スパム対策以上のもの: Security Email Gateway を最大限に活用する方法

大手企業が内部の潜在的な攻撃者やハッカーからの強固な砦を築いている一方で、フィッシングやスパムメールの送信は依然として単純な企業にとって頭の痛い問題です。 もしマーティ・マクフライが、2015年に（そして2020年にはさらにそうであるが）人々がホバーボードを発明しないだけでなく、ジャンクメールを完全に取り除く方法さえ学ばないことを知っていたら、おそらく人類への信頼を失うだろう。 さらに、今日のスパムは煩わしいだけでなく、有害な場合も少なくありません。 キルチェーン実装の約 70% では、サイバー犯罪者は添付ファイルに含まれるマルウェアや電子メール内のフィッシング リンクを使用してインフラストラクチャに侵入します。

最近、組織のインフラストラクチャに侵入する方法としてソーシャル エンジニアリングが普及する傾向が明らかです。 2017 年と 2018 年の統計を比較すると、電子メール本文の添付ファイルやフィッシング リンクを通じてマルウェアが従業員のコンピューターに配信されたケースの数がほぼ 50% 増加していることがわかります。

一般に、電子メールを使用して実行される可能性のあるあらゆる脅威は、いくつかのカテゴリに分類できます。

• 受信スパム
• スパムを送信するボットネットに組織のコンピュータが組み込まれること
• メールの本文に悪意のある添付ファイルやウイルスが含まれている（小規模企業は、Petya のような大規模な攻撃に苦しむことがよくあります）。

あらゆる種類の攻撃から保護するには、複数の情報セキュリティ システムを導入するか、サービス モデルのパスに従うことができます。 私たちはもう 言った Solar MSS が管理するサイバーセキュリティ サービス エコシステムの中核である、統合サイバーセキュリティ サービス プラットフォームについて説明します。 とりわけ、仮想化された Secure Email Gateway (SEG) テクノロジーが含まれています。 原則として、このサービスのサブスクリプションは、すべての IT および情報セキュリティ機能が XNUMX 人の人物 (システム管理者) に割り当てられている小規模企業によって購入されます。 スパムはユーザーと管理者にとって常に目に見える問題であり、無視することはできません。 しかし、時間が経つにつれて、管理者ですら、単にシステム管理者にそれを「ドロップ」するのは不可能であることが明らかになり、時間がかかりすぎます。

メールの解析に 2 時間はちょっと長すぎる

小売業者の 25 社が同様の状況について私たちに相談してきました。 時間追跡システムは、従業員が毎日、勤務時間の約 2% (XNUMX 時間!) を郵便受けの整理に費やしていることを示しました。

顧客のメール サーバーに接続した後、受信メールと送信メールの両方に対する双方向ゲートウェイとして SEG インスタンスを構成しました。 事前に確立されたポリシーに従ってフィルタリングを開始しました。 当社は、顧客から提供されたデータの分析と、情報セキュリティ インシデントの監視など、他のサービスの一環として Solar JSOC の専門家が取得した潜在的に危険なアドレスの独自のリストに基づいてブラックリストを作成しました。 その後、すべてのメールはクリーニング後にのみ受信者に配信されるようになり、「大幅割引」に関するさまざまなスパムメールが顧客のメール サーバーに大量に流入することがなくなり、他のニーズのためのスペースが解放されました。

しかし、たとえば、信頼できない送信者から受信したものとして、正規の手紙が誤ってスパムとして分類される状況がありました。 この場合、当社はお客様に決定権を与えます。 どうすればよいかという選択肢はあまりありません。ただちに削除するか、隔離に送るかです。 私たちは、このような迷惑メールを SEG 自体に保存する XNUMX 番目のパスを選択しました。 システム管理者に Web コンソールへのアクセスを提供し、取引相手からの重要な手紙などをいつでも見つけてユーザーに転送できるようにしました。

寄生虫の駆除

電子メール保護サービスには分析レポートが含まれており、その目的はインフラストラクチャのセキュリティと使用されている設定の有効性を監視することです。 さらに、これらのレポートにより、傾向を予測することができます。 たとえば、レポート内で対応するセクション「受信者別のスパム」または「送信者別のスパム」を見つけて、ブロックされたメッセージを最も多く受信したアドレスを調べます。

このようなレポートを分析しているときに、ある顧客からの手紙の総数が急激に増加していることに私たちは疑問を感じました。 そのインフラは小さく、手紙の数も少ない。 そして突然、XNUMX営業日後にブロックされるスパムの量がほぼXNUMX倍に増加しました。 私たちは詳しく見てみることにしました。

送信される手紙の数が増加し、そのすべての「送信者」フィールドにメール保護サービスに接続されているドメインのアドレスが含まれていることがわかります。 しかし、微妙な点が XNUMX つあります。非常に健全な、おそらく既存のアドレスの中にも、明らかに奇妙なアドレスが存在します。 手紙の送信元の IP を調べたところ、予想通り、それらは保護されたアドレス空間に属していないことが判明しました。 明らかに、攻撃者は顧客に代わってスパムを送信していました。

この場合、DNS レコード、特に SPF を正しく構成する方法についてお客様に推奨事項を作成しました。 当社のスペシャリストは、ルール「v=spf1 mx ip:1.2.3.4/23 -all」を含む TXT レコードを作成するようアドバイスしました。これには、保護されたドメインに代わってレターを送信できるアドレスの完全なリストが含まれています。

実際、なぜこれが重要なのかというと、無名の中小企業を代表するスパムは不快ではありますが、重大ではありません。 たとえば銀行業界では状況がまったく異なります。 私たちの観察によると、フィッシングメールに対する被害者の信頼レベルは、別の銀行のドメインや被害者が知っている相手先のドメインから送信されたと思われる場合に比べて何倍も高まります。 そして、これは銀行員だけでなく、他の業界、たとえばエネルギー部門でも同じ傾向に直面しています。

ウイルスを殺す

しかし、なりすましは、ウイルス感染などほど一般的な問題ではありません。 ウイルスの流行とどのように戦うことが最も多いですか? 彼らはウイルス対策ソフトウェアをインストールし、「敵が侵入しないこと」を望んでいます。 しかし、すべてがそれほど単純であれば、ウイルス対策のコストがかなり低いことを考えると、誰もがマルウェアの問題をとっくの昔に忘れていたでしょう。 一方で、私たちはシリーズから「ファイルの復元を手伝ってください、すべてを暗号化しました、作業が停滞しています、データが失われます」というリクエストを常に受け​​ています。 私たちは、ウイルス対策が万能薬ではないことをお客様に繰り返し繰り返しています。 ウイルス対策データベースが十分に迅速に更新されない可能性があることに加えて、ウイルス対策だけでなくサンドボックスもバイパスできるマルウェアに遭遇することがよくあります。

残念ながら、組織の一般従業員でフィッシングメールや悪意のあるメールを認識しており、それらを通常の通信と区別できる人はほとんどいません。 平均して、定期的な啓発を受けていないユーザーの 7 人に XNUMX 人が、感染したファイルを開いたり、データを攻撃者に送信したりするソーシャル エンジニアリングに屈しています。

一般に攻撃の社会的ベクトルは徐々に増加していますが、この傾向は昨年特に顕著になりました。 フィッシングメールは、プロモーションや今後のイベントなどに関する通常のメールにますます似てきました。 ここで、金融セクターに対する沈黙攻撃を思い出すことができます。銀行員は、人気のある業界カンファレンス iFin に参加するためのプロモーション コードが記載された手紙を受け取ったとされていますが、その手口に屈した人の割合は非常に高かったのを思い出してください。 、私たちは情報セキュリティに関して最も進んでいる銀行業界について話しています。

昨年の新年の前に、私たちはまた、工業企業の従業員が、人気のオンライン ストアでの新年のプロモーションの「リスト」と割引のプロモーション コードが記載された非常に質の高いフィッシングメールを受け取るという、かなり奇妙な状況をいくつか観察しました。 従業員は自らリンクをたどろうとしただけでなく、関連組織の同僚にも手紙を転送した。 フィッシングメール内のリンク先のリソースがブロックされたため、従業員は一斉に IT サービスにアクセスを提供するリクエストを送信し始めました。 一般に、メール送信の成功は攻撃者の予想をすべて上回ったに違いありません。

そして最近、「暗号化」されていた企業が私たちに助けを求めてきました。 会計職員がロシア連邦中央銀行からとされる手紙を受け取ったことがすべての始まりだった。 会計士は手紙のリンクをクリックし、WannaMine マイナーを自分のマシンにダウンロードしました。これは、有名な WannaCry と同様に、EternalBlue の脆弱性を悪用しました。 最も興味深いのは、2018 年の初めからほとんどのウイルス対策ソフトウェアがそのシグネチャを検出できるようになったということです。 しかし、ウイルス対策が無効になっているか、データベースが更新されていないか、まったく存在しませんでした。いずれにせよ、マイナーはすでにコンピューター上に存在しており、それがネットワーク全体にさらに拡散してサーバーに負荷をかけることを妨げるものは何もありませんでした。 CPU とワークステーションは 100% です。

この顧客は、当社のフォレンジック チームからレポートを受け取り、ウイルスが最初に電子メールを介して侵入したことを確認し、電子メール保護サービスに接続するためのパイロット プロジェクトを開始しました。 最初にセットアップしたのは電子メール アンチウイルスでした。 同時に、マルウェアのスキャンが継続的に実行され、シグネチャの更新は当初は XNUMX 時間ごとに実行されていましたが、その後、顧客は XNUMX 日 XNUMX 回に切り替えました。

ウイルス感染に対する完全な保護を何層にもわたって行う必要があります。 電子メールを介したウイルスの送信について話す場合、そのような手紙を入り口でフィルタリングし、ソーシャル エンジニアリングを認識するようにユーザーを訓練し、ウイルス対策とサンドボックスに依存する必要があります。

SEGdaでガード中

もちろん、Secure Email Gateway ソリューションが万能薬であるとは主張しません。 スピア フィッシングを含む標的型攻撃を防ぐのは非常に困難です。 このような攻撃はそれぞれ、特定の受信者 (組織または個人) に合わせて「調整」されています。 しかし、基本レベルのセキュリティを提供しようとしている企業にとって、これは特に適切な経験と専門知識がそのタスクに適用されている場合には、非常に困難です。

ほとんどの場合、スピア フィッシングが実行される場合、悪意のある添付ファイルはメールの本文に含まれていません。そうでない場合は、スパム対策システムが受信者に届く途中でそのようなメールを即座にブロックします。 しかし、手紙の本文には、事前に用意された Web リソースへのリンクが含まれており、それは小さな問題です。 ユーザーがリンクをたどると、数秒以内にいくつかのリダイレクトが行われた後、チェーン全体の最後のリンクに到達し、そのリンクを開くとマルウェアがコンピューターにダウンロードされます。

さらに高度な場合は、レターを受け取った時点ではリンクは無害である可能性がありますが、スキャンされてスキップされてからしばらく経って初めてマルウェアにリダイレクトされ始めます。 残念ながら、Solar JSOC スペシャリストは、その能力を考慮しても、チェーン全体でマルウェアを「見る」ようにメール ゲートウェイを構成することはできません (ただし、保護として、文字内のすべてのリンクを自動的に置き換えることはできます) SEG に送信することで、後者はレターの配信時だけでなく、遷移のたびにリンクをスキャンします)。

一方、一般的なリダイレクトであっても、JSOC CERTやOSINTで取得したデータなど、複数の専門知識を集約することで対応できます。 これにより、拡張ブラックリストを作成でき、これに基づいて複数の転送が含まれるレターもブロックされます。

SEG の使用は、組織が資産を保護するために構築したい壁の小さなレンガにすぎません。 ただし、適切に構成すれば SEG であっても本格的な保護手段に変えることができるため、このリンクも全体像に正しく統合する必要があります。

Ksenia Sadunina 氏、太陽光発電 JSOC 製品およびサービスの事前販売専門部門のコンサルタント

出所： habr.com