Wylst de grutte Enterprise ekeloned redoubts bouwt fan potensjele ynterne oanfallers en hackers, bliuwe phishing- en spam-mailings in kopke foar ienfâldiger bedriuwen. As Marty McFly wist dat yn 2015 (en noch mear yn 2020) minsken net allinnich gjin hoverboards útfine, mar net iens leare om folslein kwyt te reitsjen fan junkmail, soe hy wierskynlik it fertrouwen yn 'e minske ferlieze. Boppedat is spam hjoed net allinich ferfelend, mar faaks skealik. Yn sawat 70% fan killchain-ymplemintaasjes penetrearje cyberkriminelen de ynfrastruktuer mei malware befette yn taheaksels of fia phishing-keppelings yn e-mails.
Koartlyn is d'r in dúdlike trend west nei de fersprieding fan sosjale technyk as in manier om de ynfrastruktuer fan in organisaasje te penetrearjen. Fergelykjen fan statistiken fan 2017 en 2018, sjogge wy in hast 50% tanimming yn it oantal gefallen wêryn malware waard levere oan wurknimmerskompjûters fia taheaksels of phishing-keppelings yn it lichem fan in e-post.
Yn 't algemien kin it heule oanbod fan bedrigingen dy't kinne wurde útfierd mei e-post wurde ferdield yn ferskate kategoryen:
- ynkommende spam
- opnimmen fan kompjûters fan in organisaasje yn in botnet dat útgeande spam ferstjoert
- kweade taheaksels en firussen yn it lichem fan 'e brief (lytse bedriuwen meastentiids lêst fan massive oanfallen lykas Petya).
Om te beskermjen tsjin alle soarten oanfallen, kinne jo ferskate ynformaasjebefeiligingssystemen ynsette, of it paad folgje fan in tsjinstmodel. Wy al oer it Unified Cybersecurity Services Platform - de kearn fan it ekosysteem foar Solar MSS managed cybersecurity services. It omfettet ûnder oare virtualisearre Secure Email Gateway (SEG) technology. As regel wurdt in abonnemint op dizze tsjinst kocht troch lytse bedriuwen wêryn alle IT- en ynformaasjefeiligensfunksjes wurde tawiisd oan ien persoan - de systeembehearder. Spam is in probleem dat altyd sichtber is foar brûkers en behear, en it kin net negearre wurde. Lykwols, yn 'e rin fan' e tiid, sels it behear wurdt dúdlik dat it ûnmooglik is om it gewoan "drop" nei de systeembehearder - it nimt te folle tiid.
2 oeren om e-post te parsearjen is in bytsje folle
Ien fan 'e winkellju benadere ús mei in ferlykbere situaasje. Tiid tracking systemen lieten sjen dat syn meiwurkers alle dagen sa'n 25% fan har wurktiid (2 oeren!) bestege oan it sortearjen fan de brievebus.
Nei't de e-posttsjinner fan 'e klant ferbûn is, hawwe wy de SEG-eksimplaar konfigureare as in twa-wei poarte foar sawol ynkommende as útgeande post. Wy begûnen te filterjen neffens foarôf fêststeld belied. Wy hawwe de Blacklist gearstald op basis fan in analyze fan 'e gegevens levere troch de klant en ús eigen listen fan potensjeel gefaarlike adressen krigen troch Solar JSOC-saakkundigen as ûnderdiel fan oare tsjinsten - bygelyks it kontrolearjen fan ynsidinten fan ynformaasjefeiligens. Dêrnei waard alle e-post allinich nei it skjinmeitsjen oan ûntfangers besoarge, en ferskate spam-mailings oer "grutte koartingen" stopten yn tonnen yn 'e e-posttsjinners fan' e klant te streamen, wêrtroch't romte frijmakke foar oare behoeften.
Mar d'r hawwe situaasjes west doe't in legitime brief per fersin as spam waard klassifisearre, bygelyks as ûntfongen fan in net-fertroude stjoerder. Yn dit gefal joegen wy it rjocht fan beslút oan de klant. D'r binne net in protte opsjes oer wat te dwaan: it fuortdaliks wiskje of stjoer it nei karantine. Wy hawwe it twadde paad keazen, wêryn sokke junkmail op 'e SEG sels opslein wurdt. Wy joegen de systeembehearder tagong ta de webkonsole, wêryn hy op elk momint in wichtige brief koe fine, bygelyks fan in tsjinpartij, en trochstjoere nei de brûker.
It fuortheljen fan parasiten
De tsjinst foar e-postbeskerming omfettet analytyske rapporten, wêrfan it doel is om de feiligens fan 'e ynfrastruktuer en de effektiviteit fan' e brûkte ynstellingen te kontrolearjen. Derneist kinne dizze rapporten jo trends foarsizze. Wy fine bygelyks de oerienkommende seksje "Spam troch ûntfanger" of "Spam troch stjoerder" yn it rapport en sjogge nei waans adres it grutste oantal blokkearre berjochten ûntfangt.
It wie by it analysearjen fan sa'n rapport dat it sterk tanommen totale oantal brieven fan ien fan 'e klanten ús fertocht like. De ynfrastruktuer is lyts, it oantal letters is leech. En ynienen, nei in wurkdei, it bedrach fan blokkearre spam hast ferdûbele. Wy besletten om in tichterby te sjen.
Wy sjogge dat it oantal útgeande brieven is tanommen, en allegear yn it fjild "Stjoerder" befetsje adressen fan in domein dat is ferbûn mei de tsjinst foar e-postbeskerming. Mar der is ien nuânse: ûnder frij ferstannige, faaks sels besteande, adressen sitte dúdlik nuvere. Wy hawwe sjoen nei de IP's wêrfan't de brieven ferstjoerd binne, en, frij ferwachte, die bliken dat se net ta de beskerme adresromte hearden. Fansels stjoerde de oanfaller spam út namme fan 'e klant.
Yn dit gefal hawwe wy oanbefellings makke foar de klant oer hoe't jo DNS-records korrekt konfigurearje, spesifyk SPF. Us spesjalist advisearre ús om in TXT-record te meitsjen mei de regel "v=spf1 mx ip:1.2.3.4/23 -all", dy't in útputtende list befettet mei adressen dy't brieven kinne ferstjoere út namme fan it beskerme domein.
Eigentlik, wêrom dit wichtich is: spam út namme fan in ûnbekend lyts bedriuw is onaangenaam, mar net kritysk. De situaasje is folslein oars, bygelyks yn 'e banksektor. Neffens ús waarnimmings nimt it nivo fan fertrouwen fan it slachtoffer yn in phishing-e-post in protte kearen ta as it wurdt ferstjoerd fan it domein fan in oare bank of in tsjinpartij dy't bekend is oan it slachtoffer. En dit ûnderskiedt net allinich bankmeiwurkers; yn oare yndustry - de enerzjysektor bygelyks - hawwe wy te krijen mei deselde trend.
Killing firussen
Mar spoofing is net sa gewoan in probleem as bygelyks firale ynfeksjes. Hoe fjochtsje jo meast foar virale epidemyen? Se ynstallearje in antyvirus en hoopje dat "de fijân net trochkomt." Mar as alles sa ienfâldich wie, dan, sjoen de frij lege kosten fan anty-firus, soe elkenien it probleem fan malware lang fergetten hawwe. Underwilens krije wy konstant oanfragen út 'e searje "help ús de bestannen te herstellen, wy hawwe alles fersifere, it wurk is stil, de gegevens binne ferlern." Wy wurde noait wurch om ús klanten te herheljen dat antivirus gjin panacee is. Neist it feit dat anty-firus-databases miskien net fluch genôch bywurke wurde, komme wy faaks malware tsjin dy't net allinich anty-firusen, mar ek sânbakken kinne omgean.
Spitigernôch binne in pear gewoane meiwurkers fan organisaasjes bewust fan phishing en kweade e-mails en kinne se ûnderskiede fan reguliere korrespondinsje. Gemiddeld, elke 7e brûker dy't gjin reguliere bewustwêzen ûndergiet, beswykt foar sosjale engineering: in ynfekteare bestân iepenje of har gegevens nei oanfallers stjoere.
Hoewol't de sosjale fektor fan oanfallen, yn 't algemien, stadichoan tanommen is, is dizze trend ferline jier benammen merkber wurden. Phishing-e-mails waarden mear en mear ferlykber mei reguliere mailings oer promoasjes, kommende eveneminten, ensfh. Hjir kinne wy de Silence-oanfal op 'e finansjele sektor ûnthâlde - bankmeiwurkers krigen in brief nei alle gedachten mei in promoasjekoade foar dielname oan' e populêre yndustrykonferinsje iFin, en it persintaazje fan dyjingen dy't beswieren foar de trúk wie heul heech, hoewol, lit ús ûnthâlde , wy prate oer de banksektor - de meast avansearre yn saken fan ynformaasjefeiligens.
Foar it lêste nijjier hawwe wy ek ferskate frij nijsgjirrige situaasjes waarnommen doe't meiwurkers fan yndustriële bedriuwen tige heechweardige phishingbrieven krigen mei in "list" fan nijjierspromoasjes yn populêre online winkels en mei promoasjekoades foar koartingen. Meiwurkers besochten net allinnich sels de keppeling te folgjen, mar hawwe de brief ek trochstjoerd oan kollega's fan besibbe organisaasjes. Sûnt de boarne wêrnei't de keppeling yn 'e phishing-e-post liedt waard blokkearre, begon meiwurkers massaal oanfragen yn te tsjinjen by de IT-tsjinst om tagong ta it te jaan. Yn 't algemien moat it sukses fan' e mailing alle ferwachtingen fan 'e oanfallers hawwe oertroffen.
En koartlyn draaide in bedriuw dat wie "fersifere" ta ús om help. It begon allegear doe't boekhâldkundige meiwurkers in brief krigen nei alle gedachten fan 'e Sintrale Bank fan' e Russyske Federaasje. De boekhâlder klikte op de keppeling yn 'e brief en downloadde de WannaMine-miner op syn masine, dy't, lykas de ferneamde WannaCry, de kwetsberens fan EternalBlue eksploitearre. It meast nijsgjirrige is dat de measte antyvirussen har hantekeningen sûnt it begjin fan 2018 kinne ûntdekke. Mar, of it antivirus wie útskeakele, of de databases waarden net bywurke, of it wie der hielendal net - yn alle gefallen wie de miner al op 'e kompjûter, en neat hindere dat it fierder ferspriedt oer it netwurk, it laden fan de servers' CPU en wurkstasjons op 100%.
Dizze klant, nei't hy in rapport krige fan ús forensysk team, seach dat it firus him yn 't earstoan fia e-post penetrearre, en lansearre in pilotprojekt om in e-postbeskermingstsjinst te ferbinen. It earste ding dat wy ynstelde wie in e-post antivirus. Tagelyk wurdt skennen foar malware konstant útfierd, en hantekeningupdates waarden yn earste ynstânsje elke oere útfierd, en dan skeakele de klant twa kear deis oer.
Folsleine beskerming tsjin virale ynfeksjes moatte lagen wurde. As wy prate oer de oerdracht fan firussen fia e-post, dan is it nedich om te filterjen sokke brieven by de yngong, trein brûkers te werkennen sosjale engineering, en dan fertrouwe op antiviruses en sânbakken.
yn SEGda op wacht
Fansels beweare wy net dat Secure Email Gateway-oplossingen in panacee binne. Doelrjochte oanfallen, ynklusyf spear phishing, binne ekstreem lestich te foarkommen, om't ... Elke sa'n oanfal is "op maat" foar in spesifike ûntfanger (organisaasje of persoan). Mar foar in bedriuw dat besiket in basisnivo fan feiligens te leverjen, is dit in protte, benammen mei de juste ûnderfining en saakkundigens tapast op 'e taak.
Meastentiids, as spear phishing wurdt útfierd, binne kweade taheaksels net opnommen yn it lichem fan brieven, oars sil it antispamsysteem sa'n brief fuortendaliks blokkearje op 'e wei nei de ûntfanger. Mar se befetsje keppelings nei in foarôf taret web boarne yn 'e tekst fan' e brief, en dan is it in lytse saak. De brûker folget de keppeling, en dan, nei ferskate trochferwizings yn in kwestje fan sekonden, einiget op 'e lêste yn' e heule keten, wêrfan de iepening malware op syn kompjûter sil downloade.
Noch mear ferfine: op it momint dat jo de brief ûntfange, kin de keppeling harmless wêze en pas nei in skoftke ferrûn, as it al is skansearre en oerslein, sil it begjinne te ferwizen nei malware. Spitigernôch sille Solar JSOC-spesjalisten, sels mei har kompetinsjes yn 'e rekken, de e-postpoarte net kinne konfigurearje om malware troch de heule keten te "sjen" (hoewol't jo as beskerming de automatyske ferfanging fan alle keppelings yn letters kinne brûke nei SEG, sadat de lêste de keppeling scant net allinich op it momint fan levering fan 'e brief, en by elke oergong).
Underwilens kin sels in typyske trochferwizing behannele wurde troch de aggregaasje fan ferskate soarten ekspertize, ynklusyf gegevens krigen troch ús JSOC CERT en OSINT. Hjirmei kinne jo útwreide swartelisten meitsje, basearre op wêrfan sels in brief mei meardere trochstjoeren blokkearre wurdt.
It brûken fan SEG is gewoan in lytse bakstien yn 'e muorre dy't elke organisaasje wol bouwe om har fermogen te beskermjen. Mar dizze keppeling moat ek goed yntegreare wurde yn it totale byld, om't sels SEG, mei juste konfiguraasje, kin wurde omset yn in folweardich middel fan beskerming.
Ksenia Sadunina, adviseur fan 'e saakkundige presale ôfdieling fan Solar JSOC produkten en tsjinsten
Boarne: www.habr.com