, huomasi viruksen tunkeutuneen häneen alun perin sähköpostin välityksellä ja käynnisti pilottiprojektin sähköpostin suojauspalvelun yhdistämiseksi. Ensimmäinen asia, jonka määritimme, oli sähköpostin virustorjunta. Samaan aikaan haittaohjelmien varalta etsitään jatkuvasti ja allekirjoituspäivityksiä tehtiin aluksi tunnin välein, minkä jälkeen asiakas siirtyi kahdesti päivässä.
Täysi suoja virusinfektioita vastaan on kerrostettava. Jos puhumme virusten välittämisestä sähköpostitse, on tarpeen suodattaa tällaiset kirjeet sisäänkäynnistä, kouluttaa käyttäjiä tunnistamaan sosiaalinen suunnittelu ja luottaa sitten virustorjuntaohjelmiin ja hiekkalaatikoihin.
SEGdassa vartiossa
Emme tietenkään väitä, että Secure Email Gateway -ratkaisut olisivat ihmelääke. Kohdennettuja hyökkäyksiä, mukaan lukien keihästietojenkalastelu, on erittäin vaikea estää, koska... Jokainen tällainen hyökkäys on "räätälöity" tietylle vastaanottajalle (organisaatiolle tai henkilölle). Mutta yritykselle, joka yrittää tarjota perusturvatason, tämä on paljon, varsinkin kun tehtävään sovelletaan oikeaa kokemusta ja asiantuntemusta.
Useimmiten, kun keihään tietojenkalastelu suoritetaan, haitallisia liitteitä ei sisällytetä kirjeen runkoon, muuten roskapostin estojärjestelmä estää välittömästi tällaisen kirjeen matkalla vastaanottajalle. Mutta ne sisältävät kirjeen tekstissä linkkejä valmiiksi valmistettuun verkkoresurssiin, ja sitten se on pieni asia. Käyttäjä seuraa linkkiä ja päätyy useiden uudelleenohjausten jälkeen muutamassa sekunnissa koko ketjun viimeiseen, jonka avaaminen lataa haittaohjelmia hänen tietokoneelleen.
Vielä hienostuneempi: kirjeen vastaanottamishetkellä linkki voi olla vaaraton ja vasta jonkin ajan kuluttua, kun se on jo skannattu ja ohitettu, se alkaa uudelleenohjata haittaohjelmiin. Valitettavasti Solarin JSOC-asiantuntijat eivät edes osaamisensa huomioon ottaen pysty konfiguroimaan sähköpostiyhdyskäytävää niin, että se "näkee" haittaohjelmat koko ketjun läpi (vaikka suojana voit käyttää kaikkien kirjainten linkkien automaattista korvaamista SEG:hen, jotta jälkimmäinen skannaa linkkiä paitsi kirjeen toimitushetkellä ja jokaisen siirtymän yhteydessä).
Samaan aikaan jopa tyypillinen uudelleenohjaus voidaan käsitellä yhdistämällä useita erityyppisiä asiantuntemuksia, mukaan lukien JSOC CERT:n ja OSINT:n keräämät tiedot. Näin voit luoda laajennettuja mustia listoja, joiden perusteella jopa usean edelleenlähetyksen sisältävä kirje estetään.
SEG:n käyttö on vain pieni tiili seinään, jonka mikä tahansa organisaatio haluaa rakentaa suojellakseen omaisuuttaan. Mutta tämä linkki on myös integroitava oikein kokonaiskuvaan, koska jopa SEG voidaan oikealla konfiguraatiolla muuttaa täysimittaiseksi suojakeinoksi.
Ksenia Sadunina, Solar JSOC -tuotteiden ja -palveluiden ennakkomyyntiosaston konsultti
Lähde: will.com