Mentres a gran empresa está construíndo reductos escalonados de potenciais atacantes internos e hackers, os correos de phishing e spam seguen sendo unha dor de cabeza para as empresas máis sinxelas. Se Marty McFly soubese que en 2015 (e máis aínda en 2020) a xente non só non inventaría os hoverboards, senón que nin sequera aprendería a desfacerse por completo do correo lixo, probablemente perdería a fe na humanidade. Ademais, hoxe en día o correo lixo non só é molesto, senón que moitas veces é prexudicial. En aproximadamente o 70 % das implementacións de killchain, os ciberdelincuentes penetran na infraestrutura usando malware contido en anexos ou mediante ligazóns de phishing nos correos electrónicos.
Recentemente, houbo unha clara tendencia á difusión da enxeñaría social como forma de penetrar na infraestrutura dunha organización. Comparando as estatísticas de 2017 e 2018, observamos un aumento de case un 50 % no número de casos nos que se enviou malware aos ordenadores dos empregados a través de anexos ou ligazóns de phishing no corpo dun correo electrónico.
En xeral, toda a gama de ameazas que se poden levar a cabo mediante o correo electrónico pódese dividir en varias categorías:
- spam entrante
- inclusión dos ordenadores dunha organización nunha botnet que envía spam saínte
- anexos maliciosos e virus no corpo da carta (as pequenas empresas adoitan sufrir ataques masivos como Petya).
Para protexerse contra todo tipo de ataques, pode implantar varios sistemas de seguridade da información ou seguir o camiño dun modelo de servizo. Nós xa sobre a Plataforma de servizos de ciberseguridade unificadas: o núcleo do ecosistema de servizos de ciberseguridade xestionados por Solar MSS. Entre outras cousas, inclúe a tecnoloxía Secure Email Gateway (SEG) virtualizada. Como regra xeral, unha subscrición a este servizo é adquirida por pequenas empresas nas que todas as funcións de seguridade da información e informática están asignadas a unha persoa: o administrador do sistema. O spam é un problema que sempre é visible para os usuarios e para a dirección e non se pode ignorar. Non obstante, co paso do tempo, incluso a xestión queda claro que é imposible simplemente "deixalo" ao administrador do sistema - leva demasiado tempo.
2 horas para analizar o correo é un pouco moito
Un dos comerciantes achegouse a nós cunha situación similar. Os sistemas de seguimento do tempo mostraron que todos os días os seus empregados dedicaban aproximadamente o 25% do seu tempo de traballo (¡2 horas!) a ordenar a caixa de correo.
Despois de conectar o servidor de correo do cliente, configuramos a instancia SEG como unha pasarela bidireccional tanto para o correo entrante como para o saínte. Comezamos a filtrar segundo as políticas preestablecidas. Elaboramos a Lista negra en base a unha análise dos datos proporcionados polo cliente e as nosas propias listas de enderezos potencialmente perigosos obtidas polos expertos de Solar JSOC como parte doutros servizos, por exemplo, o seguimento de incidentes de seguridade da información. Despois diso, todo o correo foi entregado aos destinatarios só despois da limpeza, e varios correos de spam sobre "grandes descontos" deixaron de verterse nos servidores de correo do cliente en toneladas, liberando espazo para outras necesidades.
Pero houbo situacións nas que unha carta lexítima foi clasificada por erro como spam, por exemplo, como recibida dun remitente non fiable. Neste caso, demos o dereito de decisión ao cliente. Non hai moitas opcións sobre o que facer: borralo inmediatamente ou envialo á corentena. Escollemos o segundo camiño, no que tal correo lixo se almacena no propio SEG. Facilitámoslle ao administrador do sistema acceso á consola web, na que podía atopar unha carta importante en calquera momento, por exemplo, dunha contraparte, e reenviala ao usuario.
Desfacerse dos parasitos
O servizo de protección de correo electrónico inclúe informes analíticos, cuxa finalidade é supervisar a seguridade da infraestrutura e a eficacia da configuración utilizada. Ademais, estes informes permiten prever tendencias. Por exemplo, atopamos o apartado correspondente “Spam por destinatario” ou “Spam por remitente” no informe e miramos cuxo enderezo recibe o maior número de mensaxes bloqueadas.
Foi ao analizar tal informe cando o aumento brusco do número total de cartas dun dos clientes pareceunos sospeitoso. A súa infraestrutura é pequena, o número de letras é baixo. E de súpeto, despois dun día de traballo, a cantidade de spam bloqueado case se duplicou. Decidimos mirar máis de cerca.
Vemos que o número de cartas saíntes aumentou, e todas elas no campo "Remitente" conteñen enderezos dun dominio que está conectado ao servizo de protección de correo. Pero hai un matiz: entre enderezos bastante sensatos, quizais mesmo existentes, hai outros claramente estraños. Observamos as IP desde as que se enviaron as cartas e, como era de esperar, resultou que non pertencían ao espazo de enderezos protexido. Obviamente, o atacante estaba enviando spam en nome do cliente.
Neste caso, fixemos recomendacións para o cliente sobre como configurar correctamente os rexistros DNS, concretamente SPF. O noso especialista recomendounos crear un rexistro TXT que conteña a regra “v=spf1 mx ip:1.2.3.4/23 -all”, que contén unha lista exhaustiva de enderezos que poden enviar cartas en nome do dominio protexido.
En realidade, por que isto é importante: o correo lixo en nome dunha pequena empresa descoñecida é desagradable, pero non crítico. A situación é completamente diferente, por exemplo, no sector bancario. Segundo as nosas observacións, o nivel de confianza da vítima nun correo electrónico de phishing aumenta moitas veces se supostamente se envía desde o dominio doutro banco ou dunha contraparte coñecida pola vítima. E iso distingue non só aos empregados bancarios, noutras industrias -o sector enerxético por exemplo- estamos ante a mesma tendencia.
Matar virus
Pero a suplantación non é un problema tan común como, por exemplo, as infeccións virais. Como loitas a miúdo contra as epidemias virais? Instalan un antivirus e esperan que "o inimigo non pase". Pero se todo fose tan sinxelo, entón, dado o custo bastante baixo dos antivirus, todo o mundo se esquecería hai tempo do problema do malware. Mentres tanto, recibimos constantemente solicitudes da serie "axúdanos a restaurar os ficheiros, ciframos todo, o traballo está paralizado, os datos pérdense". Nunca nos cansamos de repetirlles aos nosos clientes que o antivirus non é unha panacea. Ademais do feito de que as bases de datos antivirus poden non actualizarse o suficientemente rápido, adoitamos atopar malware que pode evitar non só antivirus, senón tamén sandbox.
Desafortunadamente, poucos empregados comúns das organizacións coñecen o phishing e os correos electrónicos maliciosos e son capaces de distinguilos da correspondencia habitual. De media, cada 7.º usuario que non se somete a unha sensibilización regular sucumbe á enxeñería social: abrir un ficheiro infectado ou enviar os seus datos a atacantes.
Aínda que o vector social dos ataques, en xeral, foi aumentando paulatinamente, esta tendencia púxose especialmente notoria o ano pasado. Os correos electrónicos de phishing eran cada vez máis semellantes aos correos regulares sobre promocións, próximos eventos, etc. Aquí podemos lembrar o ataque do silencio ao sector financeiro: os empregados bancarios recibiron unha carta supostamente cun código promocional para participar na popular conferencia da industria iFin, e a porcentaxe dos que sucumbiron ao truco foi moi alta, aínda que, lembremos. , estamos a falar do sector bancario - o máis avanzado en materia de seguridade da información.
Antes do último ano, tamén observamos varias situacións bastante curiosas cando os empregados de empresas industriais recibiron cartas de phishing de moi alta calidade cunha "lista" de promocións de ano en tendas en liña populares e con códigos promocionais para descontos. Os empregados non só tentaron seguir a ligazón eles mesmos, senón que tamén enviaron a carta a compañeiros de organizacións relacionadas. Dado que se bloqueou o recurso ao que dirixía a ligazón do correo electrónico de phishing, os empregados comezaron a enviar masivamente solicitudes ao servizo informático para facilitar o acceso a el. En xeral, o éxito do correo debe superar todas as expectativas dos atacantes.
E recentemente unha empresa que fora "cifrada" recorreu a nós para pedir axuda. Todo comezou cando os empregados de contabilidade recibiron unha carta supostamente do Banco Central da Federación Rusa. O contador fixo clic na ligazón da carta e descargou o mineiro WannaMine na súa máquina, que, como o famoso WannaCry, explotou a vulnerabilidade EternalBlue. O máis interesante é que a maioría dos antivirus foron capaces de detectar as súas firmas desde principios de 2018. Pero, ou o antivirus estaba desactivado, ou as bases de datos non se actualizaron, ou non estaba alí en absoluto; en calquera caso, o mineiro xa estaba no ordenador, e nada impediu que se espallase máis pola rede, cargando os servidores. CPU e estacións de traballo ao 100%.
Este cliente, despois de recibir un informe do noso equipo forense, viu que o virus inicialmente lle penetraba a través do correo electrónico e puxo en marcha un proxecto piloto para conectar un servizo de protección de correo electrónico. O primeiro que configuramos foi un antivirus de correo electrónico. Ao mesmo tempo, a busca de malware realízase constantemente e as actualizacións de sinaturas realizáronse inicialmente cada hora e, a continuación, o cliente cambiou a dúas veces ao día.
A protección total contra as infeccións virais debe ser en capas. Se falamos da transmisión de virus a través do correo electrónico, entón é necesario filtrar tales cartas na entrada, formar aos usuarios para que recoñezan a enxeñaría social e, a continuación, confiar en antivirus e sandbox.
en SEGda de garda
Por suposto, non afirmamos que as solucións de Secure Email Gateway sexan unha panacea. Os ataques dirixidos, incluído o spear phishing, son extremadamente difíciles de evitar porque... Cada ataque deste tipo está "adaptado" a un destinatario específico (organización ou persoa). Pero para unha empresa que intenta proporcionar un nivel básico de seguridade, isto é moito, especialmente coa experiencia e coñecementos adecuados aplicados á tarefa.
Na maioría das veces, cando se realiza phishing, os anexos maliciosos non se inclúen no corpo das cartas, se non, o sistema antispam bloqueará inmediatamente esa carta no seu camiño cara ao destinatario. Pero inclúen ligazóns a un recurso web preparado previamente no texto da carta, e entón é unha cuestión pequena. O usuario segue a ligazón e, despois de varias redireccións en cuestión de segundos, remata no último de toda a cadea, cuxa apertura descargará malware no seu ordenador.
Aínda máis sofisticado: no momento en que recibe a carta, a ligazón pode ser inofensiva e só despois de pasar algún tempo, cando xa foi dixitalizada e omitida, comezará a redirixirse ao malware. Desafortunadamente, os especialistas de Solar JSOC, aínda tendo en conta as súas competencias, non poderán configurar a pasarela de correo para "ver" o malware en toda a cadea (aínda que, como protección, pode utilizar a substitución automática de todas as ligazóns en letras). a SEG, para que este escanee o enlace non só no momento da entrega da carta, e en cada transición).
Mentres tanto, ata unha redirección típica pódese tratar mediante a agregación de varios tipos de coñecementos, incluídos os datos obtidos polo noso JSOC CERT e OSINT. Isto permítelle crear listas negras estendidas, en función das cales ata se bloqueará unha carta con reenvío múltiple.
Usar SEG é só un pequeno ladrillo no muro que calquera organización quere construír para protexer os seus activos. Pero esta ligazón tamén debe integrarse correctamente na imaxe xeral, porque incluso SEG, cunha configuración adecuada, pode converterse nun medio de protección completo.
Ksenia Sadunina, consultora do departamento experto en preventa de produtos e servizos Solar JSOC
Fonte: www.habr.com