ProHoster > Blogs > Administrācija > Vairāk par surogātpastu: kā maksimāli izmantot droŔības e-pasta vārteju

Vairāk par surogātpastu: kā maksimāli izmantot droŔības e-pasta vārteju

Kamēr lielais uzņēmums veido eÅ”elonētus potenciālos iekŔējos uzbrucējus un hakerus, pikŔķerÄ“Å”anas un surogātpasta vēstules joprojām rada galvassāpes vienkārŔākiem uzņēmumiem. Ja Mārtijs Makflijs zinātu, ka 2015. gadā (un vēl jo vairāk 2020. gadā) cilvēki ne tikai neizgudros hoverboards, bet pat neiemācÄ«tos pilnÄ«bā atbrÄ«voties no nevēlamā pasta, viņŔ, iespējams, zaudētu ticÄ«bu cilvēcei. Turklāt surogātpasts mÅ«sdienās ir ne tikai kaitinoÅ”s, bet bieži vien arÄ« kaitÄ«gs. Aptuveni 70% killchain ievieÅ”anas gadÄ«jumu kibernoziedznieki iekļūst infrastruktÅ«rā, izmantojot pielikumos ietverto ļaunprātÄ«go programmatÅ«ru vai pikŔķerÄ“Å”anas saites e-pastos.

Vairāk par surogātpastu: kā maksimāli izmantot droŔības e-pasta vārteju

Pēdējā laikā ir bijusi skaidra tendence izplatÄ«ties sociālajai inženierijai, kas ir veids, kā iekļūt organizācijas infrastruktÅ«rā. SalÄ«dzinot 2017. un 2018. gada statistiku, mēs redzam gandrÄ«z 50% pieaugumu to gadÄ«jumu skaitā, kad ļaunprātÄ«ga programmatÅ«ra tika piegādāta darbinieku datoriem, izmantojot pielikumus vai pikŔķerÄ“Å”anas saites e-pasta ziņojumā.

Kopumā visu apdraudējumu klāstu, ko var veikt, izmantojot e-pastu, var iedalīt vairākās kategorijās:

  • ienākoÅ”ais surogātpasts
  • organizācijas datoru iekļauÅ”ana robottÄ«klā, kas sÅ«ta izejoÅ”os surogātpastu
  • ļaunprātÄ«gi pielikumi un vÄ«rusi vēstules pamattekstā (mazie uzņēmumi visbiežāk cieÅ” no masveida uzbrukumiem, piemēram, Petja).

Lai aizsargātu pret visa veida uzbrukumiem, varat izvietot vairākas informācijas droŔības sistēmas vai sekot pakalpojuma modeļa ceļam. Mēs jau stāstÄ«ja par vienoto kiberdroŔības pakalpojumu platformu ā€” Solar MSS pārvaldÄ«to kiberdroŔības pakalpojumu ekosistēmas kodolu. Cita starpā tas ietver virtualizētu Secure Email Gateway (SEG) tehnoloÄ£iju. Parasti Ŕī pakalpojuma abonementu iegādājas mazie uzņēmumi, kuros visas IT un informācijas droŔības funkcijas tiek uzticētas vienai personai - sistēmas administratoram. Surogātpasts ir problēma, kas vienmēr ir redzama lietotājiem un vadÄ«bai, un to nevar ignorēt. Tomēr laika gaitā pat vadÄ«bai kļūst skaidrs, ka nav iespējams to vienkārÅ”i ā€œnomestā€ sistēmas administratoram - tas aizņem pārāk daudz laika.

Vairāk par surogātpastu: kā maksimāli izmantot droŔības e-pasta vārteju

2 stundas pasta parsēŔanai ir nedaudz daudz

Viens no mazumtirgotājiem vērsās pie mums ar lÄ«dzÄ«gu situāciju. Laika uzskaites sistēmas liecināja, ka katru dienu viņa darbinieki aptuveni 25% no sava darba laika (2 stundas!) veltÄ«ja pastkastÄ«tes kārtoÅ”anai.

Pēc savienojuma ar klienta pasta serveri mēs konfigurējām SEG gadÄ«jumu kā divvirzienu vārteju gan ienākoÅ”ajam, gan izejoÅ”ajam pastam. Mēs sākām filtrēt saskaņā ar iepriekÅ” noteiktām politikām. Mēs sastādÄ«jām Melno sarakstu, pamatojoties uz klienta sniegto datu analÄ«zi un mÅ«su paÅ”u potenciāli bÄ«stamo adreÅ”u sarakstiem, ko Solar JSOC eksperti ieguvuÅ”i citu pakalpojumu ietvaros - piemēram, informācijas droŔības incidentu uzraudzÄ«bā. Pēc tam viss pasts adresātiem tika piegādāts tikai pēc tÄ«rÄ«Å”anas, un dažādi surogātpasta sÅ«tÄ«jumi par ā€œlielajām atlaidēmā€ pārstāja ieplÅ«st klienta pasta serveros tonnām, atbrÄ«vojot vietu citām vajadzÄ«bām.

Taču ir bijuÅ”as situācijas, kad likumÄ«ga vēstule kļūdaini tika klasificēta kā surogātpasts, piemēram, kā saņemta no neuzticama sÅ«tÄ«tāja. Å ajā gadÄ«jumā mēs devām klientam lēmuma tiesÄ«bas. Nav daudz iespēju, kā rÄ«koties: nekavējoties izdzēst vai nosÅ«tÄ«t uz karantÄ«nu. Mēs izvēlējāmies otro ceļu, kurā Ŕāds nevēlamais pasts tiek glabāts paŔā SEG. Sistēmas administratoram nodroÅ”inājām piekļuvi tÄ«mekļa konsolei, kurā viņŔ jebkurā brÄ«dÄ« varēja atrast svarÄ«gu vēstuli, piemēram, no darÄ«juma partnera, un pārsÅ«tÄ«t to lietotājam.

AtbrīvoŔanās no parazītiem

E-pasta aizsardzÄ«bas pakalpojums ietver analÄ«tiskos pārskatus, kuru mērÄ·is ir uzraudzÄ«t infrastruktÅ«ras droŔību un izmantoto iestatÄ«jumu efektivitāti. Turklāt Å”ie pārskati ļauj prognozēt tendences. Piemēram, pārskatā atrodam atbilstoÅ”o sadaļu ā€œSurogātpasts pēc adresātaā€ vai ā€œSurogātpasts pēc sÅ«tÄ«tājaā€ un apskatām, kura adrese saņem lielāko bloķēto ziņojumu skaitu.

TieÅ”i analizējot Ŕādu ziņojumu, mums Ŕķita aizdomÄ«gs krasi pieauguÅ”ais kopējais vēstuļu skaits no viena klienta. Tā infrastruktÅ«ra ir maza, burtu skaits mazs. Un pēkŔņi pēc darba dienas bloķētā surogātpasta apjoms gandrÄ«z dubultojās. Nolēmām paskatÄ«ties tuvāk.

Vairāk par surogātpastu: kā maksimāli izmantot droŔības e-pasta vārteju

Redzam, ka ir pieaudzis izejoÅ”o vēstuļu skaits, un visās laukā ā€œSÅ«tÄ«tājsā€ ir adreses no domēna, kas ir savienots ar pasta aizsardzÄ«bas pakalpojumu. Taču ir viena nianse: starp diezgan saprātÄ«gām, varbÅ«t pat esoŔām adresēm ir izteikti dÄ«vainas. ApskatÄ«jām IP, no kurām tika sÅ«tÄ«tas vēstules, un, diezgan gaidÄ«ti, izrādÄ«jās, ka tās neietilpst aizsargātajā adreÅ”u telpā. AcÄ«mredzot uzbrucējs klienta vārdā sÅ«tÄ«ja surogātpastu.

Å ajā gadÄ«jumā mēs sniedzām ieteikumus klientam, kā pareizi konfigurēt DNS ierakstus, Ä«paÅ”i SPF. MÅ«su speciālists ieteica mums izveidot TXT ierakstu, kas satur kārtulu ā€œv=spf1 mx ip:1.2.3.4/23 -allā€, kurā ir izsmeļoÅ”s to adreÅ”u saraksts, kurām ir atļauts sÅ«tÄ«t vēstules aizsargātā domēna vārdā.

PatiesÄ«bā, kāpēc tas ir svarÄ«gi: surogātpasts nezināma maza uzņēmuma vārdā ir nepatÄ«kams, bet ne kritisks. Pavisam cita situācija ir, piemēram, banku nozarē. Saskaņā ar mÅ«su novērojumiem upura uzticÄ«bas lÄ«menis pikŔķerÄ“Å”anas e-pastam daudzkārt palielinās, ja tas it kā ir nosÅ«tÄ«ts no citas bankas domēna vai cietuÅ”ajam zināma darÄ«juma partnera. Un tas atŔķir ne tikai banku darbiniekus, bet arÄ« citās nozarēs, piemēram, enerģētikā, mēs saskaramies ar tādu paÅ”u tendenci.

Nogalina vīrusus

Taču viltoÅ”ana nav tik izplatÄ«ta problēma kā, piemēram, vÄ«rusu infekcijas. Kā jÅ«s visbiežāk cÄ«nāties ar vÄ«rusu epidēmijām? Viņi instalē antivÄ«rusu un cer, ka "ienaidnieks netiks cauri". Bet, ja viss bÅ«tu tik vienkārÅ”i, tad, ņemot vērā diezgan zemās antivÄ«rusu izmaksas, visi jau sen bÅ«tu aizmirsuÅ”i par ļaunprātÄ«gas programmatÅ«ras problēmu. Tikmēr mēs pastāvÄ«gi saņemam pieprasÄ«jumus no sērijas ā€œpalÄ«dziet mums atjaunot failus, mēs esam visu Å”ifrējuÅ”i, darbs ir apstājies, dati tiek zaudētiā€. Mēs nekad nenogurstam saviem klientiem atkārtot, ka antivÄ«russ nav panaceja. Papildus tam, ka pretvÄ«rusu datu bāzes var nebÅ«t pietiekami ātri atjauninātas, mēs bieži sastopamies ar ļaunprātÄ«gu programmatÅ«ru, kas var apiet ne tikai pretvÄ«rusus, bet arÄ« smilÅ”kastes.

Diemžēl tikai daži parastie organizāciju darbinieki zina par pikŔķerÄ“Å”anu un ļaunprātÄ«giem e-pastiem un spēj tos atŔķirt no parastās sarakstes. Vidēji katrs septÄ«tais lietotājs, kuram netiek veikta regulāra izpratnes veidoÅ”ana, pakļaujas sociālajai inženierijai: atver inficētu failu vai nosÅ«ta savus datus uzbrucējiem.

Lai gan kopumā uzbrukumu sociālais vektors pamazām pieaug, Ŕī tendence Ä«paÅ”i pamanāma pagājuÅ”ajā gadā. PikŔķerÄ“Å”anas e-pasta ziņojumi kļuva arvien lÄ«dzÄ«gāki parastajiem pasta sÅ«tÄ«jumiem par akcijām, gaidāmajiem pasākumiem utt. Te var atgādināt Klusuma uzbrukumu finanÅ”u sektoram ā€“ bankas darbinieki it kā saņēma vēstuli ar reklāmas kodu dalÄ«bai populārajā nozares konferencē iFin, un viltÄ«bai padevuÅ”os procents bija ļoti augsts, lai gan, atcerēsimies. , mēs runājam par banku nozari - visprogresÄ«vāko informācijas droŔības jautājumos.

Pirms aizvadÄ«tā Jaunā gada novērojām arÄ« vairākas visai kuriozas situācijas, kad rÅ«pniecÄ«bas uzņēmumu darbinieki saņēma ļoti kvalitatÄ«vas pikŔķerÄ“Å”anas vēstules ar Jaungada akciju ā€œsarakstuā€ populārajos interneta veikalos un ar akcijas kodiem atlaidēm. Darbinieki ne tikai centās paÅ”i sekot saitei, bet arÄ« pārsÅ«tÄ«ja vēstuli kolēģiem no radniecÄ«gām organizācijām. Tā kā resurss, uz kuru veda pikŔķerÄ“Å”anas e-pastā esoŔā saite, tika bloķēts, darbinieki sāka masveidā iesniegt pieprasÄ«jumus IT dienestam, lai nodroÅ”inātu tam piekļuvi. Kopumā pasta sÅ«tÄ«Å”anas panākumi noteikti pārsniedza visas uzbrucēju cerÄ«bas.

Un nesen kāds uzņēmums, kas bija ā€œÅ”ifrētsā€, vērsās pie mums pēc palÄ«dzÄ«bas. Viss sākās ar to, ka grāmatvedÄ«bas darbinieki it kā saņēma vēstuli no Krievijas Federācijas Centrālās bankas. Grāmatvedis noklikŔķināja uz vēstulē esoŔās saites un savā maŔīnā lejupielādēja WannaMine kalnraču, kas, tāpat kā slavenais WannaCry, izmantoja EternalBlue ievainojamÄ«bu. Interesantākais ir tas, ka lielākā daļa antivÄ«rusu ir spējuÅ”i noteikt tā parakstus kopÅ” 2018. gada sākuma. Bet vai nu antivÄ«russ tika atspējots, vai arÄ« datu bāzes netika atjauninātas, vai arÄ« tā nebija vispār - jebkurā gadÄ«jumā kalnracis jau bija datorā, un nekas netraucēja tam izplatÄ«ties tālāk tÄ«klā, ielādējot serverus. CPU un darbstacijas uz 100%.

Å is klients, saņēmis ziņojumu no mÅ«su kriminālistikas komandas, pamanÄ«ja, ka vÄ«russ sākotnēji viņam ir iekļuvis caur e-pastu, un uzsāka izmēģinājuma projektu, lai savienotu e-pasta aizsardzÄ«bas pakalpojumu. Pirmā lieta, ko iestatÄ«jām, bija e-pasta antivÄ«russ. Tajā paŔā laikā ļaunprātÄ«gas programmatÅ«ras skenÄ“Å”ana tiek veikta pastāvÄ«gi, un sākotnēji parakstu atjauninājumi tika veikti katru stundu, un pēc tam klients pārgāja uz to divas reizes dienā.

Pilnai aizsardzÄ«bai pret vÄ«rusu infekcijām jābÅ«t slāņveida. Ja mēs runājam par vÄ«rusu pārneÅ”anu pa e-pastu, tad ir nepiecieÅ”ams izfiltrēt Ŕādas vēstules pie ieejas, apmācÄ«t lietotājus atpazÄ«t sociālo inženieriju un pēc tam paļauties uz antivÄ«rusiem un smilÅ”u kastēm.

SEGda sardzē

Protams, mēs neapgalvojam, ka Secure Email Gateway risinājumi ir panaceja. MērÄ·tiecÄ«gus uzbrukumus, tostarp Ŕķēpu pikŔķerÄ“Å”anu, ir ārkārtÄ«gi grÅ«ti novērst, jo... Katrs Ŕāds uzbrukums ir ā€œpielāgotsā€ konkrētam saņēmējam (organizācijai vai personai). Taču uzņēmumam, kas cenÅ”as nodroÅ”ināt pamata droŔības lÄ«meni, tas ir daudz, jo Ä«paÅ”i, ja uzdevumam ir piemērota atbilstoŔā pieredze un zināŔanas.

Visbiežāk, veicot Ŕķēpu pikŔķerÄ“Å”anu, ļaunprātÄ«gi pielikumi netiek iekļauti vēstuļu pamattekstā, pretējā gadÄ«jumā surogātpasta sistēma nekavējoties bloķēs Ŕādu vēstuli ceļā pie adresāta. Bet tie vēstules tekstā ietver saites uz iepriekÅ” sagatavotu tÄ«mekļa resursu, un tad tas ir mazs jautājums. Lietotājs seko saitei un pēc vairākām pāradresācijām dažu sekunžu laikā nonāk pēdējā visā ķēdē, kuru atverot, viņa datorā tiks lejupielādēta ļaunprogrammatÅ«ra.

Vēl sarežģītāk: vēstules saņemÅ”anas brÄ«dÄ« saite var bÅ«t nekaitÄ«ga un tikai pēc kāda laika, kad tā jau bÅ«s skenēta un izlaista, tā sāks novirzÄ«t uz ļaunprogrammatÅ«ru. Diemžēl Solar JSOC speciālisti, pat ņemot vērā savas kompetences, nevarēs konfigurēt pasta vārteju tā, lai visā ķēdē ā€œredzētuā€ ļaunprogrammatÅ«ru (lai gan aizsardzÄ«bai varat izmantot visu vēstuļu saiÅ”u automātisku aizstāŔanu uz SEG, lai tā skenē saiti ne tikai vēstules piegādes laikā, bet arÄ« katrā pārejā).

Tikmēr pat tipisku novirzÄ«Å”anu var atrisināt, apkopojot vairāku veidu zināŔanas, tostarp datus, kas iegÅ«ti no mÅ«su JSOC CERT un OSINT. Tas ļauj izveidot paplaÅ”inātus melnos sarakstus, pamatojoties uz kuriem tiks bloķēta pat vēstule ar vairākkārtēju pārsÅ«tÄ«Å”anu.

SEG izmantoÅ”ana ir tikai neliels Ä·ieÄ£elis sienā, ko jebkura organizācija vēlas uzbÅ«vēt, lai aizsargātu savus Ä«paÅ”umus. Bet arÄ« Ŕī saite ir pareizi jāintegrē kopējā attēlā, jo pat SEG ar pareizu konfigurāciju var pārvērst par pilnvērtÄ«gu aizsardzÄ«bas lÄ«dzekli.

Ksenija Saduņina, Solar JSOC produktu un pakalpojumu ekspertu pirmspārdoÅ”anas nodaļas konsultante

Avots: www.habr.com

Pievieno komentāru