KamÄr lielais uzÅÄmums veido eÅ”elonÄtus potenciÄlos iekÅ”Äjos uzbrucÄjus un hakerus, pikŔķerÄÅ”anas un surogÄtpasta vÄstules joprojÄm rada galvassÄpes vienkÄrÅ”Äkiem uzÅÄmumiem. Ja MÄrtijs Makflijs zinÄtu, ka 2015. gadÄ (un vÄl jo vairÄk 2020. gadÄ) cilvÄki ne tikai neizgudros hoverboards, bet pat neiemÄcÄ«tos pilnÄ«bÄ atbrÄ«voties no nevÄlamÄ pasta, viÅÅ”, iespÄjams, zaudÄtu ticÄ«bu cilvÄcei. TurklÄt surogÄtpasts mÅ«sdienÄs ir ne tikai kaitinoÅ”s, bet bieži vien arÄ« kaitÄ«gs. Aptuveni 70% killchain ievieÅ”anas gadÄ«jumu kibernoziedznieki iekļūst infrastruktÅ«rÄ, izmantojot pielikumos ietverto ļaunprÄtÄ«go programmatÅ«ru vai pikŔķerÄÅ”anas saites e-pastos.
PÄdÄjÄ laikÄ ir bijusi skaidra tendence izplatÄ«ties sociÄlajai inženierijai, kas ir veids, kÄ iekļūt organizÄcijas infrastruktÅ«rÄ. SalÄ«dzinot 2017. un 2018. gada statistiku, mÄs redzam gandrÄ«z 50% pieaugumu to gadÄ«jumu skaitÄ, kad ļaunprÄtÄ«ga programmatÅ«ra tika piegÄdÄta darbinieku datoriem, izmantojot pielikumus vai pikŔķerÄÅ”anas saites e-pasta ziÅojumÄ.
KopumÄ visu apdraudÄjumu klÄstu, ko var veikt, izmantojot e-pastu, var iedalÄ«t vairÄkÄs kategorijÄs:
- ienÄkoÅ”ais surogÄtpasts
- organizÄcijas datoru iekļauÅ”ana robottÄ«klÄ, kas sÅ«ta izejoÅ”os surogÄtpastu
- ļaunprÄtÄ«gi pielikumi un vÄ«rusi vÄstules pamattekstÄ (mazie uzÅÄmumi visbiežÄk cieÅ” no masveida uzbrukumiem, piemÄram, Petja).
Lai aizsargÄtu pret visa veida uzbrukumiem, varat izvietot vairÄkas informÄcijas droŔības sistÄmas vai sekot pakalpojuma modeļa ceļam. MÄs jau
2 stundas pasta parsÄÅ”anai ir nedaudz daudz
Viens no mazumtirgotÄjiem vÄrsÄs pie mums ar lÄ«dzÄ«gu situÄciju. Laika uzskaites sistÄmas liecinÄja, ka katru dienu viÅa darbinieki aptuveni 25% no sava darba laika (2 stundas!) veltÄ«ja pastkastÄ«tes kÄrtoÅ”anai.
PÄc savienojuma ar klienta pasta serveri mÄs konfigurÄjÄm SEG gadÄ«jumu kÄ divvirzienu vÄrteju gan ienÄkoÅ”ajam, gan izejoÅ”ajam pastam. MÄs sÄkÄm filtrÄt saskaÅÄ ar iepriekÅ” noteiktÄm politikÄm. MÄs sastÄdÄ«jÄm Melno sarakstu, pamatojoties uz klienta sniegto datu analÄ«zi un mÅ«su paÅ”u potenciÄli bÄ«stamo adreÅ”u sarakstiem, ko Solar JSOC eksperti ieguvuÅ”i citu pakalpojumu ietvaros - piemÄram, informÄcijas droŔības incidentu uzraudzÄ«bÄ. PÄc tam viss pasts adresÄtiem tika piegÄdÄts tikai pÄc tÄ«rÄ«Å”anas, un dažÄdi surogÄtpasta sÅ«tÄ«jumi par ālielajÄm atlaidÄmā pÄrstÄja ieplÅ«st klienta pasta serveros tonnÄm, atbrÄ«vojot vietu citÄm vajadzÄ«bÄm.
TaÄu ir bijuÅ”as situÄcijas, kad likumÄ«ga vÄstule kļūdaini tika klasificÄta kÄ surogÄtpasts, piemÄram, kÄ saÅemta no neuzticama sÅ«tÄ«tÄja. Å ajÄ gadÄ«jumÄ mÄs devÄm klientam lÄmuma tiesÄ«bas. Nav daudz iespÄju, kÄ rÄ«koties: nekavÄjoties izdzÄst vai nosÅ«tÄ«t uz karantÄ«nu. MÄs izvÄlÄjÄmies otro ceļu, kurÄ Å”Äds nevÄlamais pasts tiek glabÄts paÅ”Ä SEG. SistÄmas administratoram nodroÅ”inÄjÄm piekļuvi tÄ«mekļa konsolei, kurÄ viÅÅ” jebkurÄ brÄ«dÄ« varÄja atrast svarÄ«gu vÄstuli, piemÄram, no darÄ«juma partnera, un pÄrsÅ«tÄ«t to lietotÄjam.
AtbrÄ«voÅ”anÄs no parazÄ«tiem
E-pasta aizsardzÄ«bas pakalpojums ietver analÄ«tiskos pÄrskatus, kuru mÄrÄ·is ir uzraudzÄ«t infrastruktÅ«ras droŔību un izmantoto iestatÄ«jumu efektivitÄti. TurklÄt Å”ie pÄrskati ļauj prognozÄt tendences. PiemÄram, pÄrskatÄ atrodam atbilstoÅ”o sadaļu āSurogÄtpasts pÄc adresÄtaā vai āSurogÄtpasts pÄc sÅ«tÄ«tÄjaā un apskatÄm, kura adrese saÅem lielÄko bloÄ·Äto ziÅojumu skaitu.
TieÅ”i analizÄjot Å”Ädu ziÅojumu, mums Ŕķita aizdomÄ«gs krasi pieauguÅ”ais kopÄjais vÄstuļu skaits no viena klienta. TÄ infrastruktÅ«ra ir maza, burtu skaits mazs. Un pÄkÅ”Åi pÄc darba dienas bloÄ·ÄtÄ surogÄtpasta apjoms gandrÄ«z dubultojÄs. NolÄmÄm paskatÄ«ties tuvÄk.
Redzam, ka ir pieaudzis izejoÅ”o vÄstuļu skaits, un visÄs laukÄ āSÅ«tÄ«tÄjsā ir adreses no domÄna, kas ir savienots ar pasta aizsardzÄ«bas pakalpojumu. TaÄu ir viena nianse: starp diezgan saprÄtÄ«gÄm, varbÅ«t pat esoÅ”Äm adresÄm ir izteikti dÄ«vainas. ApskatÄ«jÄm IP, no kurÄm tika sÅ«tÄ«tas vÄstules, un, diezgan gaidÄ«ti, izrÄdÄ«jÄs, ka tÄs neietilpst aizsargÄtajÄ adreÅ”u telpÄ. AcÄ«mredzot uzbrucÄjs klienta vÄrdÄ sÅ«tÄ«ja surogÄtpastu.
Å ajÄ gadÄ«jumÄ mÄs sniedzÄm ieteikumus klientam, kÄ pareizi konfigurÄt DNS ierakstus, Ä«paÅ”i SPF. MÅ«su speciÄlists ieteica mums izveidot TXT ierakstu, kas satur kÄrtulu āv=spf1 mx ip:1.2.3.4/23 -allā, kurÄ ir izsmeļoÅ”s to adreÅ”u saraksts, kurÄm ir atļauts sÅ«tÄ«t vÄstules aizsargÄtÄ domÄna vÄrdÄ.
PatiesÄ«bÄ, kÄpÄc tas ir svarÄ«gi: surogÄtpasts nezinÄma maza uzÅÄmuma vÄrdÄ ir nepatÄ«kams, bet ne kritisks. Pavisam cita situÄcija ir, piemÄram, banku nozarÄ. SaskaÅÄ ar mÅ«su novÄrojumiem upura uzticÄ«bas lÄ«menis pikŔķerÄÅ”anas e-pastam daudzkÄrt palielinÄs, ja tas it kÄ ir nosÅ«tÄ«ts no citas bankas domÄna vai cietuÅ”ajam zinÄma darÄ«juma partnera. Un tas atŔķir ne tikai banku darbiniekus, bet arÄ« citÄs nozarÄs, piemÄram, enerÄ£ÄtikÄ, mÄs saskaramies ar tÄdu paÅ”u tendenci.
Nogalina vīrusus
TaÄu viltoÅ”ana nav tik izplatÄ«ta problÄma kÄ, piemÄram, vÄ«rusu infekcijas. KÄ jÅ«s visbiežÄk cÄ«nÄties ar vÄ«rusu epidÄmijÄm? ViÅi instalÄ antivÄ«rusu un cer, ka "ienaidnieks netiks cauri". Bet, ja viss bÅ«tu tik vienkÄrÅ”i, tad, Åemot vÄrÄ diezgan zemÄs antivÄ«rusu izmaksas, visi jau sen bÅ«tu aizmirsuÅ”i par ļaunprÄtÄ«gas programmatÅ«ras problÄmu. TikmÄr mÄs pastÄvÄ«gi saÅemam pieprasÄ«jumus no sÄrijas āpalÄ«dziet mums atjaunot failus, mÄs esam visu Å”ifrÄjuÅ”i, darbs ir apstÄjies, dati tiek zaudÄtiā. MÄs nekad nenogurstam saviem klientiem atkÄrtot, ka antivÄ«russ nav panaceja. Papildus tam, ka pretvÄ«rusu datu bÄzes var nebÅ«t pietiekami Ätri atjauninÄtas, mÄs bieži sastopamies ar ļaunprÄtÄ«gu programmatÅ«ru, kas var apiet ne tikai pretvÄ«rusus, bet arÄ« smilÅ”kastes.
DiemžÄl tikai daži parastie organizÄciju darbinieki zina par pikŔķerÄÅ”anu un ļaunprÄtÄ«giem e-pastiem un spÄj tos atŔķirt no parastÄs sarakstes. VidÄji katrs septÄ«tais lietotÄjs, kuram netiek veikta regulÄra izpratnes veidoÅ”ana, pakļaujas sociÄlajai inženierijai: atver inficÄtu failu vai nosÅ«ta savus datus uzbrucÄjiem.
Lai gan kopumÄ uzbrukumu sociÄlais vektors pamazÄm pieaug, Ŕī tendence Ä«paÅ”i pamanÄma pagÄjuÅ”ajÄ gadÄ. PikŔķerÄÅ”anas e-pasta ziÅojumi kļuva arvien lÄ«dzÄ«gÄki parastajiem pasta sÅ«tÄ«jumiem par akcijÄm, gaidÄmajiem pasÄkumiem utt. Te var atgÄdinÄt Klusuma uzbrukumu finanÅ”u sektoram ā bankas darbinieki it kÄ saÅÄma vÄstuli ar reklÄmas kodu dalÄ«bai populÄrajÄ nozares konferencÄ iFin, un viltÄ«bai padevuÅ”os procents bija ļoti augsts, lai gan, atcerÄsimies. , mÄs runÄjam par banku nozari - visprogresÄ«vÄko informÄcijas droŔības jautÄjumos.
Pirms aizvadÄ«tÄ JaunÄ gada novÄrojÄm arÄ« vairÄkas visai kuriozas situÄcijas, kad rÅ«pniecÄ«bas uzÅÄmumu darbinieki saÅÄma ļoti kvalitatÄ«vas pikŔķerÄÅ”anas vÄstules ar Jaungada akciju āsarakstuā populÄrajos interneta veikalos un ar akcijas kodiem atlaidÄm. Darbinieki ne tikai centÄs paÅ”i sekot saitei, bet arÄ« pÄrsÅ«tÄ«ja vÄstuli kolÄÄ£iem no radniecÄ«gÄm organizÄcijÄm. TÄ kÄ resurss, uz kuru veda pikŔķerÄÅ”anas e-pastÄ esoÅ”Ä saite, tika bloÄ·Äts, darbinieki sÄka masveidÄ iesniegt pieprasÄ«jumus IT dienestam, lai nodroÅ”inÄtu tam piekļuvi. KopumÄ pasta sÅ«tÄ«Å”anas panÄkumi noteikti pÄrsniedza visas uzbrucÄju cerÄ«bas.
Un nesen kÄds uzÅÄmums, kas bija āÅ”ifrÄtsā, vÄrsÄs pie mums pÄc palÄ«dzÄ«bas. Viss sÄkÄs ar to, ka grÄmatvedÄ«bas darbinieki it kÄ saÅÄma vÄstuli no Krievijas FederÄcijas CentrÄlÄs bankas. GrÄmatvedis noklikŔķinÄja uz vÄstulÄ esoÅ”Äs saites un savÄ maŔīnÄ lejupielÄdÄja WannaMine kalnraÄu, kas, tÄpat kÄ slavenais WannaCry, izmantoja EternalBlue ievainojamÄ«bu. InteresantÄkais ir tas, ka lielÄkÄ daļa antivÄ«rusu ir spÄjuÅ”i noteikt tÄ parakstus kopÅ” 2018. gada sÄkuma. Bet vai nu antivÄ«russ tika atspÄjots, vai arÄ« datu bÄzes netika atjauninÄtas, vai arÄ« tÄ nebija vispÄr - jebkurÄ gadÄ«jumÄ kalnracis jau bija datorÄ, un nekas netraucÄja tam izplatÄ«ties tÄlÄk tÄ«klÄ, ielÄdÄjot serverus. CPU un darbstacijas uz 100%.
Å is klients, saÅÄmis ziÅojumu no mÅ«su kriminÄlistikas komandas, pamanÄ«ja, ka vÄ«russ sÄkotnÄji viÅam ir iekļuvis caur e-pastu, un uzsÄka izmÄÄ£inÄjuma projektu, lai savienotu e-pasta aizsardzÄ«bas pakalpojumu. PirmÄ lieta, ko iestatÄ«jÄm, bija e-pasta antivÄ«russ. TajÄ paÅ”Ä laikÄ Ä¼aunprÄtÄ«gas programmatÅ«ras skenÄÅ”ana tiek veikta pastÄvÄ«gi, un sÄkotnÄji parakstu atjauninÄjumi tika veikti katru stundu, un pÄc tam klients pÄrgÄja uz to divas reizes dienÄ.
Pilnai aizsardzÄ«bai pret vÄ«rusu infekcijÄm jÄbÅ«t slÄÅveida. Ja mÄs runÄjam par vÄ«rusu pÄrneÅ”anu pa e-pastu, tad ir nepiecieÅ”ams izfiltrÄt Å”Ädas vÄstules pie ieejas, apmÄcÄ«t lietotÄjus atpazÄ«t sociÄlo inženieriju un pÄc tam paļauties uz antivÄ«rusiem un smilÅ”u kastÄm.
SEGda sardzÄ
Protams, mÄs neapgalvojam, ka Secure Email Gateway risinÄjumi ir panaceja. MÄrÄ·tiecÄ«gus uzbrukumus, tostarp ŔķÄpu pikŔķerÄÅ”anu, ir ÄrkÄrtÄ«gi grÅ«ti novÄrst, jo... Katrs Å”Äds uzbrukums ir āpielÄgotsā konkrÄtam saÅÄmÄjam (organizÄcijai vai personai). TaÄu uzÅÄmumam, kas cenÅ”as nodroÅ”inÄt pamata droŔības lÄ«meni, tas ir daudz, jo Ä«paÅ”i, ja uzdevumam ir piemÄrota atbilstoÅ”Ä pieredze un zinÄÅ”anas.
VisbiežÄk, veicot ŔķÄpu pikŔķerÄÅ”anu, ļaunprÄtÄ«gi pielikumi netiek iekļauti vÄstuļu pamattekstÄ, pretÄjÄ gadÄ«jumÄ surogÄtpasta sistÄma nekavÄjoties bloÄ·Äs Å”Ädu vÄstuli ceÄ¼Ä pie adresÄta. Bet tie vÄstules tekstÄ ietver saites uz iepriekÅ” sagatavotu tÄ«mekļa resursu, un tad tas ir mazs jautÄjums. LietotÄjs seko saitei un pÄc vairÄkÄm pÄradresÄcijÄm dažu sekunžu laikÄ nonÄk pÄdÄjÄ visÄ Ä·ÄdÄ, kuru atverot, viÅa datorÄ tiks lejupielÄdÄta ļaunprogrammatÅ«ra.
VÄl sarežģītÄk: vÄstules saÅemÅ”anas brÄ«dÄ« saite var bÅ«t nekaitÄ«ga un tikai pÄc kÄda laika, kad tÄ jau bÅ«s skenÄta un izlaista, tÄ sÄks novirzÄ«t uz ļaunprogrammatÅ«ru. DiemžÄl Solar JSOC speciÄlisti, pat Åemot vÄrÄ savas kompetences, nevarÄs konfigurÄt pasta vÄrteju tÄ, lai visÄ Ä·ÄdÄ āredzÄtuā ļaunprogrammatÅ«ru (lai gan aizsardzÄ«bai varat izmantot visu vÄstuļu saiÅ”u automÄtisku aizstÄÅ”anu uz SEG, lai tÄ skenÄ saiti ne tikai vÄstules piegÄdes laikÄ, bet arÄ« katrÄ pÄrejÄ).
TikmÄr pat tipisku novirzÄ«Å”anu var atrisinÄt, apkopojot vairÄku veidu zinÄÅ”anas, tostarp datus, kas iegÅ«ti no mÅ«su JSOC CERT un OSINT. Tas ļauj izveidot paplaÅ”inÄtus melnos sarakstus, pamatojoties uz kuriem tiks bloÄ·Äta pat vÄstule ar vairÄkkÄrtÄju pÄrsÅ«tÄ«Å”anu.
SEG izmantoÅ”ana ir tikai neliels Ä·ieÄ£elis sienÄ, ko jebkura organizÄcija vÄlas uzbÅ«vÄt, lai aizsargÄtu savus Ä«paÅ”umus. Bet arÄ« Ŕī saite ir pareizi jÄintegrÄ kopÄjÄ attÄlÄ, jo pat SEG ar pareizu konfigurÄciju var pÄrvÄrst par pilnvÄrtÄ«gu aizsardzÄ«bas lÄ«dzekli.
Ksenija SaduÅina, Solar JSOC produktu un pakalpojumu ekspertu pirmspÄrdoÅ”anas nodaļas konsultante
Avots: www.habr.com