Mentre la grande azienda sta costruendo ridotte difese da potenziali aggressori interni e hacker, le email di phishing e spam rimangono un grattacapo per le aziende più semplici. Se Marty McFly sapesse che nel 2015 (e ancor di più nel 2020) le persone non solo non avrebbero inventato gli hoverboard, ma non avrebbero nemmeno imparato a sbarazzarsi completamente della posta indesiderata, probabilmente perderebbe la fiducia nell'umanità. Inoltre, lo spam oggi non è solo fastidioso, ma spesso dannoso. In circa il 70% delle implementazioni della killchain, i criminali informatici penetrano nell’infrastruttura utilizzando malware contenuto negli allegati o tramite collegamenti di phishing nelle e-mail.
Recentemente, si è osservata una chiara tendenza verso la diffusione dell’ingegneria sociale come mezzo per penetrare nell’infrastruttura di un’organizzazione. Confrontando le statistiche del 2017 e del 2018, notiamo un aumento di quasi il 50% nel numero di casi in cui malware è stato consegnato ai computer dei dipendenti tramite allegati o collegamenti di phishing nel corpo di un’e-mail.
In generale, l’intera gamma di minacce che possono essere effettuate utilizzando la posta elettronica può essere suddivisa in diverse categorie:
- spam in arrivo
- inclusione dei computer di un'organizzazione in una botnet che invia spam in uscita
- allegati dannosi e virus nel corpo della lettera (le piccole aziende molto spesso soffrono di attacchi massicci come Petya).
Per proteggersi da tutti i tipi di attacchi, è possibile implementare diversi sistemi di sicurezza delle informazioni o seguire il percorso di un modello di servizio. Già sulla Unified Cybersecurity Services Platform, il nucleo dell'ecosistema dei servizi di sicurezza informatica gestiti da Solar MSS. Tra le altre cose, include la tecnologia Secure Email Gateway (SEG) virtualizzata. Di norma, un abbonamento a questo servizio viene acquistato da piccole aziende in cui tutte le funzioni IT e di sicurezza delle informazioni sono affidate a una persona: l'amministratore di sistema. Lo spam è un problema sempre visibile agli utenti e al management e non può essere ignorato. Tuttavia, nel tempo, anche la direzione diventa chiara che è impossibile semplicemente "lasciarlo" all'amministratore di sistema: ci vuole troppo tempo.
2 ore per analizzare la posta sono un po' troppe
Uno dei rivenditori si è rivolto a noi con una situazione simile. I sistemi di monitoraggio del tempo hanno mostrato che ogni giorno i suoi dipendenti dedicavano circa il 25% del loro tempo lavorativo (2 ore!) allo smistamento della casella di posta.
Dopo aver connesso il server di posta del cliente, abbiamo configurato l'istanza SEG come gateway bidirezionale sia per la posta in entrata che per quella in uscita. Abbiamo iniziato a filtrare secondo politiche prestabilite. Abbiamo compilato la Blacklist sulla base dell'analisi dei dati forniti dal cliente e dei nostri elenchi di indirizzi potenzialmente pericolosi ottenuti dagli esperti di Solar JSOC come parte di altri servizi, ad esempio il monitoraggio degli incidenti di sicurezza delle informazioni. Successivamente, tutta la posta è stata consegnata ai destinatari solo dopo la pulizia e vari messaggi di spam sui "grandi sconti" hanno smesso di riversarsi in tonnellate nei server di posta del cliente, liberando spazio per altre esigenze.
Ma si sono verificati casi in cui una lettera legittima è stata erroneamente classificata come spam, ad esempio perché ricevuta da un mittente non attendibile. In questo caso abbiamo dato il diritto di decisione al cliente. Non ci sono molte opzioni su cosa fare: cancellarlo immediatamente o mandarlo in quarantena. Abbiamo scelto il secondo percorso, in cui la posta indesiderata viene archiviata sul SEG stesso. Abbiamo fornito all'amministratore di sistema l'accesso alla console web, nella quale poteva trovare in qualsiasi momento una lettera importante, ad esempio, da una controparte, e inoltrarla all'utente.
Liberarsi dei parassiti
Il servizio di protezione della posta elettronica comprende report analitici, il cui scopo è monitorare la sicurezza dell'infrastruttura e l'efficacia delle impostazioni utilizzate. Inoltre, questi rapporti consentono di prevedere le tendenze. Ad esempio, troviamo nel rapporto la sezione corrispondente "Spam per destinatario" o "Spam per mittente" e vediamo quale indirizzo riceve il maggior numero di messaggi bloccati.
Proprio durante l'analisi di tale rapporto ci è sembrato sospetto il forte aumento del numero totale di lettere di uno dei clienti. La sua infrastruttura è piccola, il numero di lettere è basso. E improvvisamente, dopo una giornata lavorativa, la quantità di spam bloccato è quasi raddoppiata. Abbiamo deciso di dare un'occhiata più da vicino.
Vediamo che il numero di lettere in uscita è aumentato e tutte nel campo "Mittente" contengono indirizzi di un dominio collegato al servizio di protezione della posta. Ma c'è una sfumatura: tra gli indirizzi abbastanza sensati, forse addirittura esistenti, ce ne sono chiaramente di strani. Abbiamo esaminato gli IP da cui sono state inviate le lettere e, come previsto, si è scoperto che non appartenevano allo spazio di indirizzi protetto. Ovviamente l'aggressore inviava spam per conto del cliente.
In questo caso, abbiamo fornito consigli al cliente su come configurare correttamente i record DNS, in particolare SPF. Il nostro specialista ci ha consigliato di creare un record TXT contenente la regola “v=spf1 mx ip:1.2.3.4/23 -all”, che contiene un elenco esaustivo di indirizzi a cui è consentito inviare lettere per conto del dominio protetto.
In realtà, perché questo è importante: lo spam per conto di una piccola azienda sconosciuta è spiacevole, ma non critico. La situazione è completamente diversa, ad esempio, nel settore bancario. Secondo le nostre osservazioni, la fiducia della vittima in un’e-mail di phishing aumenta molte volte se questa viene inviata dal dominio di un’altra banca o da una controparte nota alla vittima. E questo non distingue solo i dipendenti delle banche; anche in altri settori, ad esempio in quello energetico, ci troviamo di fronte alla stessa tendenza.
Uccidere i virus
Ma lo spoofing non è un problema così comune come, ad esempio, le infezioni virali. Come combatti più spesso le epidemie virali? Installano un antivirus e sperano che “il nemico non riesca a passare”. Ma se tutto fosse così semplice, dato il costo piuttosto basso degli antivirus, tutti si sarebbero dimenticati da tempo del problema del malware. Nel frattempo riceviamo costantemente richieste della serie “aiutateci a ripristinare i file, abbiamo crittografato tutto, il lavoro è bloccato, i dati sono persi”. Non ci stanchiamo mai di ripetere ai nostri clienti che l'antivirus non è una panacea. Oltre al fatto che i database antivirus potrebbero non essere aggiornati abbastanza rapidamente, spesso incontriamo malware in grado di aggirare non solo gli antivirus, ma anche i sandbox.
Sfortunatamente, pochi dipendenti ordinari delle organizzazioni sono consapevoli del phishing e delle e-mail dannose e sono in grado di distinguerle dalla normale corrispondenza. In media, un utente su sette che non si sottopone regolarmente a attività di sensibilizzazione soccombe all'ingegneria sociale: aprendo un file infetto o inviando i propri dati agli aggressori.
Anche se in generale il vettore sociale degli attacchi è andato progressivamente aumentando, questa tendenza è diventata particolarmente evidente lo scorso anno. Le e-mail di phishing stavano diventando sempre più simili ai normali invii di posta su promozioni, eventi imminenti, ecc. Qui possiamo ricordare l'attacco di Silence al settore finanziario: i dipendenti delle banche hanno ricevuto una lettera presumibilmente con un codice promozionale per la partecipazione alla popolare conferenza di settore iFin, e la percentuale di coloro che hanno ceduto al trucco è stata molto alta, anche se, ricordiamolo , stiamo parlando del settore bancario, il più avanzato in materia di sicurezza delle informazioni.
Prima dell'ultimo Capodanno, abbiamo anche osservato diverse situazioni piuttosto curiose in cui i dipendenti di aziende industriali ricevevano lettere di phishing di altissima qualità con un "elenco" delle promozioni di Capodanno nei famosi negozi online e con codici promozionali per sconti. I dipendenti non solo hanno provato a seguire il collegamento da soli, ma hanno anche inoltrato la lettera ai colleghi delle organizzazioni correlate. Poiché la risorsa a cui conduceva il collegamento nell'e-mail di phishing è stata bloccata, i dipendenti hanno iniziato in massa a richiedere l'accesso al servizio IT. In generale, il successo del mailing deve aver superato tutte le aspettative degli aggressori.
E recentemente un'azienda che era stata “criptata” si è rivolta a noi per chiedere aiuto. Tutto è iniziato quando i dipendenti della contabilità hanno ricevuto una lettera presumibilmente dalla Banca Centrale della Federazione Russa. Il contabile ha cliccato sul link contenuto nella lettera e ha scaricato sulla sua macchina il minatore WannaMine che, come il famoso WannaCry, sfruttava la vulnerabilità EternalBlue. La cosa più interessante è che la maggior parte degli antivirus è in grado di rilevare le sue firme dall’inizio del 2018. Ma o l'antivirus era disabilitato, oppure i database non erano aggiornati, oppure non c'era affatto - in ogni caso, il minatore era già sul computer e nulla gli impediva di diffondersi ulteriormente nella rete, caricando i server' CPU e workstation al 100%.
Questo cliente, dopo aver ricevuto una segnalazione dal nostro team forense, ha visto che il virus lo aveva inizialmente penetrato tramite la posta elettronica e ha lanciato un progetto pilota per collegare un servizio di protezione della posta elettronica. La prima cosa che abbiamo configurato è stato un antivirus per la posta elettronica. Allo stesso tempo, la scansione alla ricerca di malware viene eseguita costantemente e gli aggiornamenti delle firme inizialmente venivano eseguiti ogni ora, quindi il cliente è passato a due volte al giorno.
La protezione completa contro le infezioni virali deve essere stratificata. Se parliamo della trasmissione di virus tramite e-mail, è necessario filtrare tali lettere all'ingresso, addestrare gli utenti a riconoscere l'ingegneria sociale e quindi fare affidamento su antivirus e sandbox.
in SEGda di guardia
Naturalmente non affermiamo che le soluzioni Secure Email Gateway siano una panacea. Gli attacchi mirati, incluso lo spear phishing, sono estremamente difficili da prevenire perché... Ciascuno di questi attacchi è “su misura” per un destinatario specifico (organizzazione o persona). Ma per un'azienda che cerca di fornire un livello base di sicurezza, questo è molto, soprattutto con la giusta esperienza e competenza applicate al compito.
Molto spesso, quando viene effettuato lo spear phishing, gli allegati dannosi non vengono inclusi nel corpo delle lettere, altrimenti il sistema antispam bloccherà immediatamente tale lettera nel suo percorso verso il destinatario. Ma includono collegamenti a una risorsa web pre-preparata nel testo della lettera, e quindi è una cosa da poco. L'utente segue il collegamento e dopo diversi reindirizzamenti in pochi secondi si ritrova sull'ultimo dell'intera catena, la cui apertura scaricherà malware sul suo computer.
Ancora più sofisticato: nel momento in cui ricevi la lettera, il link può essere innocuo e solo dopo che è trascorso un po' di tempo, quando è già stato scansionato e saltato, inizierà a reindirizzare al malware. Sfortunatamente, gli specialisti Solar JSOC, anche tenendo conto delle loro competenze, non saranno in grado di configurare il gateway di posta in modo da "vedere" il malware attraverso l'intera catena (anche se, come protezione, è possibile utilizzare la sostituzione automatica di tutti i collegamenti in lettere a SEG, in modo che quest'ultimo scansioni il collegamento non solo al momento della consegna della lettera, ma ad ogni passaggio).
Nel frattempo, anche un tipico reindirizzamento può essere gestito aggregando diversi tipi di competenze, compresi i dati ottenuti dai nostri JSOC CERT e OSINT. Ciò consente di creare liste nere estese, in base alle quali verrà bloccata anche una lettera con inoltri multipli.
L'utilizzo di SEG è solo un piccolo mattone nel muro che qualsiasi organizzazione desidera costruire per proteggere le proprie risorse. Ma anche questo collegamento deve essere integrato correttamente nel quadro generale, perché anche il SEG, con una corretta configurazione, può essere trasformato in un mezzo di protezione a tutti gli effetti.
Ksenia Sadunina, consulente del dipartimento esperto di prevendita di prodotti e servizi Solar JSOC
Fonte: habr.com