Dok veliko poduzeće gradi ešalonirane zaštitne jedinice od potencijalnih internih napadača i hakera, phishing i neželjena pošta ostaju glavobolja za jednostavnije tvrtke. Da je Marty McFly znao da 2015. (a još više 2020.) ljudi ne samo da neće izmisliti hoverboarde, nego se neće ni naučiti potpuno riješiti neželjene pošte, vjerojatno bi izgubio vjeru u čovječanstvo. Štoviše, neželjena pošta danas nije samo dosadna, već je često i štetna. U otprilike 70% implementacija killchaina kibernetički kriminalci prodiru u infrastrukturu pomoću zlonamjernog softvera koji se nalazi u privicima ili putem veza za krađu identiteta u e-porukama.
U posljednje vrijeme postoji jasan trend prema širenju društvenog inženjeringa kao načina prodiranja u infrastrukturu organizacije. Uspoređujući statistike iz 2017. i 2018., vidimo povećanje od gotovo 50% u broju slučajeva u kojima je zlonamjerni softver isporučen računalima zaposlenika putem privitaka ili phishing veza u tijelu e-pošte.
Općenito, cijeli niz prijetnji koje se mogu izvesti korištenjem e-pošte može se podijeliti u nekoliko kategorija:
- dolazni spam
- uključivanje računala organizacije u botnet koji šalje odlaznu neželjenu poštu
- zlonamjerne privitke i viruse u tijelu pisma (male tvrtke najčešće pate od masivnih napada poput Petye).
Kako biste se zaštitili od svih vrsta napada, možete implementirati nekoliko sustava informacijske sigurnosti ili slijediti put modela usluge. Mi već o Unified Cybersecurity Services Platform - jezgri ekosustava usluga cyber-sigurnosti kojima upravlja Solar MSS. Između ostalog, uključuje virtualiziranu tehnologiju Secure Email Gateway (SEG). Pretplatu na ovu uslugu u pravilu kupuju male tvrtke u kojima su sve funkcije informatike i informacijske sigurnosti dodijeljene jednoj osobi - administratoru sustava. Spam je problem koji je uvijek vidljiv korisnicima i menadžmentu i ne može se zanemariti. Međutim, s vremenom čak i menadžmentu postaje jasno da ga je nemoguće jednostavno "ispustiti" administratoru sustava - potrebno je previše vremena.
2 sata za analizu pošte je malo
Jedan od trgovaca obratio nam se sa sličnom situacijom. Sustavi za praćenje radnog vremena pokazali su da svaki dan njegovi zaposlenici troše oko 25% svog radnog vremena (2 sata!) na sređivanje poštanskog sandučića.
Nakon povezivanja klijentovog poslužitelja pošte, konfigurirali smo SEG instancu kao dvosmjerni pristupnik za dolaznu i odlaznu poštu. Počeli smo filtrirati prema unaprijed utvrđenim pravilima. Crnu listu sastavili smo na temelju analize podataka koje je dostavio korisnik i vlastitih popisa potencijalno opasnih adresa koje su stručnjaci Solar JSOC-a dobili u sklopu drugih usluga – primjerice, praćenja incidenata informacijske sigurnosti. Nakon toga sva se pošta isporučivala primateljima tek nakon čišćenja, a razne neželjene pošte o "velikim popustima" prestale su se slijevati na klijentove poslužitelje e-pošte u tonama, oslobađajući prostor za druge potrebe.
Ali bilo je situacija kada je legitimno pismo greškom klasificirano kao neželjena pošta, na primjer, kao da je primljeno od nepouzdanog pošiljatelja. U ovom slučaju dali smo pravo odluke kupcu. Nema mnogo opcija što učiniti: odmah izbrisati ili poslati u karantenu. Izabrali smo drugi put, u kojem se takva bezvrijedna pošta pohranjuje na samom SEG-u. Administratoru sustava omogućili smo pristup web konzoli u kojoj je u svakom trenutku mogao pronaći važno pismo, primjerice od druge strane, te ga proslijediti korisniku.
Oslobađanje od parazita
Usluga zaštite e-pošte uključuje analitička izvješća, čija je svrha praćenje sigurnosti infrastrukture i učinkovitosti korištenih postavki. Osim toga, ova vam izvješća omogućuju predviđanje trendova. Na primjer, u izvješću nalazimo odgovarajući odjeljak "Spam po primatelju" ili "Spam po pošiljatelju" i gledamo čija adresa prima najveći broj blokiranih poruka.
Upravo pri analizi takvog izvješća sumnjivim nam se učinio naglo povećan ukupan broj pisama jednog od kupaca. Infrastruktura mu je mala, broj slova je mali. I odjednom, nakon radnog dana, količina blokirane neželjene pošte gotovo se udvostručila. Odlučili smo pogledati izbliza.
Vidimo da se povećao broj odlaznih pisama, a sva ona u polju “Pošiljatelj” sadrže adrese s domene koja je povezana sa servisom zaštite pošte. Ali postoji jedna nijansa: među sasvim zdravim, možda čak i postojećim adresama, postoje očito čudne. Pogledali smo IP-ove s kojih su pisma poslana i, sasvim očekivano, pokazalo se da ne pripadaju zaštićenom adresnom prostoru. Očito je napadač slao neželjenu poštu u ime korisnika.
U ovom slučaju dali smo preporuke za kupca kako ispravno konfigurirati DNS zapise, posebno SPF. Naš nam je stručnjak savjetovao da izradimo TXT zapis koji sadrži pravilo “v=spf1 mx ip:1.2.3.4/23 -all”, koje sadrži iscrpan popis adresa kojima je dopušteno slati pisma u ime zaštićene domene.
Zapravo, zašto je ovo važno: spam u ime nepoznate male tvrtke je neugodan, ali nije kritičan. Posve je drugačija situacija, primjerice, u bankarstvu. Prema našim zapažanjima, razina povjerenja žrtve u phishing e-poštu višestruko se povećava ako je navodno poslana s domene druge banke ili druge strane poznate žrtvi. I to ne razlikuje samo bankovne zaposlenike; iu drugim industrijama - primjerice energetskom sektoru - suočeni smo s istim trendom.
Ubijanje virusa
No spoofing nije tako čest problem kao, na primjer, virusne infekcije. Kako se najčešće borite protiv virusnih epidemija? Instaliraju antivirus i nadaju se da “neprijatelj neće proći”. Ali da je sve tako jednostavno, onda bi, s obzirom na prilično niske cijene antivirusa, svi odavno zaboravili na problem zlonamjernog softvera. U međuvremenu, stalno primamo zahtjeve iz serije "pomozite nam vratiti datoteke, sve smo šifrirali, rad je zaustavljen, podaci su izgubljeni." Neumorno ponavljamo našim korisnicima da antivirusni program nije lijek za sve. Uz činjenicu da se antivirusne baze podataka možda neće dovoljno brzo ažurirati, često se susrećemo sa zlonamjernim softverom koji može zaobići ne samo antiviruse, već i sandboxe.
Nažalost, nekoliko običnih zaposlenika u organizacijama svjesno je phishinga i zlonamjernih e-poruka te ih može razlikovati od obične korespondencije. U prosjeku, svaki 7. korisnik koji se ne podvrgne redovitom osvješćivanju podliježe društvenom inženjeringu: otvaranju zaražene datoteke ili slanju svojih podataka napadačima.
Iako se društveni vektor napada, općenito gledano, postupno povećava, ovaj je trend postao posebno uočljiv prošle godine. Phishing e-poruke postajale su sve sličnije uobičajenim porukama o promocijama, nadolazećim događajima itd. Ovdje se prisjetimo Silence napada na financijski sektor - zaposlenici banaka dobili su pismo navodno s promotivnim kodom za sudjelovanje na popularnoj industrijskoj konferenciji iFin, a postotak onih koji su podlegli triku bio je vrlo visok, iako, podsjetimo , govorimo o bankarskoj industriji - najnaprednijoj u pitanjima informacijske sigurnosti.
Prije prošle Nove godine također smo primijetili nekoliko prilično zanimljivih situacija kada su zaposlenici industrijskih tvrtki primili vrlo kvalitetna phishing pisma s „popisom“ novogodišnjih promocija u popularnim internetskim trgovinama i s promotivnim kodovima za popuste. Zaposlenici ne samo da su sami pokušali slijediti poveznicu, već su pismo proslijedili i kolegama iz srodnih organizacija. Budući da je resurs na koji je vodila poveznica u phishing e-mailu bio blokiran, zaposlenici su masovno počeli slati zahtjeve IT službi za omogućavanje pristupa istom. Općenito, uspjeh slanja mora nadmašiti sva očekivanja napadača.
A nedavno nam se za pomoć obratila tvrtka koja je bila "šifrirana". Sve je počelo kada su zaposlenici računovodstva primili pismo navodno od Središnje banke Ruske Federacije. Računovođa je kliknuo na poveznicu u pismu i skinuo rudar WannaMine na svoj stroj, koji je, kao i poznati WannaCry, iskorištavao ranjivost EternalBlue. Najzanimljivije je to što je većina antivirusa uspjela detektirati njegove potpise od početka 2018. godine. Ali, ili je antivirus bio onemogućen, ili baze podataka nisu ažurirane, ili ga uopće nije bilo - u svakom slučaju, rudar je već bio na računalu i ništa ga nije spriječilo da se dalje širi mrežom, opterećujući servere. CPU i radne stanice na 100%.
Ovaj je kupac, nakon što je primio izvješće našeg forenzičkog tima, vidio da je virus prvotno dospio do njega putem e-pošte te je pokrenuo pilot projekt povezivanja usluge zaštite e-pošte. Prvo što smo postavili bio je antivirus za e-poštu. Istodobno, skeniranje na zlonamjerni softver provodi se stalno, a ažuriranje potpisa u početku se provodilo svakih sat vremena, a zatim je korisnik prešao na dva puta dnevno.
Potpuna zaštita od virusnih infekcija mora biti slojevita. Ako govorimo o prijenosu virusa putem e-pošte, tada je potrebno filtrirati takva pisma na ulazu, obučiti korisnike da prepoznaju društveni inženjering, a zatim se osloniti na antiviruse i sandboxe.
u SEGda na straži
Naravno, ne tvrdimo da su rješenja Secure Email Gateway lijek za sve. Ciljane napade, uključujući spear phishing, iznimno je teško spriječiti jer... Svaki takav napad je “skrojen” za određenog primatelja (organizaciju ili osobu). Ali za tvrtku koja pokušava pružiti osnovnu razinu sigurnosti, to je mnogo, posebno s pravim iskustvom i stručnošću primijenjenim na zadatak.
Najčešće, kada se provodi spear phishing, zlonamjerni privitci nisu uključeni u tijelo pisma, inače će antispam sustav odmah blokirati takvo pismo na putu do primatelja. Ali oni uključuju poveznice na unaprijed pripremljene web resurse u tekstu pisma, a onda je to mala stvar. Korisnik slijedi link, a zatim nakon nekoliko preusmjeravanja u nekoliko sekundi završi na posljednjem u cijelom lancu, čijim će se otvaranjem na njegovo računalo preuzeti malware.
Još sofisticiranije: u trenutku kada primite pismo, poveznica može biti bezopasna i tek nakon što prođe neko vrijeme, kada je već skenirana i preskočena, počet će preusmjeravati na malware. Nažalost, stručnjaci Solar JSOC-a, čak i uzimajući u obzir njihove kompetencije, neće moći konfigurirati pristupnik pošte tako da "vidi" zlonamjerni softver kroz cijeli lanac (iako, kao zaštitu, možete koristiti automatsku zamjenu svih veza u pismima SEG-u, tako da potonji skenira vezu ne samo u trenutku isporuke pisma, već i pri svakom prijelazu).
U međuvremenu, čak i tipično preusmjeravanje može se riješiti skupom nekoliko vrsta stručnosti, uključujući podatke dobivene od strane našeg JSOC CERT-a i OSINT-a. To vam omogućuje stvaranje proširenih crnih popisa, na temelju kojih će čak i pismo s višestrukim prosljeđivanjem biti blokirano.
Korištenje SEG-a samo je mala cigla u zidu koju svaka organizacija želi izgraditi kako bi zaštitila svoju imovinu. Ali ovu poveznicu također treba pravilno integrirati u cjelokupnu sliku, jer se čak i SEG, uz pravilnu konfiguraciju, može pretvoriti u punopravno sredstvo zaštite.
Ksenia Sadunina, konzultantica stručnog odjela za pretprodaju proizvoda i usluga Solar JSOC
Izvor: www.habr.com