Մինչ խոշոր ձեռնարկությունը պոտենցիալ ներքին հարձակվողներից և հաքերներից էշելոնային հակասություններ է ստեղծում, ֆիշինգը և սպամ նամակագրությունները մնում են գլխացավանք ավելի պարզ ընկերությունների համար: Եթե Marty McFly-ն իմանար, որ 2015-ին (և առավել ևս 2020-ին) մարդիկ ոչ միայն չեն հորինի հովերբորդներ, այլ նույնիսկ չէին սովորի ամբողջությամբ ազատվել անպետք փոստից, հավանաբար կկորցներ հավատը մարդկության հանդեպ։ Ավելին, այսօր սպամը ոչ միայն նյարդայնացնող է, այլեւ հաճախ վնասակար: Killchain-ի ներդրման մոտավորապես 70%-ում կիբերհանցագործները ներթափանցում են ենթակառուցվածք՝ օգտագործելով հավելվածներում պարունակվող չարամիտ ծրագրերը կամ էլփոստի ֆիշինգի հղումների միջոցով:
Վերջերս հստակ միտում է նկատվել սոցիալական ճարտարագիտության տարածման ուղղությամբ՝ որպես կազմակերպության ենթակառուցվածք ներթափանցելու միջոց: Համեմատելով 2017-ի և 2018-ի վիճակագրությունը՝ մենք տեսնում ենք գրեթե 50%-ով աճ այն դեպքերի թվի մեջ, երբ չարամիտ ծրագրերը հասցվել են աշխատակիցների համակարգիչներին կցորդների կամ էլփոստի մարմնում ֆիշինգի հղումների միջոցով:
Ընդհանուր առմամբ, սպառնալիքների ողջ շրջանակը, որը կարող է իրականացվել էլեկտրոնային փոստի միջոցով, կարելի է բաժանել մի քանի կատեգորիաների.
- մուտքային սպամ
- կազմակերպության համակարգիչների ներառում բոտնետում, որն ուղարկում է ելքային սպամ
- վնասակար կցորդներ և վիրուսներ նամակի մարմնում (փոքր ընկերությունները ամենից հաճախ տառապում են Petya-ի նման զանգվածային հարձակումներից):
Բոլոր տեսակի հարձակումներից պաշտպանվելու համար կարող եք կա՛մ տեղակայել տեղեկատվական անվտանգության մի քանի համակարգեր, կա՛մ հետևել ծառայության մոդելի ճանապարհին: Մենք արդեն Կիբերանվտանգության ծառայությունների միասնական հարթակի մասին՝ Արևային MSS-ի կառավարվող կիբերանվտանգության ծառայությունների էկոհամակարգի առանցքը: Ի թիվս այլ բաների, այն ներառում է վիրտուալացված Secure Email Gateway (SEG) տեխնոլոգիա: Որպես կանոն, այս ծառայության բաժանորդագրությունը գնում են փոքր ընկերություններ, որոնցում ՏՏ և տեղեկատվական անվտանգության բոլոր գործառույթները վերապահված են մեկ անձի՝ համակարգի ադմինիստրատորին: Սպամը խնդիր է, որը միշտ տեսանելի է օգտատերերի և ղեկավարության համար, և այն չի կարելի անտեսել: Այնուամենայնիվ, ժամանակի ընթացքում նույնիսկ ղեկավարությունը պարզ է դառնում, որ անհնար է այն պարզապես «գցել» համակարգի ադմինիստրատորին, դա չափազանց շատ ժամանակ է պահանջում:
Փոստը վերլուծելու համար 2 ժամը մի քիչ շատ է
Նմանատիպ իրավիճակով մեզ մոտեցավ մանրածախ վաճառողներից մեկը։ Ժամանակի հետագծման համակարգերը ցույց են տվել, որ նրա աշխատակիցները ամեն օր ծախսում են իրենց աշխատանքային ժամանակի մոտ 25%-ը (2 ժամ!) փոստարկղը դասավորելու վրա:
Միացնելով հաճախորդի փոստի սերվերը, մենք կարգավորեցինք SEG օրինակը որպես երկկողմանի դարպաս ինչպես մուտքային, այնպես էլ ելքային փոստի համար: Մենք սկսեցինք զտել ըստ նախապես հաստատված քաղաքականության: Մենք կազմել ենք «Սև ցուցակը»՝ հիմնվելով հաճախորդի կողմից տրամադրված տվյալների վերլուծության և Solar JSOC փորձագետների կողմից ստացված պոտենցիալ վտանգավոր հասցեների մեր ցուցակների վրա՝ որպես այլ ծառայությունների մաս, օրինակ՝ տեղեկատվական անվտանգության միջադեպերի մոնիտորինգ: Դրանից հետո ամբողջ փոստը ստացողներին առաքվում էր միայն մաքրումից հետո, և «մեծ զեղչերի» մասին զանազան սպամ նամակները դադարեցին տոննաներով լցվել հաճախորդի փոստի սերվերներ՝ ազատելով տարածք այլ կարիքների համար:
Բայց եղել են իրավիճակներ, երբ օրինական նամակը սխալմամբ դասակարգվել է որպես սպամ, օրինակ՝ որպես անվստահելի ուղարկողից ստացված: Այս դեպքում մենք որոշման իրավունքը տվել ենք պատվիրատուին։ Շատ տարբերակներ չկան, թե ինչ անել՝ ջնջել այն անմիջապես կամ ուղարկել կարանտին: Մենք ընտրեցինք երկրորդ ճանապարհը, որում նման անպետք նամակները պահվում են հենց SEG-ում: Մենք համակարգի ադմինիստրատորին տրամադրել ենք մուտք դեպի վեբ վահանակ, որտեղ նա կարող էր ցանկացած պահի գտնել կարևոր նամակ, օրինակ՝ կոնտրագենտից և այն փոխանցել օգտատիրոջը:
Ազատվել մակաբույծներից
Էլփոստի պաշտպանության ծառայությունը ներառում է վերլուծական հաշվետվություններ, որոնց նպատակն է վերահսկել ենթակառուցվածքի անվտանգությունը և օգտագործվող կարգավորումների արդյունավետությունը: Բացի այդ, այս զեկույցները թույլ են տալիս կանխատեսել միտումները: Օրինակ, մենք հաշվետվության մեջ գտնում ենք «Սպամ ըստ ստացողի» կամ «Սպամ ուղարկողի կողմից» բաժինը և նայում, թե ում հասցեն է ստացել ամենաշատ արգելափակված հաղորդագրությունները:
Հենց նման զեկույցը վերլուծելիս մեզ կասկածելի թվաց հաճախորդներից մեկի նամակների ընդհանուր քանակի կտրուկ աճը։ Նրա ենթակառուցվածքը փոքր է, տառերի քանակը՝ քիչ։ Եվ հանկարծ աշխատանքային օրվանից հետո արգելափակված սպամի քանակը գրեթե կրկնապատկվեց։ Մենք որոշեցինք ավելի մոտիկից նայել:
Մենք տեսնում ենք, որ ելքային նամակների թիվն ավելացել է, և դրանք բոլորը «Ուղարկող» դաշտում պարունակում են հասցեներ տիրույթից, որը միացված է փոստի պաշտպանության ծառայությանը: Բայց կա մի նրբերանգ՝ բավականին ողջամիտ, գուցե նույնիսկ գոյություն ունեցող հասցեների մեջ ակնհայտորեն տարօրինակներ կան։ Մենք նայեցինք IP-ները, որոնցից ուղարկվում էին նամակները, և, միանգամայն սպասելի, պարզվեց, որ դրանք չեն պատկանում պաշտպանված հասցեների տարածքին։ Ակնհայտ է, որ հարձակվողը սպամ էր ուղարկում հաճախորդի անունից:
Այս դեպքում մենք հաճախորդին առաջարկություններ ենք արել, թե ինչպես ճիշտ կարգավորել DNS գրառումները, մասնավորապես SPF-ը: Մեր մասնագետը մեզ խորհուրդ տվեց ստեղծել TXT գրառում, որը պարունակում է «v=spf1 mx ip:1.2.3.4/23 -all» կանոնը, որը պարունակում է հասցեների սպառիչ ցանկ, որոնց թույլատրվում է նամակներ ուղարկել պաշտպանված տիրույթի անունից:
Իրականում, ինչու է դա կարևոր. անհայտ փոքր ընկերության անունից սպամը տհաճ է, բայց ոչ քննադատական: Բոլորովին այլ իրավիճակ է, օրինակ, բանկային ոլորտում։ Ըստ մեր դիտարկումների, ֆիշինգի նամակի նկատմամբ տուժողի վստահության մակարդակը բազմիցս ավելանում է, եթե այն ենթադրաբար ուղարկվել է այլ բանկի տիրույթից կամ զոհին հայտնի կոնտրագենտից: Եվ դա առանձնացնում է ոչ միայն բանկի աշխատակիցներին, այլ ոլորտներում, օրինակ՝ էներգետիկայի ոլորտում, մենք բախվում ենք նույն միտումին։
Սպանելով վիրուսները
Սակայն խարդախությունն այնքան տարածված խնդիր չէ, որքան, օրինակ, վիրուսային վարակները: Ինչպե՞ս եք ամենից հաճախ պայքարում վիրուսային համաճարակների դեմ: Նրանք տեղադրում են հակավիրուս և հույս ունեն, որ «թշնամին չի անցնի»: Բայց եթե ամեն ինչ այդքան պարզ լիներ, ապա, հաշվի առնելով հակավիրուսների բավականին ցածր արժեքը, բոլորը վաղուց մոռացած կլինեին չարամիտ ծրագրերի մասին: Միևնույն ժամանակ, մենք անընդհատ հարցումներ ենք ստանում շարքից՝ «օգնեք մեզ վերականգնել ֆայլերը, մենք ամեն ինչ ծածկագրել ենք, աշխատանքը կանգ է առել, տվյալները կորել են»։ Մենք երբեք չենք հոգնում մեր հաճախորդներին կրկնելուց, որ հակավիրուսը համադարման միջոց չէ: Բացի այն, որ հակավիրուսային տվյալների բազաները կարող են բավական արագ չթարմացվել, մենք հաճախ հանդիպում ենք չարամիտ ծրագրերի, որոնք կարող են շրջանցել ոչ միայն հակավիրուսները, այլև ավազատուփերը:
Ցավոք, կազմակերպությունների շարքային աշխատակիցներից քչերն են տեղյակ ֆիշինգի և վնասակար նամակների մասին և կարողանում են դրանք տարբերել սովորական նամակագրությունից: Միջին հաշվով, յուրաքանչյուր 7-րդ օգտատեր, ով չի ենթարկվում կանոնավոր իրազեկման բարձրացման, ենթարկվում է սոցիալական ինժեներիային՝ բացելով վարակված ֆայլ կամ ուղարկելով իր տվյալները հարձակվողներին:
Թեև հարձակումների սոցիալական վեկտորը, ընդհանուր առմամբ, աստիճանաբար աճում է, այս միտումը հատկապես նկատելի է դարձել անցյալ տարի։ Ֆիշինգի նամակները ավելի ու ավելի նման էին գովազդների, գալիք իրադարձությունների և այլնի վերաբերյալ սովորական նամակագրություններին: Այստեղ մենք կարող ենք հիշել ֆինանսական հատվածի վրա լռության հարձակումը. բանկի աշխատակիցները ստացել են նամակ, իբր, գովազդային կոդով ՝ մասնակցելու հանրաճանաչ արդյունաբերական համաժողովին iFin-ին, և նրանց տոկոսը, ովքեր ենթարկվել են հնարքին, շատ բարձր է եղել, չնայած, հիշենք. , խոսքը բանկային ոլորտի մասին է՝ տեղեկատվական անվտանգության հարցերում ամենաառաջադեմը։
Անցած Ամանորից առաջ մենք նաև նկատեցինք մի քանի բավականին հետաքրքիր իրավիճակներ, երբ արդյունաբերական ընկերությունների աշխատակիցները ստացան շատ բարձրորակ ֆիշինգ նամակներ հանրաճանաչ առցանց խանութներում ամանորյա ակցիաների «ցուցակով» և զեղչերի գովազդային կոդերով: Աշխատակիցները ոչ միայն իրենք են փորձել հետևել հղմանը, այլև նամակը փոխանցել են հարակից կազմակերպությունների գործընկերներին: Քանի որ այն ռեսուրսը, որին տանում էր ֆիշինգի էլփոստի հղումը, արգելափակված էր, աշխատակիցները սկսեցին զանգվածաբար հարցումներ ներկայացնել ՏՏ ծառայությանը՝ դրան մուտք ապահովելու համար: Ընդհանուր առմամբ, փոստի հաջողությունը պետք է գերազանցեր հարձակվողների բոլոր ակնկալիքները։
Եվ վերջերս մեզ օգնության համար դիմեց մի ընկերություն, որը «գաղտնագրված» էր: Ամեն ինչ սկսվեց նրանից, որ հաշվապահական հաշվառման աշխատակիցները նամակ են ստացել իբր Ռուսաստանի Դաշնության Կենտրոնական բանկից։ Հաշվապահը սեղմեց նամակի հղումը և ներբեռնեց WannaMine հանքագործը իր մեքենայի վրա, որը, ինչպես հայտնի WannaCry-ն, շահագործեց EternalBlue խոցելիությունը: Ամենահետաքրքիրն այն է, որ հակավիրուսների մեծ մասը կարողացել է հայտնաբերել դրա ստորագրությունները 2018 թվականի սկզբից։ Բայց, կա՛մ հակավիրուսն անջատված էր, կա՛մ տվյալների բազաները չէին թարմացվել, կա՛մ ընդհանրապես չկար, ամեն դեպքում, մայներն արդեն համակարգչում էր, և ոչինչ չէր խանգարում նրան ավելի տարածվել ցանցով, բեռնելով սերվերները: Պրոցեսորը և աշխատատեղերը 100%-ով:
Այս հաճախորդը, ստանալով մեր դատաբժշկական թիմից հաղորդումը, տեսավ, որ վիրուսը սկզբում ներթափանցել է իր էլփոստի միջոցով և գործարկել է էլ.փոստի պաշտպանության ծառայությունը միացնելու փորձնական նախագիծ: Առաջին բանը, որ մենք ստեղծեցինք, էլփոստի հակավիրուսն էր: Միևնույն ժամանակ, չարամիտ ծրագրերի սկանավորումն իրականացվում է անընդհատ, և ստորագրության թարմացումները սկզբում կատարվում էին ամեն ժամը մեկ, իսկ հետո հաճախորդը անցնում էր օրական երկու անգամ։
Վիրուսային վարակներից լիարժեք պաշտպանություն պետք է լինի շերտավոր: Եթե խոսենք էլփոստի միջոցով վիրուսների փոխանցման մասին, ապա մուտքի մոտ անհրաժեշտ է զտել այդպիսի տառերը, սովորեցնել օգտատերերին ճանաչել սոցիալական ճարտարագիտությունը, ապա ապավինել հակավիրուսներին և ավազատուփերին։
SEGda-ում պահակ
Իհարկե, մենք չենք պնդում, որ Secure Email Gateway լուծումները համադարման են: Նպատակային հարձակումները, ներառյալ նիզակային ֆիշինգը, չափազանց դժվար է կանխել, քանի որ... Յուրաքանչյուր նման հարձակում «հարմարեցված» է կոնկրետ ստացողի (կազմակերպության կամ անձի): Բայց ընկերության համար, որը փորձում է ապահովել անվտանգության հիմնական մակարդակ, սա շատ բան է, հատկապես ճիշտ փորձի և փորձի դեպքում, որը կիրառվում է առաջադրանքի համար:
Ամենից հաճախ, երբ նիզակային ֆիշինգ է իրականացվում, վնասակար կցորդները չեն ներառվում տառերի բովանդակության մեջ, հակառակ դեպքում հակասպամ համակարգը անմիջապես կարգելափակի այդպիսի նամակը դեպի ստացող: Բայց դրանք նամակի տեքստում ներառում են նախապես պատրաստված վեբ ռեսուրսի հղումներ, և հետո դա փոքր խնդիր է: Օգտագործողը հետևում է հղմանը, այնուհետև մի քանի վերահղումներից հետո մի քանի վայրկյանում հայտնվում է վերջինի վրա ամբողջ շղթայում, որի բացումը չարամիտ ծրագրեր կներբեռնի իր համակարգչի վրա:
Նույնիսկ ավելի բարդ. նամակը ստանալու պահին հղումը կարող է անվնաս լինել և միայն որոշ ժամանակ անց, երբ այն արդեն սկանավորվի և բաց թողնվի, այն կսկսի վերահղվել դեպի չարամիտ ծրագրեր: Ցավոք, Solar JSOC մասնագետները, նույնիսկ հաշվի առնելով իրենց իրավասությունները, չեն կարողանա կարգավորել փոստի դարպասն այնպես, որ «տեսնեն» չարամիտ ծրագրերը ողջ շղթայի միջոցով (չնայած, որպես պաշտպանություն, կարող եք օգտագործել բոլոր հղումների ավտոմատ փոխարինումը տառերով SEG-ին, որպեսզի վերջինս սկանավորի հղումը ոչ միայն նամակի առաքման պահին, այլև յուրաքանչյուր անցման ժամանակ):
Միևնույն ժամանակ, նույնիսկ սովորական վերահղումը կարող է լուծվել մի քանի տեսակի փորձաքննության, ներառյալ մեր JSOC CERT-ի և OSINT-ի կողմից ձեռք բերված տվյալները: Սա թույլ է տալիս ստեղծել ընդլայնված սև ցուցակներ, որոնց հիման վրա նույնիսկ մի քանի վերահասցեագրված նամակը կարգելափակվի։
SEG-ի օգտագործումը ընդամենը մի փոքրիկ աղյուս է պատի մեջ, որը ցանկացած կազմակերպություն ցանկանում է կառուցել իր ակտիվները պաշտպանելու համար: Բայց այս հղումը նույնպես պետք է ճիշտ ինտեգրվի ընդհանուր պատկերին, քանի որ նույնիսկ SEG-ը, պատշաճ կոնֆիգուրացիայի դեպքում, կարող է վերածվել պաշտպանության լիարժեք միջոցի։
Քսենիա Սադունինա, Solar JSOC-ի արտադրանքի և ծառայությունների փորձագիտական նախավաճառքի բաժնի խորհրդատու
Source: www.habr.com