Sementara perusahaan-perusahaan besar sedang membangun benteng pertahanan dari calon penyerang dan peretas internal, email phishing dan spam masih menjadi masalah bagi perusahaan-perusahaan yang lebih sederhana. Jika Marty McFly mengetahui bahwa pada tahun 2015 (dan terlebih lagi pada tahun 2020) orang tidak hanya tidak akan menemukan hoverboard, tetapi bahkan tidak akan belajar untuk sepenuhnya menghilangkan junk mail, dia mungkin akan kehilangan kepercayaan pada kemanusiaan. Terlebih lagi, spam saat ini tidak hanya mengganggu, tetapi seringkali merugikan. Pada sekitar 70% penerapan killchain, penjahat dunia maya menembus infrastruktur menggunakan malware yang terdapat dalam lampiran atau melalui tautan phishing dalam email.
Baru-baru ini, terdapat kecenderungan yang jelas terhadap penyebaran rekayasa sosial sebagai cara untuk menembus infrastruktur organisasi. Membandingkan statistik tahun 2017 dan 2018, kami melihat peningkatan hampir 50% dalam jumlah kasus malware dikirimkan ke komputer karyawan melalui lampiran atau tautan phishing di badan email.
Secara umum, keseluruhan ancaman yang dapat dilakukan dengan menggunakan email dapat dibagi menjadi beberapa kategori:
- spam yang masuk
- penyertaan komputer organisasi dalam botnet yang mengirimkan spam keluar
- lampiran berbahaya dan virus di badan surat (perusahaan kecil paling sering terkena serangan besar-besaran seperti Petya).
Untuk melindungi dari semua jenis serangan, Anda dapat menerapkan beberapa sistem keamanan informasi, atau mengikuti jalur model layanan. Kita sudah tentang Platform Layanan Keamanan Siber Terpadu – inti dari ekosistem layanan keamanan siber yang dikelola Solar MSS. Antara lain, ini mencakup teknologi Virtualized Secure Email Gateway (SEG). Biasanya, langganan layanan ini dibeli oleh perusahaan kecil di mana semua fungsi TI dan keamanan informasi dipercayakan kepada satu orang - administrator sistem. Spam merupakan masalah yang selalu terlihat oleh pengguna dan manajemen, dan tidak dapat diabaikan. Namun, seiring berjalannya waktu, bahkan manajemen menjadi jelas bahwa tidak mungkin untuk “menyerahkannya” begitu saja ke administrator sistem - ini membutuhkan terlalu banyak waktu.
2 jam untuk mengurai email agak lama
Salah satu pengecer mendekati kami dengan situasi serupa. Sistem pelacakan waktu menunjukkan bahwa setiap hari karyawannya menghabiskan sekitar 25% waktu kerja mereka (2 jam!) untuk memilah kotak surat.
Setelah menghubungkan server email pelanggan, kami mengonfigurasi instance SEG sebagai gerbang dua arah untuk email masuk dan keluar. Kami mulai memfilter berdasarkan kebijakan yang telah ditetapkan sebelumnya. Kami menyusun Daftar Hitam berdasarkan analisis data yang diberikan oleh pelanggan dan daftar alamat kami yang berpotensi berbahaya yang diperoleh oleh para ahli Solar JSOC sebagai bagian dari layanan lain - misalnya, memantau insiden keamanan informasi. Setelah itu, semua email dikirim ke penerima hanya setelah dibersihkan, dan berbagai email spam tentang "diskon besar" berhenti mengalir ke server email pelanggan dalam jumlah besar, sehingga mengosongkan ruang untuk kebutuhan lain.
Namun ada kalanya surat yang sah secara keliru diklasifikasikan sebagai spam, misalnya, diterima dari pengirim yang tidak tepercaya. Dalam hal ini, kami memberikan hak pengambilan keputusan kepada pelanggan. Tidak banyak pilihan yang harus dilakukan: segera hapus atau kirim ke karantina. Kami memilih jalur kedua, di mana email sampah tersebut disimpan di SEG itu sendiri. Kami memberi administrator sistem akses ke konsol web, di mana dia dapat menemukan surat penting kapan saja, misalnya, dari rekanan, dan meneruskannya ke pengguna.
Menyingkirkan parasit
Layanan perlindungan email mencakup laporan analitis, yang tujuannya adalah untuk memantau keamanan infrastruktur dan efektivitas pengaturan yang digunakan. Selain itu, laporan ini memungkinkan Anda memprediksi tren. Misalnya, kami menemukan bagian yang sesuai “Spam oleh Penerima” atau “Spam oleh Pengirim” dalam laporan dan melihat alamat siapa yang menerima pesan diblokir dalam jumlah terbesar.
Saat menganalisis laporan seperti itu, peningkatan tajam jumlah surat dari salah satu pelanggan tampak mencurigakan bagi kami. Infrastrukturnya kecil, jumlah suratnya sedikit. Dan tiba-tiba, setelah satu hari kerja, jumlah spam yang diblokir hampir dua kali lipat. Kami memutuskan untuk melihat lebih dekat.
Kami melihat jumlah surat keluar meningkat, dan semuanya di kolom “Pengirim” berisi alamat dari domain yang terhubung ke layanan perlindungan email. Namun ada satu peringatan: di antara alamat yang cukup waras, bahkan mungkin sudah ada, jelas ada yang aneh. Kami melihat IP asal pengiriman surat, dan, seperti yang diharapkan, ternyata IP tersebut tidak termasuk dalam ruang alamat yang dilindungi. Jelas sekali, penyerang mengirimkan spam atas nama pelanggan.
Dalam hal ini, kami memberikan rekomendasi kepada pelanggan tentang cara mengonfigurasi data DNS dengan benar, khususnya SPF. Pakar kami menyarankan kami untuk membuat data TXT yang berisi aturan “v=spf1 mx ip:1.2.3.4/23 -all”, yang berisi daftar lengkap alamat yang diizinkan untuk mengirim surat atas nama domain yang dilindungi.
Sebenarnya mengapa hal ini penting: spam atas nama perusahaan kecil yang tidak dikenal tidak menyenangkan, tetapi tidak kritis. Situasinya sangat berbeda, misalnya di industri perbankan. Menurut pengamatan kami, tingkat kepercayaan korban terhadap email phishing meningkat berkali-kali lipat jika email tersebut dikirim dari domain bank lain atau pihak lawan yang dikenal korban. Dan hal ini tidak hanya membedakan pegawai bank; di industri lain – sektor energi misalnya – kita dihadapkan pada tren yang sama.
Membunuh virus
Namun spoofing bukanlah masalah yang umum, misalnya infeksi virus. Bagaimana cara Anda paling sering melawan epidemi virus? Mereka memasang antivirus dan berharap “musuh tidak bisa lolos.” Namun jika semuanya sesederhana itu, mengingat harga antivirus yang cukup rendah, semua orang pasti sudah lama melupakan masalah malware. Sementara itu, kami terus-menerus menerima permintaan dari rangkaian “bantu kami memulihkan file, kami telah mengenkripsi semuanya, pekerjaan terhenti, data hilang.” Kami tidak bosan-bosannya mengulangi kepada pelanggan kami bahwa antivirus bukanlah obat mujarab. Selain fakta bahwa basis data anti-virus mungkin tidak diperbarui dengan cukup cepat, kita sering menemukan malware yang tidak hanya dapat melewati anti-virus, tetapi juga kotak pasir.
Sayangnya, hanya sedikit karyawan biasa di suatu organisasi yang menyadari adanya phishing dan email berbahaya dan mampu membedakannya dari korespondensi biasa. Rata-rata, setiap pengguna ke-7 yang tidak menjalani peningkatan kesadaran secara rutin akan mengalami rekayasa sosial: membuka file yang terinfeksi atau mengirimkan data mereka ke penyerang.
Meskipun vektor serangan sosial secara umum telah meningkat secara bertahap, tren ini menjadi sangat nyata pada tahun lalu. Email phishing menjadi semakin mirip dengan email biasa tentang promosi, acara mendatang, dll. Di sini kita dapat mengingat serangan Senyap di sektor keuangan - pegawai bank menerima surat yang diduga berisi kode promosi untuk berpartisipasi dalam konferensi industri populer iFin, dan persentase mereka yang menyerah pada tipuan tersebut sangat tinggi, meskipun demikian, mari kita ingat , kita berbicara tentang industri perbankan - yang paling maju dalam hal keamanan informasi.
Sebelum Tahun Baru lalu, kami juga mengamati beberapa situasi yang agak aneh ketika karyawan perusahaan industri menerima surat phishing berkualitas tinggi dengan “daftar” promosi Tahun Baru di toko online populer dan dengan kode promosi untuk diskon. Karyawan tidak hanya mencoba mengikuti tautan itu sendiri, tetapi juga meneruskan surat tersebut ke rekan-rekan di organisasi terkait. Karena sumber daya yang dituju oleh tautan dalam email phishing diblokir, karyawan mulai secara massal mengajukan permintaan ke layanan TI untuk menyediakan akses ke sana. Secara umum, keberhasilan pengiriman surat pasti melebihi semua harapan para penyerang.
Dan baru-baru ini sebuah perusahaan yang telah “dienkripsi” meminta bantuan kami. Semuanya bermula ketika karyawan akuntansi menerima surat yang diduga berasal dari Bank Sentral Federasi Rusia. Akuntan tersebut mengklik tautan dalam surat tersebut dan mengunduh penambang WannaMine ke mesinnya, yang, seperti WannaCry yang terkenal, mengeksploitasi kerentanan EternalBlue. Menariknya, sebagian besar antivirus sudah mampu mendeteksi tanda tangannya sejak awal tahun 2018. Tapi, entah antivirusnya dinonaktifkan, atau databasenya tidak diperbarui, atau databasenya tidak ada sama sekali - bagaimanapun juga, penambang sudah ada di komputer, dan tidak ada yang mencegahnya menyebar lebih jauh ke seluruh jaringan, memuat server. CPU dan stasiun kerja 100% .
Pelanggan ini, setelah menerima laporan dari tim forensik kami, melihat bahwa virus awalnya menembus dirinya melalui email, dan meluncurkan proyek percontohan untuk menghubungkan layanan perlindungan email. Hal pertama yang kami siapkan adalah antivirus email. Pada saat yang sama, pemindaian malware dilakukan terus-menerus, dan pembaruan tanda tangan awalnya dilakukan setiap jam, dan kemudian pelanggan beralih ke dua kali sehari.
Perlindungan penuh terhadap infeksi virus harus berlapis. Jika kita berbicara tentang penularan virus melalui email, maka perlu untuk menyaring surat-surat tersebut di pintu masuk, melatih pengguna untuk mengenali rekayasa sosial, dan kemudian mengandalkan antivirus dan kotak pasir.
di SEGda berjaga
Tentu saja, kami tidak mengklaim bahwa solusi Secure Email Gateway adalah obat mujarab. Serangan yang ditargetkan, termasuk spear phishing, sangat sulit dicegah karena... Setiap serangan tersebut “disesuaikan” untuk penerima tertentu (organisasi atau orang). Namun bagi perusahaan yang mencoba memberikan tingkat keamanan dasar, hal ini sangat berarti, terutama jika pengalaman dan keahlian yang tepat diterapkan pada tugas tersebut.
Paling sering, ketika spear phishing dilakukan, lampiran berbahaya tidak disertakan dalam badan surat, jika tidak, sistem antispam akan segera memblokir surat tersebut dalam perjalanannya ke penerima. Namun mereka menyertakan tautan ke sumber web yang telah disiapkan sebelumnya dalam teks surat tersebut, dan itu hanyalah masalah kecil. Pengguna mengikuti tautan tersebut, dan kemudian setelah beberapa pengalihan dalam hitungan detik berakhir pada yang terakhir di seluruh rantai, yang pembukaannya akan mengunduh malware ke komputernya.
Yang lebih canggih lagi: saat Anda menerima surat tersebut, tautan tersebut mungkin tidak berbahaya dan hanya setelah beberapa waktu berlalu, ketika sudah dipindai dan dilewati, tautan tersebut akan mulai dialihkan ke malware. Sayangnya, spesialis Solar JSOC, bahkan dengan mempertimbangkan kompetensi mereka, tidak akan dapat mengonfigurasi gateway email untuk "melihat" malware di seluruh rantai (walaupun, sebagai perlindungan, Anda dapat menggunakan penggantian otomatis semua tautan dalam huruf ke SEG, sehingga SEG memindai tautan tidak hanya pada saat pengiriman surat, dan pada setiap transisi).
Sementara itu, bahkan pengalihan biasa pun dapat ditangani dengan penggabungan beberapa jenis keahlian, termasuk data yang diperoleh JSOC CERT dan OSINT kami. Ini memungkinkan Anda membuat daftar hitam yang diperluas, yang bahkan surat dengan banyak penerusan pun akan diblokir.
Menggunakan SEG hanyalah sebuah tembok kecil yang ingin dibangun oleh organisasi mana pun untuk melindungi asetnya. Namun tautan ini juga perlu diintegrasikan dengan benar ke dalam gambaran keseluruhan, karena bahkan SEG, dengan konfigurasi yang tepat, dapat diubah menjadi sarana perlindungan yang lengkap.
Ksenia Sadunina, konsultan departemen pra-penjualan ahli produk dan layanan Solar JSOC
Sumber: www.habr.com