Þó að stórfyrirtækið sé að byggja upp miklar skakkaföll frá hugsanlegum innri árásarmönnum og tölvuþrjótum, eru vefveiðar og ruslpóstur enn höfuðverkur fyrir einfaldari fyrirtæki. Ef Marty McFly vissi að árið 2015 (og enn meira árið 2020) myndi fólk ekki bara finna upp hoverboards, heldur myndi hann ekki einu sinni læra að losna alveg við ruslpóst, myndi hann líklega missa trúna á mannkynið. Þar að auki er ruslpóstur í dag ekki aðeins pirrandi heldur oft skaðlegur. Í um það bil 70% af útfærslum Killchain komast netglæpamenn inn í innviðina með því að nota spilliforrit sem er að finna í viðhengjum eða í gegnum vefveiðatengla í tölvupósti.
Nýlega hefur verið skýr þróun í átt að útbreiðslu félagsverkfræði sem leið til að komast inn í innviði stofnunar. Við samanburð á tölfræði frá 2017 og 2018 sjáum við næstum 50% aukningu á fjölda tilvika þar sem spilliforrit var afhent tölvum starfsmanna í gegnum viðhengi eða vefveiðatengla í meginmáli tölvupósts.
Almennt má skipta öllu úrvali ógna sem hægt er að framkvæma með tölvupósti í nokkra flokka:
- ruslpóstur sem kemur inn
- skráning tölvur fyrirtækis í botnet sem sendir út ruslpóst
- illgjarn viðhengi og vírusar í meginmáli bréfsins (lítil fyrirtæki þjást oftast af stórfelldum árásum eins og Petya).
Til að verjast hvers kyns árásum geturðu annað hvort sett upp nokkur upplýsingaöryggiskerfi eða farið eftir slóð þjónustulíkans. Við nú þegar um Unified Cybersecurity Services Platform - kjarna Solar MSS stýrða netöryggisþjónustu vistkerfisins. Það felur meðal annars í sér virtualized Secure Email Gateway (SEG) tækni. Að jafnaði er áskrift að þessari þjónustu keypt af litlum fyrirtækjum þar sem öllum upplýsingatækni- og upplýsingaöryggisaðgerðum er úthlutað einum aðila - kerfisstjóranum. Ruslpóstur er vandamál sem er alltaf sýnilegt notendum og stjórnendum og ekki er hægt að hunsa það. Hins vegar, með tímanum, verður jafnvel stjórnendum ljóst að það er ómögulegt að „sleppa“ því einfaldlega til kerfisstjórans - það tekur of mikinn tíma.
2 tímar til að flokka póst er svolítið mikið
Einn af söluaðilum leitaði til okkar með svipaðar aðstæður. Tímakönnunarkerfi sýndu að á hverjum degi eyddu starfsmenn hans um 25% af vinnutíma sínum (2 klst!) í að raða upp pósthólfinu.
Eftir að hafa tengt póstþjón viðskiptavinarins, stilltum við SEG-tilvikið sem tvíhliða gátt fyrir bæði inn- og útpóst. Við byrjuðum að sía samkvæmt fyrirfram ákveðnum reglum. Við tókum saman svarta listann á grundvelli greiningar á gögnum sem viðskiptavinurinn hefur veitt og okkar eigin listum yfir hugsanlega hættuleg heimilisföng sem sérfræðingar Solar JSOC hafa fengið sem hluta af annarri þjónustu - til dæmis eftirlit með upplýsingaöryggisatvikum. Eftir það barst allur póstur til viðtakenda fyrst eftir hreinsun og ýmsar ruslpóstar um „stórafslátt“ hættu að streyma inn á póstþjóna viðskiptavinarins í tonnum og losaði um pláss fyrir aðrar þarfir.
En það hafa verið aðstæður þar sem lögmætt bréf var ranglega flokkað sem ruslpóstur, til dæmis sem að hafa borist frá ótraustum sendanda. Í þessu tilviki gáfum við viðskiptavininum ákvörðunarrétt. Það eru ekki margir möguleikar á því hvað á að gera: eyða því strax eða senda það í sóttkví. Við völdum seinni leiðina, þar sem slíkur ruslpóstur er geymdur á SEG sjálfum. Við veittum kerfisstjóra aðgang að vefborðinu, þar sem hann gat fundið mikilvægt bréf hvenær sem var, til dæmis frá mótaðila, og sent það til notandans.
Að losna við sníkjudýr
Tölvuverndarþjónustan inniheldur greiningarskýrslur, en tilgangur þeirra er að fylgjast með öryggi innviða og skilvirkni þeirra stillinga sem notaðar eru. Að auki gera þessar skýrslur þér kleift að spá fyrir um þróun. Til dæmis finnum við samsvarandi hluta „Ruslpóstur eftir viðtakanda“ eða „Ruslpóstur eftir sendanda“ í skýrslunni og skoðum heimilisfangið hvers sem tekur við flestum læstum skilaboðum.
Það var á meðan verið var að greina slíka skýrslu að stóraukin heildarfjöldi bréfa frá einum af viðskiptavinunum þótti okkur grunsamlegur. Innviðir þess eru lítill, fjöldi stafa er lítill. Og skyndilega, eftir vinnudag, næstum tvöfaldaðist magn af læstum ruslpósti. Við ákváðum að skoða þetta betur.
Við sjáum að sendum bréfum hefur fjölgað og öll í reitnum „Sendandi“ innihalda heimilisföng frá léni sem er tengt póstverndarþjónustunni. En það er einn blæbrigði: meðal nokkuð skynsamlegra, jafnvel fyrirliggjandi, heimilisföng eru greinilega undarleg. Við skoðuðum IP-tölurnar sem bréfin voru send frá og það kom í ljós að þau tilheyrðu ekki hinu verndaða vistfangarými. Augljóslega var árásarmaðurinn að senda ruslpóst fyrir hönd viðskiptavinarins.
Í þessu tilviki lögðum við fram tillögur fyrir viðskiptavininn um hvernig eigi að stilla DNS færslur rétt, sérstaklega SPF. Sérfræðingur okkar ráðlagði okkur að búa til TXT færslu sem inniheldur regluna „v=spf1 mx ip:1.2.3.4/23 -all“, sem inniheldur tæmandi lista yfir heimilisföng sem hafa leyfi til að senda bréf fyrir hönd verndar lénsins.
Reyndar, hvers vegna þetta er mikilvægt: ruslpóstur fyrir hönd óþekkts lítils fyrirtækis er óþægilegt, en ekki mikilvægt. Staðan er allt önnur, til dæmis í bankabransanum. Samkvæmt athugunum okkar eykst traust fórnarlambsins til vefveiðapósts margfalt ef það er talið sendur frá léni annars banka eða mótaðila sem fórnarlambið þekkir. Og þetta aðgreinir ekki aðeins bankastarfsmenn; í öðrum atvinnugreinum - orkugeiranum til dæmis - stöndum við frammi fyrir sömu þróun.
Að drepa vírusa
En skopstælingar eru ekki eins algengt vandamál og til dæmis veirusýkingar. Hvernig berst þú oftast við veirufaraldra? Þeir setja upp vírusvörn og vona að „óvinurinn komist ekki í gegn. En ef allt væri svona einfalt, þá, miðað við frekar lágan kostnað við vírusvarnarefni, hefðu allir fyrir löngu gleymt vandamálinu við spilliforrit. Á sama tíma fáum við stöðugt beiðnir frá seríunni „hjálpaðu okkur að endurheimta skrárnar, við höfum dulkóðað allt, vinnan er stöðvuð, gögnin glatast. Við þreyttumst aldrei á að endurtaka fyrir viðskiptavinum okkar að vírusvörn er engin töfralyf. Auk þeirrar staðreyndar að gagnagrunnar gegn vírusvörnum uppfærast ef til vill ekki nógu fljótt, þá lendum við oft í spilliforritum sem geta ekki aðeins farið framhjá vírusvörnum, heldur einnig sandkassa.
Því miður eru fáir venjulegir starfsmenn stofnana meðvitaðir um vefveiðar og illgjarnan tölvupóst og geta greint þá frá venjulegum bréfaskiptum. Að meðaltali fellur 7. hver notandi sem ekki gangast undir reglulega vitundarvakningu fyrir samfélagsverkfræði: að opna sýkta skrá eða senda gögn sín til árásarmanna.
Þrátt fyrir að félagslegur árásarferill almennt hafi verið að aukast smám saman hefur þessi þróun orðið sérstaklega áberandi á síðasta ári. Vefveiðatölvupóstar voru að verða meira og meira líkir venjulegum póstum um kynningar, væntanlega viðburði o.s.frv. Hér má rifja upp þöggunarárásina á fjármálageirann - bankastarfsmenn fengu bréf að sögn með kynningarkóða fyrir þátttöku í hinni vinsælu iðnaðarráðstefnu iFin, og hlutfall þeirra sem féllu fyrir bragðinu var mjög hátt, þó við skulum muna. , við erum að tala um bankaiðnaðinn - þann sem er lengst kominn í upplýsingaöryggismálum.
Fyrir síðustu áramót sáum við líka nokkrar frekar forvitnilegar aðstæður þegar starfsmenn iðnfyrirtækja fengu mjög hágæða vefveiðabréf með „lista“ yfir áramótakynningar í vinsælum netverslunum og með kynningarkóðum fyrir afslátt. Starfsmenn reyndu ekki aðeins að fylgja hlekknum sjálfir heldur sendu bréfið einnig áfram til samstarfsmanna frá tengdum samtökum. Þar sem auðlindinni sem hlekkurinn í vefveiðapóstinum leiddi til var læst fóru starfsmenn í fjöldann að senda inn beiðnir til upplýsingatækniþjónustunnar um að veita aðgang að henni. Almennt séð hlýtur árangur póstsendingarinnar að hafa farið fram úr öllum væntingum árásarmannanna.
Og nýlega leitaði fyrirtæki sem hafði verið „dulkóðað“ til okkar um hjálp. Þetta byrjaði allt þegar bókhaldsstarfsmenn fengu bréf að sögn frá Seðlabanka Rússlands. Endurskoðandinn smellti á hlekkinn í bréfinu og sótti WannaMine námumanninn á vélina sína, sem, líkt og hið fræga WannaCry, nýtti EternalBlue varnarleysið. Það áhugaverðasta er að flestir vírusvarnir hafa getað greint undirskriftir þess síðan í byrjun árs 2018. En annað hvort var vírusvörnin óvirk, eða gagnagrunnarnir voru ekki uppfærðir, eða þeir voru alls ekki til staðar - í öllum tilvikum var námumaðurinn þegar í tölvunni og ekkert kom í veg fyrir að hann dreifðist frekar um netið, hleðsla netþjónanna. Örgjörvi og vinnustöðvar á 100% .
Þessi viðskiptavinur, eftir að hafa fengið skýrslu frá réttarrannsóknarteymi okkar, sá að vírusinn komst í hann í upphafi með tölvupósti og hóf tilraunaverkefni til að tengja tölvupóstverndarþjónustu. Það fyrsta sem við settum upp var vírusvörn í tölvupósti. Jafnframt er stöðugt leitað að spilliforritum og upphaflega voru undirskriftaruppfærslur framkvæmdar á klukkutíma fresti og síðan skipti viðskiptavinurinn yfir í tvisvar á dag.
Full vörn gegn veirusýkingum verður að vera lagskipt. Ef við tölum um sendingu vírusa með tölvupósti, þá er nauðsynlegt að sía út slíka stafi við innganginn, þjálfa notendur í að þekkja félagsverkfræði og treysta síðan á vírusvörn og sandkassa.
í SEGda á verði
Auðvitað höldum við því ekki fram að Secure Email Gateway lausnir séu töfralausn. Afar erfitt er að koma í veg fyrir markvissar árásir, þar á meðal spjótveiðar, vegna þess að... Hver slík árás er „sniðin“ fyrir ákveðinn viðtakanda (stofnun eða einstakling). En fyrir fyrirtæki sem reynir að veita grunnöryggisstig er þetta mikið, sérstaklega með réttri reynslu og sérfræðiþekkingu sem beitt er við verkefnið.
Oftast, þegar spjótveiðar eru stundaðar, eru illgjarn viðhengi ekki innifalin í meginmáli bréfanna, annars mun ruslpóstkerfið strax loka fyrir slíkt bréf á leið til viðtakandans. En þeir innihalda tengla á fyrirfram útbúið veftilfang í texta bréfsins og þá er það lítið mál. Notandinn fylgir hlekknum og eftir nokkrar tilvísanir á nokkrum sekúndum endar hann á þeirri síðustu í allri keðjunni, en opnunin mun hlaða niður spilliforritum á tölvuna hans.
Jafnvel flóknari: á því augnabliki sem þú færð bréfið getur hlekkurinn verið skaðlaus og aðeins eftir að nokkurn tíma er liðinn, þegar hann hefur þegar verið skannaður og sleppt, byrjar hann að beina í spilliforrit. Því miður munu Solar JSOC sérfræðingar, jafnvel að teknu tilliti til hæfni þeirra, ekki geta stillt póstgáttina þannig að þeir „sjá“ spilliforrit í gegnum alla keðjuna (þó sem vernd geturðu notað sjálfvirka skiptingu á öllum hlekkjum í stöfum til SEG, þannig að sá síðarnefndi skannar hlekkinn ekki aðeins við afhendingu bréfsins og við hverja umskipti).
Á sama tíma er hægt að takast á við dæmigerða tilvísun með því að safna saman nokkrum tegundum af sérfræðiþekkingu, þar á meðal gögnum sem aflað er með JSOC CERT okkar og OSINT. Þetta gerir þér kleift að búa til útbreiddan svartan lista, byggt á því að jafnvel bréf með mörgum framsendingum verður lokað.
Að nota SEG er bara lítill múrsteinn í veggnum sem sérhver stofnun vill byggja til að vernda eignir sínar. En þessi hlekkur þarf líka að vera rétt samþættur inn í heildarmyndina, því jafnvel SEG, með réttri uppsetningu, er hægt að breyta í fullgild vernd.
Ksenia Sadunina, ráðgjafi sérfræðiforsöludeildar Solar JSOC vara og þjónustu
Heimild: www.habr.com