Pandan ke gwo Enterprise la ap bati redoutè echeloned soti nan atakan entèn potansyèl ak entru, èskrokri ak spam yo rete yon tèt fè mal pou konpayi ki pi senp yo. Si Marty McFly te konnen ke nan 2015 (e menm plis konsa nan 2020) moun pa ta sèlman envante hoverboards, men yo pa ta menm aprann konplètman debarase m de lapòs tenten, li ta pwobableman pèdi lafwa nan limanite. Anplis, spam jodi a se pa sèlman anmèdan, men souvan danjere. Nan apeprè 70% nan aplikasyon killchain, sibèrkriminèl antre nan enfrastrikti a lè l sèvi avèk malveyan ki genyen nan atachman oswa atravè lyen èskrokri nan imèl.
Dènyèman, te gen yon tandans klè nan pwopagasyon jeni sosyal kòm yon fason yo rantre nan enfrastrikti yon òganizasyon. Konpare estatistik soti nan 2017 ak 2018, nou wè yon ogmantasyon prèske 50% nan kantite ka kote malveyan yo te delivre nan òdinatè anplwaye yo atravè atachman oswa lyen èskrokri nan kò a nan yon imèl.
An jeneral, tout seri menas ki ka fèt lè l sèvi avèk imèl ka divize an plizyè kategori:
- spam fèk ap rantre
- enklizyon òdinatè yon òganizasyon nan yon botne ki voye spam sortan
- atachman move ak viris nan kò a nan lèt la (ti konpayi yo pi souvan soufri nan atak masiv tankou Petya).
Pou pwoteje kont tout kalite atak, ou ka swa deplwaye plizyè sistèm sekirite enfòmasyon, oswa swiv chemen an nan yon modèl sèvis. Nou deja sou Platfòm Sèvis Sibèsekirite Inifye a - nwayo a nan ekosistèm sèvis sibèsekirite Solè MSS jere. Pami lòt bagay, li gen ladan teknoloji Virtualized Secure Email Gateway (SEG). Kòm yon règ, yon abònman nan sèvis sa a achte pa ti konpayi nan ki tout IT ak fonksyon sekirite enfòmasyon yo asiyen nan yon sèl moun - administratè a sistèm. Spam se yon pwoblèm ki toujou vizib pou itilizatè yo ak jesyon, epi li pa ka inyore. Sepandan, apre yon sèten tan, menm jesyon an vin klè ke li enposib tou senpleman "depoze" li bay administratè sistèm lan - li pran twòp tan.
2 èdtan analize lapòs se yon ti jan anpil
Youn nan détaillants yo te pwoche bò kote nou ak yon sitiyasyon ki sanble. Sistèm Suivi tan yo te montre ke chak jou anplwaye li yo te pase apeprè 25% nan tan travay yo (2 èdtan!) Sou klasman bwat lèt la.
Lè w te konekte sèvè lapòs kliyan an, nou te konfigirasyon egzanp SEG la kòm yon pòtay de-fason pou lapòs k ap rantre ak sòtan. Nou te kòmanse filtre selon politik pre-etabli. Nou te konpile Lis nwa a ki baze sou yon analiz done kliyan an te bay ak pwòp lis adrès ki kapab danjere pa ekspè Solar JSOC yo te jwenn nan kad lòt sèvis - pa egzanp, siveyans ensidan sekirite enfòmasyon yo. Apre sa, tout lapòs yo te lage bay moun k ap resevwa yo sèlman apre yo fin netwaye, ak divès kalite spam sou "grand rabè" te sispann vide nan serveurs lapòs kliyan an nan tòn, libere espas pou lòt bezwen.
Men, te gen sitiyasyon kote yon lèt lejitim te klase erè kòm Spam, pou egzanp, kòm yo te resevwa nan men yon moun ki pa fè konfyans. Nan ka sa a, nou te bay kliyan an dwa pou pran desizyon. Pa gen anpil opsyon sou sa yo dwe fè: efase li imedyatman oswa voye li nan karantèn. Nou te chwazi dezyèm chemen an, kote lapòs tenten sa yo estoke sou SEG nan tèt li. Nou te bay administratè sistèm lan aksè nan konsole entènèt la, kote li te kapab jwenn yon lèt enpòtan nenpòt ki lè, pou egzanp, ki soti nan yon kontrepati, epi voye li bay itilizatè a.
Debarase m de parazit
Sèvis pwoteksyon imel la gen ladan rapò analyse, objektif la se kontwole sekirite enfrastrikti a ak efikasite nan anviwònman yo itilize. Anplis de sa, rapò sa yo pèmèt ou predi tandans. Pou egzanp, nou jwenn seksyon ki koresponn lan "Spam pa Destinatè" oswa "Spam pa Moun k ap voye" nan rapò a epi gade nan ki adrès ki resevwa pi gwo kantite mesaj bloke.
Li te pandan y ap analize yon rapò konsa ke kantite total lèt ki soti nan youn nan kliyan yo te sanble sispèk pou nou. Enfrastrikti li piti, kantite lèt ba. Epi toudenkou, apre yon jou travay, kantite spam bloke prèske double. Nou deside pran yon gade pi pre.
Nou wè ke kantite lèt ki soti nan ogmante, epi yo tout nan jaden an "Sender" gen adrès ki soti nan yon domèn ki konekte ak sèvis pwoteksyon lapòs la. Men, gen yon sèl nuans: pami adrès byen lisid, petèt menm ki deja egziste, gen moun ki klèman etranj. Nou te gade IP ki soti nan ki lèt yo te voye, epi, byen espere, li te tounen soti ke yo pa fè pati espas adrès la pwoteje. Li evidan, atakè a te voye spam sou non kliyan an.
Nan ka sa a, nou te fè rekòmandasyon pou kliyan an sou kòman yo kòrèkteman konfigirasyon dosye DNS, espesyalman SPF. Espesyalis nou an konseye nou kreye yon dosye TXT ki gen règ "v=spf1 mx ip:1.2.3.4/23 -all", ki gen yon lis konplè adrès ki gen dwa voye lèt sou non domèn pwoteje.
Aktyèlman, poukisa sa a enpòtan: spam sou non yon ti konpayi enkoni se dezagreyab, men se pa kritik. Sitiyasyon an konplètman diferan, pou egzanp, nan endistri bankè a. Dapre obsèvasyon nou yo, nivo konfyans viktim nan nan yon imèl èskrokri ogmante anpil fwa si li sipoze voye soti nan domèn nan yon lòt bank oswa yon kontrepati li te ye nan viktim nan. Ak sa a distenge non sèlman anplwaye bank yo, nan lòt endistri yo - sektè enèji a pou egzanp - nou ap fè fas ak tandans nan menm.
Touye viris
Men, spoofing se pa tankou yon pwoblèm komen tankou, pou egzanp, enfeksyon viral. Ki jan ou pi souvan konbat epidemi viral? Yo enstale yon antivirus epi yo espere ke "lènmi an pa pral pase." Men, si tout bagay te tèlman senp, lè sa a, bay pri a jistis ba nan antivirus, tout moun ta gen lontan bliye sou pwoblèm nan nan malveyan. Pandan se tan, nou toujou ap resevwa demann nan men seri a "ede nou restore fichye yo, nou ankripte tout bagay, travay la bloke, done yo pèdi." Nou pa janm fatige repete kliyan nou yo ke antivirus se pa yon mirak. Anplis de sa nan lefèt ke baz done anti-viris yo ka pa mete ajou ase vit, nou souvan rankontre malveyan ki ka kontoune pa sèlman anti-viris, men tou sandboxes.
Malerezman, kèk anplwaye òdinè nan òganizasyon yo okouran de èskrokri ak imel move epi yo kapab fè distenksyon ant yo ak korespondans regilye. An mwayèn, chak itilizatè 7yèm ki pa sibi konsyantizasyon regilye tonbe nan jeni sosyal: louvri yon dosye ki enfekte oswa voye done yo bay atakè yo.
Malgre ke vektè sosyal la nan atak, an jeneral, te piti piti ogmante, tandans sa a te vin espesyalman aparan ane pase a. Imèl phishing yo te vin pi plis ak plis menm jan ak poste regilye sou pwomosyon, evènman k ap vini yo, elatriye. Isit la nou ka sonje atak la Silence sou sektè finansye a - anplwaye bank yo te resevwa yon lèt swadizan ak yon kòd pwomosyon pou patisipasyon nan konferans endistri popilè iFin la, ak pousantaj moun ki te sikonbe nan jwe fent la te trè wo, byenke, se pou nou sonje. , nou ap pale sou endistri bankè a - ki pi avanse nan zafè sekirite enfòmasyon.
Anvan dènye Nouvèl Ane sa a, nou te tou obsève plizyè sitiyasyon olye kirye lè anplwaye nan konpayi endistriyèl yo te resevwa lèt èskrokri trè-wo kalite ak yon "lis" pwomosyon Nouvèl Ane a nan magazen popilè sou entènèt ak kòd pwomosyonèl pou rabè. Anplwaye yo pa sèlman eseye swiv lyen an tèt yo, men tou voye lèt la bay kòlèg ki soti nan òganizasyon ki gen rapò. Depi resous ki lyen ki nan imèl èskrokri te dirije a te bloke, anplwaye yo te kòmanse an masse soumèt demann nan sèvis IT pou bay aksè a li. An jeneral, siksè nan lapòs la dwe depase tout atant atakè yo.
Ak dènyèman yon konpayi ki te "kode" tounen vin jwenn nou pou èd. Tout bagay te kòmanse lè anplwaye kontablite yo te resevwa yon lèt swadizan nan Bank Santral Federasyon Larisi la. Kontab la klike sou lyen ki nan lèt la epi telechaje minè WannaMine sou machin li a, ki, tankou pi popilè WannaCry, eksplwate vilnerabilite EternalBlue. Bagay ki pi enteresan an se ke pifò antivirus yo te kapab detekte siyati li yo depi nan konmansman an nan 2018. Men, swa antivirus la te enfim, oswa baz done yo pa te mete ajou, oswa li pa t 'la ditou - nan nenpòt ka, minè a te deja sou òdinatè a, e pa gen anyen anpeche li gaye pi lwen atravè rezo a, chaje sèvè yo '. CPU ak estasyon travay nan 100%.
Kliyan sa a, li te resevwa yon rapò nan men ekip legal nou an, te wè ke viris la okòmansman penetre l 'nan imèl, epi li te lanse yon pwojè pilòt konekte yon sèvis pwoteksyon imel. Premye bagay nou mete kanpe se te yon antivirus imel. An menm tan an, optik pou malveyan yo te fèt toujou, ak mizajou siyati yo te okòmansman te pote soti chak èdtan, ak Lè sa a, kliyan an chanje nan de fwa pa jou.
Pwoteksyon konplè kont enfeksyon viral yo dwe kouch. Si nou pale sou transmisyon viris nan imel, Lè sa a, li nesesè yo filtre lèt sa yo nan papòt la, tren itilizatè yo rekonèt jeni sosyal, ak Lè sa a, konte sou antiviris ak bwat sab.
nan SEGda sou gad
Natirèlman, nou pa fè reklamasyon ke Secure Email Gateway solisyon yo se yon Miracles. Atak sible, ki gen ladan èskrokri ak frenn, yo trè difisil pou anpeche paske... Chak atak sa yo "adapte" pou yon benefisyè espesifik (òganizasyon oswa moun). Men, pou yon konpayi ap eseye bay yon nivo de baz sekirite, sa se anpil, sitou ak bon eksperyans ak ekspètiz te aplike pou travay la.
Pi souvan, lè èskrokri frenn yo te pote, atachman move yo pa enkli nan kò a nan lèt, otreman sistèm nan antispam pral imedyatman bloke yon lèt konsa sou wout li nan moun k ap resevwa a. Men, yo enkli lyen ki mennen nan yon resous entènèt ki te prepare davans nan tèks lèt la, ak Lè sa a, se yon ti pwoblèm. Itilizatè a swiv lyen an, ak Lè sa a, apre plizyè redireksyon nan yon kesyon de segonn fini sou dènye a nan chèn nan tout antye, ouvèti a ki pral telechaje malveyan sou òdinatè l '.
Menm plis sofistike: nan moman ou resevwa lèt la, lyen an ka inofansif epi sèlman apre kèk tan pase, lè li te deja tcheke ak sote, li pral kòmanse redireksyon nan malveyan. Malerezman, espesyalis Solar JSOC, menm pran an konsiderasyon konpetans yo, yo p ap kapab konfigirasyon pòtay lapòs la pou yo ka "wè" malveyan atravè tout chèn lan (byenke, kòm pwoteksyon, ou ka itilize ranplasman otomatik tout lyen nan lèt). SEG, pou lèt la analize lyen an pa sèlman nan moman livrezon lèt la, ak nan chak tranzisyon).
Pandan se tan, menm yon redireksyon tipik ka fè fas ak agrégation nan plizyè kalite ekspètiz, ki gen ladan done yo jwenn pa JSOC CERT nou an ak OSINT. Sa a pèmèt ou kreye lis nwa pwolonje, ki baze sou ki menm yon lèt ak voye miltip yo pral bloke.
Sèvi ak SEG se jis yon ti brik nan miray la ke nenpòt òganizasyon vle bati pou pwoteje byen li yo. Men, lyen sa a bezwen tou kòrèkteman entegre nan foto an jeneral, paske menm SEG, ak konfigirasyon apwopriye, yo ka tounen yon mwayen plen véritable nan pwoteksyon.
Ksenia Sadunina, konsiltan nan depatman prevanl ekspè nan pwodwi ak sèvis Solar JSOC
Sous: www.habr.com