Nalika Enterprise gedhe mbangun redoubts echeloned saka panyerang internal potensial lan hacker, phishing lan spam mailings tetep sirah kanggo perusahaan prasaja. Yen Marty McFly ngerti yen ing taun 2015 (lan luwih akeh ing taun 2020) wong ora mung bakal nggawe hoverboards, nanging ora bakal sinau kanggo nyisihake surat sampah, mula dheweke bakal kelangan iman marang manungsa. Kajaba iku, spam saiki ora mung ngganggu, nanging asring mbebayani. Kira-kira 70% saka implementasine killchain, cybercriminals nembus infrastruktur nggunakake malware sing ana ing lampiran utawa liwat link phishing ing email.
Bubar, ana tren sing jelas babagan panyebaran teknik sosial minangka cara kanggo nembus infrastruktur organisasi. Mbandhingake statistik saka 2017 lan 2018, kita ndeleng peningkatan meh 50% ing jumlah kasus nalika malware dikirim menyang komputer karyawan liwat lampiran utawa tautan phishing ing awak email.
Umumé, kabeh ancaman sing bisa ditindakake nggunakake email bisa dipérang dadi sawetara kategori:
- spam mlebu
- kalebu komputer organisasi ing botnet sing ngirim spam metu
- lampiran angkoro lan virus ing awak layang (perusahaan cilik paling asring nandhang sangsara marga saka serangan massive kaya Petya).
Kanggo nglindhungi saka kabeh jinis serangan, sampeyan bisa masang sawetara sistem keamanan informasi, utawa tindakake path model layanan. Kita wis babagan Unified Cybersecurity Services Platform - inti ekosistem layanan cybersecurity sing dikelola MSS Solar. Antarane liyane, kalebu teknologi Secure Email Gateway (SEG) virtualisasi. Biasane, langganan layanan iki dituku dening perusahaan cilik sing kabeh fungsi keamanan IT lan informasi ditugasake kanggo wong siji - administrator sistem. Spam minangka masalah sing tansah katon kanggo pangguna lan manajemen, lan ora bisa diabaikan. Nanging, suwe-suwe, malah manajemen dadi jelas manawa ora bisa "nyelehake" menyang administrator sistem - butuh wektu akeh.
2 jam kanggo ngurai mail rada akeh
Salah sawijining pengecer nyedhaki kita kanthi kahanan sing padha. Sistem pelacakan wektu nuduhake yen saben dina karyawan ngentekake udakara 25% wektu kerja (2 jam!) kanggo ngurutake kothak layang.
Sawise nyambungake server mail pelanggan, kita ngatur conto SEG minangka gateway loro-lorone kanggo surat mlebu lan metu. Kita miwiti nyaring miturut kabijakan sing wis ditemtokake. Kita nyusun Blacklist adhedhasar analisis data sing diwenehake dening pelanggan lan dhaptar alamat sing bisa mbebayani sing dipikolehi dening ahli Solar JSOC minangka bagean saka layanan liyane - contone, ngawasi kedadeyan keamanan informasi. Sawise iku, kabeh mail dikirim menyang panampa mung sawise ngresiki, lan macem-macem mail spam babagan "diskon gedhe" mandheg pour menyang server mail customer ing ton, mbebasake papan kanggo kabutuhan liyane.
Nanging ana kahanan nalika layang sing sah salah diklasifikasikake minangka spam, contone, ditampa saka pangirim sing ora dipercaya. Ing kasus iki, kita menehi hak kaputusan kanggo customer. Ora ana akeh pilihan sing kudu ditindakake: langsung mbusak utawa kirim menyang karantina. Kita milih dalan liya, ing ngendi mail sampah kasebut disimpen ing SEG dhewe. Kita nyedhiyakake administrator sistem kanthi akses menyang konsol web, ing ngendi dheweke bisa nemokake surat penting kapan wae, contone, saka mitra, lan nerusake menyang pangguna.
Ngilangi parasit
Layanan perlindungan email kalebu laporan analitis, tujuane kanggo ngawasi keamanan infrastruktur lan efektifitas setelan sing digunakake. Kajaba iku, laporan kasebut ngidini sampeyan prédhiksi tren. Contone, kita nemokake bagean sing cocog "Spam dening Panampa" utawa "Spam dening Pangirim" ing laporan lan ndeleng alamat sing nampa pesen sing diblokir paling akeh.
Nalika nganalisa laporan kasebut, jumlah surat sing tambah akeh saka salah sawijining pelanggan katon curiga. Infrastrukture sithik, jumlah hurufe sithik. Lan dumadakan, sawise dina kerja, jumlah spam sing diblokir meh tikel kaping pindho. Kita mutusaké kanggo njupuk dipikir nyedhaki.
Kita weruh yen jumlah surat sing metu wis tambah, lan kabeh mau ing kolom "Pangirim" ngemot alamat saka domain sing disambungake menyang layanan proteksi mail. Nanging ana siji nuansa: antarane cukup waras, mbok menawa malah ana, alamat, ana cetha aneh. Kita ndeleng IP saka ngendi surat kasebut dikirim, lan, cukup samesthine, ternyata ora ana ing papan alamat sing dilindhungi. Temenan, panyerang ngirim spam atas jenenge pelanggan.
Ing kasus iki, kita nggawe rekomendasi kanggo pelanggan babagan cara ngatur cathetan DNS kanthi bener, utamane SPF. Spesialis kita menehi saran supaya nggawe rekaman TXT sing ngemot aturan "v=spf1 mx ip:1.2.3.4/23 -all", sing ngemot dhaptar lengkap alamat sing diidini ngirim surat atas jenenge domain sing dilindhungi.
Bener, kenapa iki penting: spam atas jenenge perusahaan cilik sing ora dingerteni ora nyenengake, nanging ora kritis. Kahanan pancen beda, contone, ing industri perbankan. Miturut pengamatan kita, tingkat kepercayaan korban ing email phishing mundhak kaping pirang-pirang yen mesthine dikirim saka domain bank liya utawa mitra sing dikenal korban. Lan iki mbedakake ora mung karyawan bank; ing industri liyane - contone sektor energi - kita ngadhepi gaya sing padha.
Mateni virus
Nanging spoofing ora umum masalah, contone, infèksi virus. Kepiye sampeyan paling kerep nglawan epidemi virus? Padha nginstal antivirus lan ngarep-arep yen "mungsuh ora bakal liwat." Nanging yen kabeh prasaja, mula, amarga biaya antivirus sing cukup murah, kabeh wong wis suwe lali babagan masalah malware. Kangge, kita terus-terusan nampa panjalukan saka seri "mbantu kita mulihake file, kita wis ndhelik kabeh, karya macet, data ilang." Kita ora bosen mbaleni menyang pelanggan manawa antivirus dudu panacea. Saliyane kasunyatan manawa database anti-virus bisa uga ora dianyari kanthi cepet, kita kerep nemoni malware sing bisa ngliwati ora mung anti-virus, nanging uga kothak wedhi.
Sayange, sawetara karyawan biasa organisasi ngerti phishing lan email angkoro lan bisa mbedakake saka korespondensi biasa. Rata-rata, saben pangguna kaping 7 sing ora ngalami peningkatan kesadaran reguler nyerah karo teknik sosial: mbukak file sing kena infeksi utawa ngirim data menyang panyerang.
Senajan vektor sosial saka serangan, ing umum, wis mboko sithik nambah, gaya iki wis dadi utamané katon taun kepungkur. Email phishing dadi luwih mirip karo surat biasa babagan promosi, acara sing bakal teka, lsp. Kene kita bisa ngelingi serangan Silence ing sektor financial - karyawan bank nampa layang dinuga kode promosi kanggo partisipasi ing konferensi industri populer iFin, lan persentasi saka wong-wong sing succumbed kanggo trick banget dhuwur, sanajan, supaya kita elinga. , kita ngomong babagan industri perbankan - sing paling maju ing babagan keamanan informasi.
Sadurunge Taun Anyar pungkasan, kita uga mirsani sawetara kahanan sing rada penasaran nalika karyawan perusahaan industri nampa surat phishing sing berkualitas tinggi kanthi "dhaptar" promosi Taun Anyar ing toko online populer lan kode promosi kanggo diskon. Karyawan ora mung nyoba ngetutake link kasebut, nanging uga ngirim surat kasebut menyang kolega saka organisasi sing gegandhengan. Wiwit sumber sing diblokir link ing email phishing, karyawan wiwit massal ngirim panjalukan kanggo layanan IT kanggo nyedhiyani akses menyang. Umumé, kasuksesan mailing kudu ngluwihi kabeh pangarepan para panyerang.
Lan bubar perusahaan sing wis "dienkripsi" njaluk bantuan kanggo kita. Iku kabeh diwiwiti nalika karyawan accounting nampa layang dinuga saka Bank Sentral Federasi Rusia. Akuntan ngeklik link ing surat kasebut lan ndownload penambang WannaMine menyang mesin, sing, kaya WannaCry sing misuwur, ngeksploitasi kerentanan EternalBlue. Sing paling menarik yaiku umume antivirus wis bisa ndeteksi tandha-tandhane wiwit wiwitan taun 2018. Nanging, antivirus kasebut dipateni, utawa database ora dianyari, utawa ora ana - ing kasus apa wae, penambang wis ana ing komputer, lan ora ana sing ngalangi supaya ora nyebar ing jaringan, ngemot server. CPU lan workstation ing 100%.
Pelanggan iki, sawise nampa laporan saka tim forensik kita, weruh manawa virus kasebut wiwitane nembus dheweke liwat email, lan ngluncurake proyek pilot kanggo nyambungake layanan perlindungan email. Wangsulan: Bab ingkang pisanan kita nyiyapake yaiku antivirus email. Ing wektu sing padha, mindhai malware ditindakake kanthi terus-terusan, lan nganyari teken wiwitane ditindakake saben jam, banjur pelanggan ngalih kaping pindho dina.
Perlindhungan lengkap marang infeksi virus kudu dilapisi. Yen kita ngomong babagan transmisi virus liwat email, mula kudu nyaring huruf kasebut ing lawang mlebu, nglatih pangguna kanggo ngenali teknik sosial, banjur ngandelake antivirus lan kothak wedhi.
ing SEGda ing jaga
Mesthi wae, kita ora ngaku yen solusi Gateway Email Aman minangka panacea. Serangan sing ditarget, kalebu phishing tombak, angel banget dicegah amarga ... Saben serangan kasebut "dicocogake" kanggo panampa tartamtu (organisasi utawa wong). Nanging kanggo perusahaan sing nyoba nyedhiyakake tingkat keamanan dhasar, iki akeh, utamane kanthi pengalaman lan keahlian sing cocog kanggo tugas kasebut.
Paling asring, nalika phishing tumbak ditindakake, lampiran angkoro ora kalebu ing awak surat, yen ora, sistem antispam bakal langsung mblokir layang kasebut ing dalan menyang panampa. Nanging kalebu pranala menyang sumber web sing wis disiapake ing teks surat, banjur dadi prakara cilik. Pangguna ngetutake link kasebut, banjur sawise sawetara pangalihan ing sawetara detik, pungkasane ing kabeh rantai, bukaan bakal ndownload malware menyang komputer.
Malah luwih canggih: nalika sampeyan nampa layang kasebut, tautan kasebut bisa uga ora mbebayani lan mung sawise sawetara wektu wis liwati, yen wis dipindai lan dilewati, mula bakal dialihake menyang malware. Sayange, spesialis Solar JSOC, sanajan nganggep kompetensine, ora bakal bisa ngatur gateway mail supaya bisa "ndeleng" malware liwat kabeh rantai (sanajan, minangka proteksi, sampeyan bisa nggunakake panggantos otomatis kabeh pranala ing huruf. kanggo SEG, supaya sing terakhir mindai link ora mung ing wektu pangiriman layang, lan ing saben transisi).
Kangge, malah pangalihan khas bisa ditangani kanthi nglumpukake sawetara jinis keahlian, kalebu data sing dipikolehi JSOC CERT lan OSINT. Iki ngidini sampeyan nggawe dhaptar ireng lengkap, adhedhasar sing malah huruf karo sawetara terusan bakal diblokir.
Nggunakake SEG mung minangka bata cilik ing tembok sing pengin dibangun organisasi kanggo nglindhungi aset. Nanging pranala iki uga kudu digabungake kanthi bener menyang gambar sakabèhé, amarga malah SEG, kanthi konfigurasi sing tepat, bisa diowahi dadi sarana perlindungan sing lengkap.
Ksenia Sadunina, konsultan departemen presale pakar produk lan layanan Solar JSOC
Source: www.habr.com