Nors didžioji įmonė kuria ešeloninius potencialių vidinių užpuolikų ir įsilaužėlių išpuolius, sukčiavimas ir šlamštas tebėra galvos skausmas paprastesnėms įmonėms. Jei Marty McFly žinotų, kad 2015-aisiais (o juo labiau 2020-aisiais) žmonės ne tik neišrastų skraidančių lentų, bet net neišmoktų visiškai atsikratyti nepageidaujamo pašto, jis tikriausiai prarastų tikėjimą žmonija. Be to, šlamštas šiandien ne tik erzina, bet dažnai ir žalingas. Maždaug 70 % „killchain“ diegimų kibernetiniai nusikaltėliai įsiskverbia į infrastruktūrą naudodami prieduose esančias kenkėjiškas programas arba el. laiškuose esančias sukčiavimo nuorodas.
Pastaruoju metu pastebima aiški socialinės inžinerijos, kaip būdo prasiskverbti į organizacijos infrastruktūrą, plitimo tendencija. Palyginus 2017 ir 2018 metų statistiką, matome, kad beveik 50% padaugėjo atvejų, kai kenkėjiškos programos buvo pristatytos į darbuotojų kompiuterius per priedus arba el. laiško tekste esančias sukčiavimo nuorodas.
Apskritai visas grėsmių, kurias galima įvykdyti naudojant el. paštą, spektrą galima suskirstyti į keletą kategorijų:
- gaunamas šlamštas
- organizacijos kompiuterių įtraukimas į botnetą, kuris siunčia siunčiamą šlamštą
- kenkėjiškų priedų ir virusų laiško tekste (mažos įmonės dažniausiai kenčia nuo didžiulių atakų, tokių kaip Petya).
Norėdami apsisaugoti nuo visų tipų atakų, galite įdiegti kelias informacijos saugos sistemas arba vadovautis paslaugų modelio keliu. Mes jau apie Vieningą kibernetinio saugumo paslaugų platformą – Solar MSS valdomų kibernetinio saugumo paslaugų ekosistemos branduolį. Be kita ko, ji apima virtualizuotą saugaus el. pašto šliuzo (SEG) technologiją. Paprastai šios paslaugos abonementą perka nedidelės įmonės, kuriose visos IT ir informacijos saugos funkcijos priskirtos vienam asmeniui – sistemos administratoriui. Šlamštas yra problema, kuri visada matoma vartotojams ir vadovybei, ir jos negalima ignoruoti. Tačiau laikui bėgant net ir vadovybei tampa aišku, kad jo tiesiog „nuleisti“ sistemos administratoriui neįmanoma – tai užima per daug laiko.
2 valandos paštui išanalizuoti yra šiek tiek daug
Su panašia situacija į mus kreipėsi vienas iš mažmenininkų. Laiko sekimo sistemos parodė, kad kiekvieną dieną jo darbuotojai apie 25% savo darbo laiko (2 val.!) skirdavo pašto dėžutės rūšiavimui.
Prisijungę prie kliento pašto serverio, sukonfigūravome SEG egzempliorių kaip dvipusį šliuzą tiek gaunamam, tiek siunčiamam paštui. Pradėjome filtruoti pagal iš anksto nustatytą politiką. Juodąjį sąrašą sudarėme remdamiesi kliento pateiktų duomenų analize ir mūsų pačių potencialiai pavojingų adresų sąrašais, kuriuos Solar JSOC ekspertai gavo teikdami kitas paslaugas, pavyzdžiui, stebėdami informacijos saugumo incidentus. Po to visas paštas gavėjams buvo pristatytas tik išvalius, o įvairūs nepageidaujami laiškai apie „didžias nuolaidas“ nustojo plūsti į kliento pašto serverius tonomis, atlaisvindami vietos kitiems poreikiams.
Tačiau pasitaikydavo situacijų, kai teisėtas laiškas buvo klaidingai klasifikuojamas kaip el. pašto šiukšlės, pavyzdžiui, gautas iš nepatikimo siuntėjo. Šiuo atveju sprendimo teisę suteikėme klientui. Nėra daug pasirinkimų, ką daryti: nedelsiant ištrinti arba išsiųsti į karantiną. Pasirinkome antrąjį kelią, kuriame toks šlamštas yra saugomas pačiame SEG. Sistemos administratoriui suteikėme prieigą prie žiniatinklio konsolės, kurioje jis bet kada galėjo rasti svarbų laišką, pavyzdžiui, iš sandorio šalies, ir persiųsti jį vartotojui.
Atsikratyti parazitų
Pašto apsaugos paslauga apima analitines ataskaitas, kurių tikslas – stebėti infrastruktūros saugumą ir naudojamų nustatymų efektyvumą. Be to, šios ataskaitos leidžia numatyti tendencijas. Pavyzdžiui, ataskaitoje randame atitinkamą skyrių „Šlamštas pagal gavėją“ arba „Šlamštas pagal siuntėją“ ir žiūrime, kieno adresu sulaukiama daugiausiai užblokuotų laiškų.
Būtent analizuojant tokį pranešimą mums pasirodė įtartinas staigiai išaugęs bendras vieno iš klientų laiškų skaičius. Jo infrastruktūra nedidelė, raidžių skaičius mažas. Ir staiga po darbo dienos blokuojamo šlamšto kiekis išaugo beveik dvigubai. Nusprendėme pažiūrėti atidžiau.
Matome, kad siunčiamų laiškų padaugėjo ir visuose lauke „Siuntėjas“ yra adresai iš domeno, kuris yra prijungtas prie pašto apsaugos tarnybos. Tačiau yra vienas niuansas: tarp visai sveikų, galbūt net esamų adresų yra aiškiai keistų. Pažiūrėjome IP, iš kurių buvo siunčiami laiškai, ir, visai tikėtina, paaiškėjo, kad jie nepriklauso saugomai adresų erdvei. Akivaizdu, kad užpuolikas siuntė šlamštą kliento vardu.
Šiuo atveju klientui pateikėme rekomendacijas, kaip teisingai sukonfigūruoti DNS įrašus, konkrečiai SPF. Mūsų specialistas patarė mums sukurti TXT įrašą su taisykle „v=spf1 mx ip:1.2.3.4/23 -all“, kuriame yra išsamus adresų, kuriems leidžiama siųsti laiškus saugomo domeno vardu, sąrašas.
Tiesą sakant, kodėl tai svarbu: šlamštas nežinomos mažos įmonės vardu yra nemalonus, bet ne kritinis. Visiškai kitokia situacija, pavyzdžiui, bankų sektoriuje. Remiantis mūsų pastebėjimais, aukos pasitikėjimas sukčiavimo el. laišku išauga daug kartų, jei jis tariamai siunčiamas iš kito banko domeno arba aukai žinomos sandorio šalies. Ir tai išskiria ne tik bankų darbuotojus, bet ir kitose pramonės šakose – pavyzdžiui, energetikos sektoriuje – susiduriame su ta pačia tendencija.
Virusų žudymas
Tačiau klastojimas nėra tokia dažna problema kaip, pavyzdžiui, virusinės infekcijos. Kaip dažniausiai kovojate su virusinėmis epidemijomis? Jie įdiegia antivirusinę programą ir tikisi, kad „priešas neįveiks“. Bet jei viskas būtų taip paprasta, tada, atsižvelgiant į gana mažą antivirusinių programų kainą, visi jau seniai būtų pamiršę kenkėjiškų programų problemą. Tuo tarpu nuolat sulaukiame užklausų iš serijos „padėkite atkurti failus, viską užšifravome, darbas stringa, duomenys dingo“. Nepavargiame kartoti savo klientams, kad antivirusinė priemonė nėra panacėja. Be to, kad antivirusinės duomenų bazės gali būti atnaujinamos nepakankamai greitai, dažnai susiduriame su kenkėjiškomis programomis, kurios gali apeiti ne tik antivirusines, bet ir smėlio dėžes.
Deja, nedaugelis paprastų organizacijų darbuotojų žino apie sukčiavimą ir kenkėjiškus el. laiškus ir gali juos atskirti nuo įprastos korespondencijos. Vidutiniškai kas 7-as vartotojas, kuris nevykdo reguliaraus informuotumo didinimo, pasiduoda socialinei inžinerijai: atidaro užkrėstą failą arba siunčia savo duomenis užpuolikams.
Nors apskritai socialinis atakų vektorius po truputį didėjo, ši tendencija ypač išryškėjo praėjusiais metais. Sukčiavimo el. laiškai vis labiau panašėjo į įprastus laiškus apie akcijas, artėjančius renginius ir pan. Čia galima prisiminti Tylos ataką prieš finansų sektorių – banko darbuotojai gavo laišką neva su reklaminiu kodu dalyvauti populiarioje pramonės konferencijoje iFin, o pasidavėnčių triukas procentas buvo labai didelis, nors, prisiminkime. , kalbame apie bankininkystę – pažangiausią informacijos saugumo klausimais.
Prieš praėjusius Naujuosius taip pat pastebėjome keletą gana kurioziškų situacijų, kai pramonės įmonių darbuotojai gaudavo itin kokybiškus sukčiavimo laiškus su naujametinių akcijų „sąrašu“ populiariose internetinėse parduotuvėse ir su nuolaidų reklaminiais kodais. Darbuotojai ne tik patys bandė sekti nuorodą, bet ir perdavė laišką kolegoms iš susijusių organizacijų. Kadangi šaltinis, į kurį nukreipta sukčiavimo el. laiške esanti nuoroda, buvo užblokuotas, darbuotojai pradėjo masiškai teikti IT tarnybai prašymus suteikti prieigą prie jo. Apskritai siuntimo sėkmė turėjo viršyti visus užpuolikų lūkesčius.
O neseniai į mus pagalbos kreipėsi „užšifruota“ įmonė. Viskas prasidėjo nuo to, kad buhalterijos darbuotojai gavo laišką neva iš Rusijos Federacijos centrinio banko. Buhalteris spustelėjo laiške esančią nuorodą ir į savo mašiną atsisiuntė WannaMine minerį, kuris, kaip ir garsusis WannaCry, išnaudojo EternalBlue pažeidžiamumą. Įdomiausia tai, kad dauguma antivirusinių programų galėjo aptikti jos parašus nuo 2018 metų pradžios. Bet arba antivirusinė programa buvo išjungta, arba duomenų bazės neatnaujintos, arba jos visai nebuvo – bet kokiu atveju, miner jau buvo kompiuteryje ir niekas netrukdė jai toliau plisti tinkle, įkelti serverius. CPU ir darbo vietos 100 %.
Šis klientas, gavęs pranešimą iš mūsų kriminalistikos komandos, pamatė, kad virusas iš pradžių į jį įsiskverbė elektroniniu paštu, ir pradėjo bandomąjį projektą, skirtą elektroninio pašto apsaugos paslaugai prijungti. Pirmas dalykas, kurį sukūrėme, buvo el. pašto antivirusinė programa. Tuo pačiu metu kenkėjiškų programų nuskaitymas atliekamas nuolat, o parašų atnaujinimai iš pradžių buvo atliekami kas valandą, o vėliau klientas perėjo prie du kartus per dieną.
Visiška apsauga nuo virusinių infekcijų turi būti sluoksniuota. Jei kalbėtume apie virusų perdavimą elektroniniu paštu, tai prie įėjimo būtina išfiltruoti tokias raides, išmokyti vartotojus atpažinti socialinę inžineriją, o tada pasikliauti antivirusais ir smėlio dėžėmis.
SEGdoje sargyboje
Žinoma, neteigiame, kad saugaus el. pašto šliuzo sprendimai yra panacėja. Tikslinių išpuolių, įskaitant sukčiavimą ietimis, labai sunku užkirsti kelią, nes... Kiekviena tokia ataka yra „pritaikyta“ konkrečiam gavėjui (organizacijai ar asmeniui). Tačiau įmonei, bandančiai užtikrinti pagrindinį saugumo lygį, tai yra daug, ypač turint reikiamą patirtį ir kompetenciją.
Dažniausiai, kai vykdomas sukčiavimas su ietis, kenksmingi priedai neįtraukiami į laiškų turinį, kitaip antispam sistema iš karto užblokuos tokį laišką pakeliui į gavėją. Bet jie į laiško tekstą įtraukia nuorodas į iš anksto paruoštą žiniatinklio šaltinį, ir tada tai yra smulkmena. Vartotojas seka nuorodą ir po kelių peradresavimų per kelias sekundes atsiduria paskutiniame visoje grandinėje, kurią atidarius į jo kompiuterį atsisiunčiama kenkėjiška programa.
Dar sudėtingiau: tuo metu, kai gaunate laišką, nuoroda gali būti nekenksminga ir tik praėjus tam tikram laikui, kai ji jau bus nuskaityta ir praleista, ji pradės nukreipti į kenkėjiškas programas. Deja, „Solar JSOC“ specialistai, net ir atsižvelgdami į savo kompetencijas, negalės sukonfigūruoti pašto šliuzo taip, kad „matytų“ kenkėjiškas programas visoje grandinėje (nors apsaugai galite naudoti automatinį visų nuorodų pakeitimą laiškuose į SEG, kad pastarasis nuskaitytų nuorodą ne tik laiško pristatymo metu, bet ir kiekvieno perėjimo metu).
Tuo tarpu net įprastą peradresavimą galima išspręsti sukaupus kelių tipų patirtį, įskaitant duomenis, gautus iš mūsų JSOC CERT ir OSINT. Tai leidžia sukurti išplėstinius juoduosius sąrašus, kurių pagrindu bus blokuojamas net laiškas su daugybe persiuntimų.
SEG naudojimas yra tik maža plyta sienoje, kurią bet kuri organizacija nori pastatyti, kad apsaugotų savo turtą. Tačiau ši nuoroda taip pat turi būti teisingai integruota į bendrą vaizdą, nes net ir SEG, tinkamai sukonfigūravus, gali būti paversta visaverte apsaugos priemone.
Ksenia Sadunina, Solar JSOC produktų ir paslaugų ekspertinio išankstinio pardavimo skyriaus konsultantė
Šaltinis: www.habr.com