Үлкен кәсіпорын әлеуетті ішкі шабуылдаушылар мен хакерлерден эшелондық редуттарды құрастырып жатқанымен, фишинг пен спам-хабарлама қарапайым компаниялар үшін бас ауруы болып қала береді. Егер Марти Макфлай 2015 жылы (және одан да көп 2020 жылы) адамдар ховербордтарды ойлап тауып қана қоймай, тіпті қажетсіз хаттардан толық құтылуды үйренбейтінін білсе, ол адамзатқа деген сенімін жоғалтуы мүмкін. Оның үстіне бүгінде спам тек тітіркендіргіш қана емес, көбінесе зиянды. Kilchain енгізулерінің шамамен 70%-да киберқылмыскерлер қосымшалардағы зиянды бағдарламаларды немесе электрондық хаттардағы фишингтік сілтемелер арқылы инфрақұрылымға енеді.
Жақында ұйымның инфрақұрылымына ену тәсілі ретінде әлеуметтік инженерияны таратудың айқын үрдісі байқалды. 2017 және 2018 жылдардағы статистиканы салыстыра отырып, біз зиянды бағдарламаның электрондық поштаның негізгі бөлігіндегі тіркемелер немесе фишингтік сілтемелер арқылы қызметкерлердің компьютерлеріне жеткізілу жағдайларының шамамен 50%-ға өскенін көреміз.
Жалпы, электрондық пошта арқылы жүзеге асырылуы мүмкін қауіптердің барлық ауқымын бірнеше санатқа бөлуге болады:
- кіріс спам
- ұйымның компьютерлерін шығыс спам жіберетін ботнетке қосу
- хаттың денесінде зиянды қосымшалар мен вирустар (шағын компаниялар көбінесе Петя сияқты жаппай шабуылдардан зардап шегеді).
Шабуылдардың барлық түрінен қорғау үшін бірнеше ақпараттық қауіпсіздік жүйелерін орналастыруға немесе қызмет үлгісінің жолын орындауға болады. Біз қазірдің өзінде Бірыңғай киберқауіпсіздік қызметтері платформасы туралы – Solar MSS басқарылатын киберқауіпсіздік қызметтерінің экожүйесінің өзегі. Басқа нәрселермен қатар, ол виртуалдандырылған Secure Email Gateway (SEG) технологиясын қамтиды. Әдетте, бұл қызметке жазылуды барлық АТ және ақпаратты қорғау функциялары бір адамға – жүйелік әкімшіге жүктелген шағын компаниялар сатып алады. Спам - бұл пайдаланушылар мен басшылыққа әрқашан көрінетін мәселе және оны елемеуге болмайды. Алайда, уақыт өте келе, тіпті басшылық оны жүйелік әкімшіге «талап тастау» мүмкін емес екендігі белгілі болды - бұл тым көп уақытты алады.
Поштаны талдау үшін 2 сағат аздап көп
Осыған ұқсас жағдаймен саудагерлердің бірі хабарласты. Уақытты бақылау жүйелері оның қызметкерлері күн сайын жұмыс уақытының шамамен 25% (2 сағат!) пошта жәшігін сұрыптауға жұмсайтынын көрсетті.
Тұтынушының пошта серверін қосқаннан кейін біз SEG данасын кіріс және шығыс хаттар үшін екі жақты шлюз ретінде конфигурацияладық. Біз алдын ала белгіленген саясаттарға сәйкес сүзуді бастадық. Біз Қара тізімді тұтынушы ұсынған деректерді талдау және Solar АҚ сарапшылары басқа қызметтердің бөлігі ретінде алған әлеуетті қауіпті мекенжайлардың жеке тізімдеріне негізделген, мысалы, ақпараттық қауіпсіздік инциденттерін бақылау. Осыдан кейін барлық хаттар алушыларға тазартылғаннан кейін ғана жеткізілді, ал «үлкен жеңілдіктер» туралы әртүрлі спам-хабарламалар тұтынушының пошта серверлеріне тонналап құйылуды тоқтатып, басқа қажеттіліктер үшін орынды босатады.
Бірақ заңды хат қателесіп спам ретінде жіктелген жағдайлар болды, мысалы, сенімсіз жіберушіден алынған сияқты. Бұл жағдайда біз шешім қабылдау құқығын тапсырыс берушіге бердік. Не істеу керектігі туралы көптеген нұсқалар жоқ: оны дереу жою немесе карантинге жіберу. Біз екінші жолды таңдадық, онда мұндай қажетсіз хаттар SEG-де сақталады. Біз жүйелік әкімшіге кез келген уақытта, мысалы, контрагенттен маңызды хатты тауып, оны пайдаланушыға жібере алатын веб-консольге рұқсат бердік.
Паразиттерден құтылу
Электрондық поштаны қорғау қызметі аналитикалық есептерді қамтиды, оның мақсаты инфрақұрылымның қауіпсіздігін және пайдаланылатын параметрлердің тиімділігін бақылау болып табылады. Сонымен қатар, бұл есептер трендтерді болжауға мүмкіндік береді. Мысалы, есепте «Алушы спам» немесе «Жіберуші спам» сәйкес тарауын табамыз және блокталған хабарламалардың ең көп санын кімнің мекенжайы алатынын қарастырамыз.
Дәл осындай хабарламаны талдай отырып, бір тапсырыс берушінің хаттарының жалпы санының күрт артуы бізге күдікті болып көрінді. Оның инфрақұрылымы шағын, әріптер саны аз. Бір жұмыс күнінен кейін кенеттен бұғатталған спам саны екі есеге жуық өсті. Біз жақынырақ қарауды шештік.
Біз шығыс хаттар санының артқанын көреміз және олардың барлығында «Жіберуші» өрісінде поштаны қорғау қызметіне қосылған доменнің мекенжайлары бар. Бірақ бір нюанс бар: өте ақылға қонымды, мүмкін тіпті бар мекен-жайлардың арасында біртүрлілері бар. Біз хаттар жіберілген IP мекенжайларын қарадық және олар қорғалған мекенжай кеңістігіне жатпайтыны белгілі болды. Әлбетте, шабуылдаушы тұтынушы атынан спам жіберген.
Бұл жағдайда біз тұтынушыға DNS жазбаларын, атап айтқанда SPF параметрлерін қалай дұрыс конфигурациялау керектігі туралы ұсыныстар жасадық. Біздің маман бізге қорғалған домен атынан хат жіберуге рұқсат етілген мекенжайлардың толық тізімін қамтитын «v=spf1 mx ip:1.2.3.4/23 -all» ережесін қамтитын TXT жазбасын жасауға кеңес берді.
Шын мәнінде, бұл неге маңызды: белгісіз шағын компания атынан спам жағымсыз, бірақ маңызды емес. Жағдай мүлде басқаша, мысалы, банк саласында. Біздің байқауымызша, жәбірленушінің фишингтік электрондық поштаға сенім деңгейі, егер ол басқа банктің доменінен немесе жәбірленушіге белгілі контрагенттен жіберілсе, бірнеше есе артады. Бұл тек банк қызметкерлерін ғана ерекшелендірмейді, басқа салаларда – мысалы, энергетикада – біз осындай үрдіске тап боламыз.
Вирустарды өлтіру
Бірақ спуфинг, мысалы, вирустық инфекциялар сияқты жиі кездесетін мәселе емес. Сіз көбінесе вирустық індеттермен қалай күресесіз? Олар антивирус орнатып, «жау өтпейді» деп үміттенеді. Бірақ егер бәрі соншалықты қарапайым болса, антивирустардың айтарлықтай төмен құнын ескере отырып, барлығы зиянды бағдарлама мәселесін әлдеқашан ұмытып кеткен болар еді. Осы уақытта біз «файлдарды қалпына келтіруге көмектесеміз, біз бәрін шифрладық, жұмыс тоқтап қалды, деректер жоғалды» сериясынан үнемі сұраулар аламыз. Біз өз тұтынушыларымызға антивирус панацея емес екенін қайталаудан жалықпаймыз. Вирусқа қарсы дерекқорлар жеткілікті жылдам жаңартылмауы мүмкін екендігіне қоса, біз антивирустарды ғана емес, сонымен қатар құм жәшіктерін де айналып өтетін зиянды бағдарламаларды жиі кездестіреміз.
Өкінішке орай, ұйымдардың қарапайым қызметкерлері аз ғана фишинг пен зиянды электрондық хаттарды біледі және оларды кәдімгі хат алмасудан ажырата алады. Орташа алғанда, тұрақты хабардар болудан өтпейтін әрбір 7-ші пайдаланушы әлеуметтік инженерияға көнеді: вирус жұққан файлды ашу немесе өз деректерін шабуылдаушыларға жіберу.
Шабуылдардың әлеуметтік векторы, жалпы алғанда, бірте-бірте өсіп келе жатқанымен, бұл үрдіс өткен жылы ерекше байқалды. Фишингтік электрондық пошталар жарнамалық акциялар, алдағы оқиғалар және т. Бұл жерде біз қаржы секторына жасалған «Үнсіздік» шабуылын еске түсіре аламыз - банк қызметкерлері танымал iFin салалық конференциясына қатысу үшін промо-коды бар болжамды хат алды және қулыққа бой алдырғандардың пайызы өте жоғары болды, дегенмен еске түсірейік. , біз ақпараттық қауіпсіздік мәселелері бойынша ең озық – банк саласы туралы айтып отырмыз.
Өткен Жаңа жылдың алдында біз өнеркәсіптік компаниялардың қызметкерлері танымал интернет-дүкендердегі жаңа жылдық акциялардың «тізімі» және жеңілдіктерге арналған промо-кодтары бар өте жоғары сапалы фишингтік хаттарды алған бірнеше қызықты жағдайларды байқадық. Қызметкерлер сілтемені өздері бақылап қана қоймай, хатты тиісті ұйымдардағы әріптестеріне де жіберді. Фишингтік электрондық поштадағы сілтеме жіберілген ресурс бұғатталғандықтан, қызметкерлер оған кіруді қамтамасыз ету үшін АТ қызметіне жаппай сұрау жібере бастады. Жалпы алғанда, жіберудің сәттілігі шабуылдаушылардың барлық үміттерінен асып түсуі керек.
Жақында «шифрланған» компания бізге көмек сұрады. Мұның бәрі бухгалтерия қызметкерлері Ресей Федерациясының Орталық банкінен хат алған кезде басталды. Бухгалтер хаттағы сілтемені басып, әйгілі WannaCry сияқты EternalBlue осалдығын пайдаланған WannaMine кеншісін өз машинасына жүктеп алды. Ең қызығы, антивирустардың көпшілігі 2018 жылдың басынан бері оның қолтаңбаларын анықтай алды. Бірақ антивирус өшірілген, немесе дерекқорлар жаңартылмаған, немесе ол мүлдем жоқ - кез келген жағдайда, шахтер компьютерде болды және оның желіде одан әрі таралуына, серверлерді жүктеуіне ештеңе кедергі болмады. CPU және жұмыс станциялары 100%.
Бұл тұтынушы біздің сот-медициналық сарапшылар тобынан есеп алып, вирус бастапқыда электрондық пошта арқылы енгенін көріп, электрондық поштаны қорғау қызметін қосу үшін пилоттық жобаны іске қосты. Біз орнатқан бірінші нәрсе электрондық пошта антивирусы болды. Бұл ретте зиянды бағдарламаны сканерлеу тұрақты түрде жүзеге асырылады және қолтаңбаны жаңарту бастапқыда сағат сайын жүзеге асырылды, содан кейін тұтынушы күніне екі рет ауысады.
Вирустық инфекциялардан толық қорғаныс қабатта болуы керек. Егер вирустарды электронды пошта арқылы жіберу туралы айтатын болсақ, онда кіреберісте мұндай хаттарды сүзгіден өткізіп, пайдаланушыларды әлеуметтік инженерияны тануға үйретіп, содан кейін антивирустар мен құмсалғыштарға сүйену керек.
SEGda күзетінде
Әрине, біз Secure Email Gateway шешімдерін панацея деп айтпаймыз. Мақсатты шабуылдардың, соның ішінде найза фишингінің алдын алу өте қиын, себебі... Әрбір осындай шабуыл белгілі бір алушыға (ұйым немесе адам) «бейімделеді». Бірақ қауіпсіздіктің негізгі деңгейін қамтамасыз етуге тырысатын компания үшін бұл өте көп, әсіресе дұрыс тәжірибе мен тапсырманы орындау кезінде тәжірибе.
Көбінесе, найза фишингімен айналысқан кезде зиянды қосымшалар хаттар мәтініне қосылмайды, әйтпесе спамға қарсы жүйе мұндай хатты алушыға жолда бірден бұғаттайды. Бірақ олар хат мәтінінде алдын ала дайындалған веб-ресурсқа сілтемелерді қамтиды, содан кейін бұл кішкентай мәселе. Пайдаланушы сілтеме бойынша жүреді, содан кейін бірнеше секунд ішінде бірнеше қайта бағыттаудан кейін бүкіл тізбектің соңғысына түседі, оның ашылуы оның компьютеріне зиянды бағдарламаны жүктейді.
Одан да күрделі: сіз хат алған сәтте сілтеме зиянсыз болуы мүмкін және біраз уақыт өткеннен кейін ғана сканерленген және өткізіп алынған кезде, ол зиянды бағдарламаға қайта бағыттай бастайды. Өкінішке орай, Solar JSOC мамандары, тіпті олардың құзыреттіліктерін ескере отырып, зиянды бағдарламаны бүкіл тізбек бойынша «көру» үшін пошта шлюзін конфигурациялай алмайды (бірақ қорғаныс ретінде сіз хаттардағы барлық сілтемелерді автоматты түрде ауыстыруды пайдалана аласыз) SEG-ге, сондықтан соңғысы сілтемені тек хатты жеткізу кезінде ғана емес, сонымен қатар әрбір өту кезінде сканерлейді).
Сонымен қатар, тіпті әдеттегі қайта бағыттауды бірнеше сараптама түрлерін, соның ішінде JSOC CERT және OSINT алған деректерді біріктіру арқылы шешуге болады. Бұл кеңейтілген қара тізімдерді жасауға мүмкіндік береді, олардың негізінде бірнеше бағыттағы хаттар да бұғатталады.
SEG пайдалану - бұл кез келген ұйым өз активтерін қорғау үшін тұрғызғысы келетін қабырғадағы кішкене кірпіш. Бірақ бұл сілтеме жалпы суретке дұрыс біріктірілуі керек, өйткені дұрыс конфигурацияланған SEG де толыққанды қорғаныс құралына айналуы мүмкін.
Ксения Садунина, Solar JSOC өнімдері мен қызметтерінің сараптамалық алдын ала сату бөлімінің кеңесшісі
Ақпарат көзі: www.habr.com