Wärend déi grouss Enterprise echeloned Redoutt vu potenziellen internen Ugräifer an Hacker baut, bleiwen Phishing a Spam Mailings e Kappwéi fir méi einfach Firmen. Wann de Marty McFly wousst, datt am Joer 2015 (an nach méi 2020) d'Leit net nëmmen net Hoverboards erfannen, mä och net emol léiere komplett vu Junk-Mail lass ze ginn, da géif hie wahrscheinlech de Glawen un d'Mënschheet verléieren. Ausserdeem ass Spam haut net nëmmen lästeg, awer dacks schiedlech. A ongeféier 70% vun Killchain Implementatiounen penetréieren Cyberkrimineller d'Infrastruktur mat Malware an Uschlëss oder duerch Phishing Links an E-Mailen.
Viru kuerzem gouf et e kloeren Trend fir d'Verbreedung vu sozialen Ingenieuren als e Wee fir d'Infrastruktur vun enger Organisatioun ze penetréieren. Wann Dir Statistike vun 2017 an 2018 vergläicht, gesi mir eng bal 50% Erhéijung vun der Unzuel u Fäll wou Malware un Employécomputer duerch Uschlëss oder Phishinglinks am Kierper vun enger E-Mail geliwwert gouf.
Am Allgemengen, kann déi ganz Palette vu Geforen, déi mat E-Mail duerchgefouert kënne ginn, an e puer Kategorien opgedeelt ginn:
- erakommen Spam
- Inklusioun vun de Computeren vun enger Organisatioun an engem Botnet, deen erausginn Spam schéckt
- béiswëlleg Uschlëss a Viren am Kierper vum Bréif (kleng Firmen leiden meeschtens vu massiven Attacke wéi Petya).
Fir géint all Typ vun Attacken ze schützen, kënnt Dir entweder verschidden Informatiounssécherheetssystemer ofsetzen, oder de Wee vun engem Servicemodell verfollegen. Mir scho iwwer d'Unified Cybersecurity Services Plattform - de Kär vum Solar MSS geréiert Cybersecurity Services Ökosystem. Ënner anerem enthält et virtualiséiert Secure Email Gateway (SEG) Technologie. Als Regel, gëtt en Abonnement op dëse Service vu klenge Firmen kaaft, an deenen all IT- an Informatiounssécherheetsfunktiounen un eng Persoun zougewisen sinn - de Systemadministrator. Spam ass e Problem deen ëmmer fir Benotzer a Gestioun sichtbar ass, an et kann net ignoréiert ginn. Wéi och ëmmer, mat der Zäit gëtt och d'Gestioun kloer datt et onméiglech ass et einfach un de Systemadministrator ze "droppen" - et hëlt ze vill Zäit.
2 Stonnen fir Mail ze analyséieren ass e bësse vill
Ee vun den Händler huet eis mat enger ähnlecher Situatioun ukomm. Zäit Tracking Systemer weisen datt seng Mataarbechter all Dag ongeféier 25% vun hirer Aarbechtszäit (2 Stonnen!) fir d'Bréifkëscht auszortéieren.
Nodeems mir de Mailserver vum Client ugeschloss hunn, hu mir d'SEG-Instanz als zwee-Wee-Paart konfiguréiert fir souwuel erakommen an erausgaang Mail. Mir hunn ugefaang ze filteren no vir-etabléierte Politiken. Mir hunn d'Blacklist zesummegesat op Basis vun enger Analyse vun den Donnéeën, déi vum Client geliwwert ginn, an eis eege Lëschte vu potenziell geféierleche Adressen, déi vu Solar JSOC Experten als Deel vun anere Servicer kritt goufen - zum Beispill Iwwerwaachung vun Informatiounssécherheetsfäll. Duerno gouf all Mail un d'Empfänger geliwwert nëmmen no der Botzen, a verschidde Spam-Mailings iwwer "grouss Remise" hunn opgehalen an Tonnen op de Client seng Mailserver ze kommen, fir Plaz fir aner Bedierfnesser ze befreien.
Awer et goufe Situatiounen, wou e legitime Bréif falsch als Spam klasséiert gouf, zum Beispill, als vun engem net zouverléissege Sender kritt. An dësem Fall hu mir dem Client d'Entscheedungsrecht ginn. Et ginn net vill Optiounen fir wat ze maachen: läscht et direkt oder schéckt et an d'Quarantän. Mir hunn den zweete Wee gewielt, an deem sou Junk-Mail um SEG selwer gespäichert gëtt. Mir hunn de System Administrateur Zougang zu der Web Konsol, an deem hien zu all Moment e wichtege Bréif fannen kéint, zum Beispill, vun engem Géigespiller, a weidergespillt et un de Benotzer.
Befreiung vu Parasiten
Den E-Mail Schutzservice enthält analytesch Berichter, den Zweck vun deenen ass d'Sécherheet vun der Infrastruktur an d'Effizienz vun den benotzten Astellungen ze iwwerwaachen. Zousätzlech erlaben dës Berichter Iech Trends virauszesoen. Zum Beispill fanne mir déi entspriechend Rubrik "Spam vum Empfänger" oder "Spam vum Sender" am Bericht a kucke wéi hir Adress déi gréisst Zuel vu blockéierte Messagen kritt.
Et war während der Analyse vun esou engem Bericht, datt déi staark erhéicht Gesamtzuel vu Bréiwer vun engem vun de Clienten eis verdächteg war. Seng Infrastruktur ass kleng, d'Zuel vun de Bréiwer ass niddereg. An op eemol, no engem Aarbechtsdag, ass d'Quantitéit u blockéierte Spam bal verduebelt. Mir hu beschloss eis méi no ze kucken.
Mir gesinn datt d'Zuel vun erausginn Bréiwer eropgaang ass, an all vun hinnen am Feld "Sender" enthalen Adressen aus engem Domain, deen un de Mail Schutz Service verbonnen ass. Awer et gëtt eng Nuance: ënner zimlech vernünfteg, vläicht souguer existéierend Adressen, ginn et kloer komesch. Mir hunn d'IPen ugekuckt, aus deenen d'Bréiwer geschéckt goufen, an, ganz erwaart, huet sech erausgestallt datt se net zum geschützte Adressraum gehéieren. Natierlech huet den Ugräifer Spam am Numm vum Client geschéckt.
An dësem Fall hu mir Empfehlungen fir de Client gemaach wéi Dir DNS-Records korrekt konfiguréiert, speziell SPF. Eise Spezialist huet eis ugeroden en TXT-Rekord ze kreéieren deen d'Regel "v=spf1 mx ip:1.2.3.4/23 -all" enthält, déi eng ustrengend Lëscht vun Adressen enthält, déi erlaabt sinn Bréiwer am Numm vum geschützte Domain ze schécken.
Eigentlech, firwat ass dat wichteg: Spam am Numm vun enger onbekannter klenger Firma ass désagréabel, awer net kritesch. Ganz anescht ass d'Situatioun, zum Beispill an der Bankeindustrie. Laut eisen Observatioune erhéicht den Niveau vum Vertrauen vum Affer an enger Phishing-E-Mail vill Mol, wann et anscheinend aus dem Domain vun enger anerer Bank oder enger Géigepartei, déi dem Affer bekannt ass, geschéckt gëtt. An dat ënnerscheet net nëmme Bankemployéen, an anere Branchen - zum Beispill den Energiesecteur - si mir mam selwechten Trend konfrontéiert.
Viren ëmbréngen
Awer Spoofing ass net sou heefeg e Problem wéi zum Beispill viral Infektiounen. Wéi bekämpft Dir meeschtens viral Epidemien? Si installéieren en Antivirus an hoffen datt "de Feind net duerchgoe wäert." Awer wann alles sou einfach wier, dann, mat de relativ niddrege Käschte vun Antivirusen, hätt jidderee scho laang iwwer de Problem vu Malware vergiess. Mëttlerweil kréie mir dauernd Ufroe vun der Serie "hëllef eis d'Dateien ze restauréieren, mir hunn alles verschlësselt, d'Aarbecht ass gestoppt, d'Date si verluer." Mir midd ni fir eise Clienten ze widderhuelen datt Antivirus keng Panacea ass. Zousätzlech zu der Tatsaach, datt Anti-Virus-Datebanke vläicht net séier genuch aktualiséiert ginn, begéine mir dacks Malware, déi net nëmmen Anti-Virusen ëmgoe kënnen, awer och Sandkëschten.
Leider si wéineg normal Mataarbechter vun Organisatiounen bewosst vu Phishing a béiswëlleg E-Mailen a kënnen se vun der regulärer Korrespondenz z'ënnerscheeden. Am Duerchschnëtt, all 7. Benotzer, deen net regelméisseg Sensibiliséierungserhéijung mécht, erënnert sech un de sozialen Ingenieuren: eng infizéiert Datei opmaachen oder hir Donnéeën un Ugräifer schécken.
Obwuel de soziale Vecteur vun Attacken, am Allgemengen, lues a lues eropgaang ass, ass dësen Trend d'lescht Joer besonnesch opfälleg ginn. Phishing E-Maile goufen ëmmer méi ähnlech wéi regelméisseg Mailings iwwer Promotiounen, zukünfteg Eventer, etc. Hei kënne mir d'Silence Attack op de Finanzsecteur erënneren - Bank Mataarbechter kruten e Bréif angeblech mat engem Promotiounscode fir d'Participatioun un der populärer Industriekonferenz iFin, an de Prozentsaz vun deenen, déi dem Trick gefall sinn, war ganz héich, obwuel, loosst eis erënneren , Mir schwätzen iwwer d'Bankenindustrie - am meeschte fortgeschratt a Saache Informatiounssécherheet.
Virum leschten Neie Joer hu mir och e puer zimlech virwëtzeg Situatiounen observéiert, wann d'Mataarbechter vun den industrielle Firmen ganz qualitativ héichwäerteg Phishing-Bréiwer mat enger "Lëscht" vun New Year's Promotiounen a populäre Online-Geschäfter a mat Promotiounscodes fir Remise kréien. D'Mataarbechter hunn net nëmmen probéiert de Link selwer ze verfollegen, awer och de Bréif un d'Kollegen aus verbonnen Organisatiounen weiderginn. Zënter datt d'Ressource, op déi de Link an der Phishing-E-Mail gefouert gouf, blockéiert gouf, hunn d'Mataarbechter massiv ugefaang Ufroen un den IT-Service ofzeginn fir Zougang dozou ze bidden. Am Allgemengen muss den Erfolleg vun der Mailing all Erwaardunge vun den Ugräifer iwwerschratt hunn.
A viru kuerzem huet eng Firma, déi "verschlësselt" war, bei eis fir Hëllef gefrot. Et huet alles ugefaang wann Comptablesbeamten e Bréif angeblech vun der Zentralbank vun der Russescher Federatioun kruten. De Comptabel huet op de Link am Bréif geklickt an de WannaMine Miner op seng Maschinn erofgelueden, déi, wéi de berühmte WannaCry, d'EternalBlue Schwachstelle exploitéiert. Déi interessantst Saach ass datt déi meescht Antivirusen zanter dem Ufank vum 2018 seng Ënnerschrëften z'entdecken. Awer entweder den Antivirus war behënnert, oder d'Datebanke goufen net aktualiséiert, oder et war guer net do - op alle Fall war de Miner schonn um Computer, an näischt huet verhënnert datt se weider iwwer d'Netz verbreet ginn, d'Server lueden' CPU an Aarbechtsstatiounen op 100%.
Dëse Client, nodeems hien e Bericht vun eisem Forensik Team kritt huet, huet gesinn datt de Virus him am Ufank duerch E-Mail penetréiert huet an e Pilotprojet gestart huet fir en E-Mail Schutzservice ze verbannen. Dat éischt wat mir opgeriicht hunn war en E-Mail Antivirus. Zur selwechter Zäit gëtt d'Scannen no Malware dauernd duerchgefouert, an Ënnerschrëftupdates goufen ufanks all Stonn duerchgefouert, an dann huet de Client zweemol am Dag gewiesselt.
Voll Schutz géint virale Infektiounen muss geschicht ginn. Wa mir iwwer d'Iwwerdroung vu Viren duerch E-Mail schwätzen, ass et néideg fir esou Bréiwer bei der Entrée ze filteren, d'Benotzer ze trainéieren fir Social Engineering ze erkennen, an dann op Antivirusen a Sandkëschte vertrauen.
an SEGda op Gard
Natierlech behaapte mir net datt Secure Email Gateway Léisunge e Panacea sinn. Geziilt Attacken, dorënner Spear Phishing, sinn extrem schwéier ze verhënneren, well ... All esou Attack ass "opgepasst" fir e spezifeschen Empfänger (Organisatioun oder Persoun). Awer fir eng Firma déi probéiert e Basisniveau vu Sécherheet ze bidden, ass dëst vill, besonnesch mat der richteger Erfahrung an Expertise fir d'Aufgab applizéiert.
Déi meescht Oft, wann d'Spear Phishing duerchgefouert gëtt, sinn béiswëlleg Uschlëss net am Kierper vu Bréiwer abegraff, soss blockéiert den Antispam System direkt sou e Bréif op sengem Wee fir den Empfänger. Awer si enthalen Linken op eng virbereet Webressource am Text vum Bréif, an dann ass et eng kleng Saach. De Benotzer follegt de Link, an dann no e puer Viruleedungen an e puer Sekonnen op déi lescht an der ganzer Kette endet, d'Ouverture vun där Malware op säi Computer eroflueden.
Nach méi raffinéiert: am Moment wou Dir de Bréif kritt, kann de Link harmlos sinn an eréischt no enger Zäit, wann e scho gescannt an iwwersprangen ass, fänkt en un d'Malware ze redirectéieren. Leider kënnen Solar JSOC Spezialisten, och wann se hir Kompetenzen berücksichtegen, d'Mail Gateway net konfiguréieren fir Malware duerch d'ganz Kette ze "gesinn" (och wann Dir als Schutz den automateschen Ersatz vun all Linken a Bréiwer benotze kënnt zu SEG, sou datt déi lescht de Link scannt net nëmmen am Moment vun der Liwwerung vum Bréif, a bei all Iwwergang).
Mëttlerweil kann och eng typesch Viruleedung duerch d'Aggregatioun vu verschiddenen Expertisearten behandelt ginn, dorënner Daten, déi vun eisem JSOC CERT an OSINT kritt ginn. Dëst erlaabt Iech verlängert Blacklists ze kreéieren, baséiert op deenen och e Bréif mat multiple Forwarding blockéiert gëtt.
SEG benotzen ass just e klenge Mauer an der Mauer déi all Organisatioun wëll bauen fir seng Verméigen ze schützen. Mä dëse Link muss och richteg an d'Gesamtbild integréiert ginn, well souguer SEG, mat enger richteger Konfiguratioun, zu engem vollwäertege Schutzmëttel ëmgewandelt ka ginn.
Ksenia Sadunina, Beroder vum Expert Presale Departement vun Solar JSOC Produkter a Servicer
Source: will.com