Том аж ахуйн нэгж нь боломжит дотоод халдагчид болон хакеруудаас эшелон редобуудыг бий болгож байгаа ч фишинг болон спам шуудангууд нь энгийн компаниудын толгойны өвчин хэвээр байна. Хэрэв Марти Макфлай 2015 онд (мөн 2020 онд ч илүү) хүмүүс hoverboard зохион бүтээхгүй, харин хог хаягдлаас бүрэн ангижрахыг сурахгүй гэдгийг мэдсэн бол тэр хүн төрөлхтөнд итгэх итгэлээ алдах байсан байх. Түүнээс гадна өнөөдөр спам нь ядаргаатай төдийгүй ихэвчлэн хор хөнөөлтэй байдаг. Kiberchain-ийн хэрэгжилтийн 70 орчим хувьд кибер гэмт хэрэгтнүүд хавсралтад агуулагдах хортой программ хангамж эсвэл имэйл дэх фишинг холбоосоор дамжуулан дэд бүтцэд нэвтэрдэг.
Сүүлийн үед байгууллагын дэд бүтцэд нэвтэрч болох нийгмийн инженерчлэлийг дэлгэрүүлэх тодорхой хандлага ажиглагдаж байна. 2017 болон 2018 оны статистикийг харьцуулж үзвэл, цахим шуудангийн үндсэн хэсэгт хавсралт эсвэл фишинг холбоосоор дамжуулан ажилчдын компьютерт хортой програм хүргэсэн тохиолдлын тоо бараг 50%-иар өссөн байна.
Ерөнхийдөө и-мэйл ашиглан хийж болох аюул заналхийллийг бүхэлд нь хэд хэдэн ангилалд хувааж болно.
- ирж буй спам
- гарч буй спам илгээдэг ботнетэд байгууллагын компьютерийг оруулах
- Захидлын бие дэх хортой хавсралт, вирус (жижиг компаниуд Петя гэх мэт томоохон халдлагуудад ихэвчлэн өртдөг).
Бүх төрлийн халдлагаас хамгаалахын тулд та мэдээллийн аюулгүй байдлын хэд хэдэн системийг ашиглах эсвэл үйлчилгээний загварын замыг дагаж болно. Бид аль хэдийн Нарны MSS удирддаг кибер аюулгүй байдлын үйлчилгээний экосистемийн цөм болох нэгдсэн кибер аюулгүй байдлын үйлчилгээний платформын тухай. Бусад зүйлсийн дотор виртуалчлагдсан Secure Email Gateway (SEG) технологи орно. Дүрмээр бол энэ үйлчилгээг захиалахыг жижиг компаниуд худалдаж авдаг бөгөөд мэдээллийн технологийн болон мэдээллийн аюулгүй байдлын бүх функцийг нэг хүнд - системийн администраторт хуваарилдаг. Спам бол хэрэглэгчид болон удирдлагад үргэлж харагддаг асуудал бөгөөд үүнийг үл тоомсорлож болохгүй. Гэсэн хэдий ч цаг хугацаа өнгөрөхөд удирдлага хүртэл үүнийг системийн администратор руу "унагах" боломжгүй болох нь тодорхой болсон - энэ нь хэтэрхий их цаг хугацаа шаарддаг.
Захидал задлан шинжлэхэд 2 цаг бага зэрэг их байна
Жижиглэн худалдаалагчдын нэг нь үүнтэй төстэй нөхцөл байдалтай бидэнд хандсан. Цаг хянах систем нь түүний ажилчид өдөр бүр ажлын цагийнхаа 25 орчим хувийг (2 цаг!) шуудангийн хайрцгийг цэгцлэхэд зарцуулдаг болохыг харуулсан.
Үйлчлүүлэгчийн мэйл серверийг холбосноор бид SEG жишээг ирж буй болон гарч буй шуудангийн хоёр талын гарц болгон тохируулсан. Урьдчилан тогтоосон бодлогын дагуу шүүж эхэлсэн. Бид хэрэглэгчийн өгсөн мэдээлэлд дүн шинжилгээ хийж, Solar JSOC-ийн мэргэжилтнүүдээс олж авсан аюултай хаягуудын жагсаалт, тухайлбал мэдээллийн аюулгүй байдлын зөрчлийг хянах зэрэг бусад үйлчилгээний нэг хэсэг дээр үндэслэн Хар жагсаалтыг гаргасан. Үүний дараа бүх захиаг зөвхөн цэвэрлэсний дараа хүлээн авагчдад хүргэсэн бөгөөд "их хямдрал"-ын тухай янз бүрийн спам шуудангууд үйлчлүүлэгчийн шуудангийн серверт тонноор нь цутгахаа больж, бусад хэрэгцээнд зориулж зай гаргажээ.
Гэхдээ хууль ёсны захидлыг спам гэж андуурч, жишээлбэл, итгэлгүй илгээгчээс хүлээн авсан гэх мэт нөхцөл байдал үүссэн. Энэ тохиолдолд бид шийдвэр гаргах эрхийг үйлчлүүлэгчид өгсөн. Юу хийх талаар олон сонголт байхгүй: нэн даруй устгах эсвэл хорио цээрийн дэглэмд илгээнэ үү. Бид хоёр дахь замыг сонгосон бөгөөд үүнд ийм хог хаягдал нь SEG дээр хадгалагддаг. Бид системийн администраторт вэб консол руу нэвтрэх боломжийг олгосон бөгөөд тэр хүссэн үедээ, жишээлбэл, эсрэг талын хүнээс чухал захидлыг олж, хэрэглэгч рүү дамжуулах боломжтой.
Паразитуудаас салах
Имэйл хамгаалах үйлчилгээ нь аналитик тайланг агуулдаг бөгөөд зорилго нь дэд бүтцийн аюулгүй байдал, ашигласан тохиргооны үр нөлөөг хянах явдал юм. Үүнээс гадна эдгээр тайлан нь чиг хандлагыг урьдчилан таамаглах боломжийг танд олгоно. Жишээлбэл, бид тайлангаас "Хүлээн авагчийн спам" эсвэл "Илгээгчийн спам" гэсэн хэсгийг олж, хамгийн олон блоклогдсон мессежийг хэний хаягаар хүлээн авч байгааг харна.
Ийм мэдээлэлд дүн шинжилгээ хийж байх үед үйлчлүүлэгчдийн нэгээс ирсэн нийт захидлын тоо огцом нэмэгдсэн нь бидэнд сэжигтэй санагдсан. Дэд бүтэц нь бага, үсгийн тоо бага. Ажлын өдрийн дараа гэнэт хаагдсан спамын хэмжээ бараг хоёр дахин нэмэгджээ. Бид илүү нарийвчлан үзэхээр шийдсэн.
Гарч буй захидлын тоо нэмэгдэж, "Илгээгч" талбарт бүгд шуудангийн хамгаалалтын үйлчилгээнд холбогдсон домэйны хаягуудыг агуулж байгааг бид харж байна. Гэхдээ нэг нюанс бий: нэлээд эрүүл саруул, магадгүй одоо байгаа хаягуудын дунд хачирхалтай хаягууд байдаг. Бид захидал илгээсэн IP хаягуудыг судалж үзсэн бөгөөд тэдгээр нь хамгаалагдсан хаягийн орон зайд хамааралгүй болох нь тогтоогдсон. Халдагчид үйлчлүүлэгчийн өмнөөс спам илгээсэн нь ойлгомжтой.
Энэ тохиолдолд бид DNS бичлэг, ялангуяа SPF-ийг хэрхэн зөв тохируулах талаар хэрэглэгчдэд зөвлөмж өгсөн. Хамгаалагдсан домэйны нэрийн өмнөөс захидал илгээх боломжтой хаягуудын бүрэн жагсаалтыг агуулсан “v=spf1 mx ip:1.2.3.4/23 -all” гэсэн дүрмийг агуулсан TXT бичлэг хийхийг манай мэргэжилтэн бидэнд зөвлөсөн.
Үнэн хэрэгтээ энэ нь яагаад чухал вэ: үл мэдэгдэх жижиг компанийн нэрийн өмнөөс спам нь тааламжгүй, гэхдээ тийм ч чухал биш юм. Байдал огт өөр, тухайлбал банкны салбарт. Бидний ажигласнаар хохирогчийн фишинг цахим шуудан нь өөр банкны домэйн эсвэл хохирогчийн мэддэг эсрэг талын домайнаас илгээгдсэн тохиолдолд хохирогчийн итгэлийн түвшин хэд дахин нэмэгддэг. Энэ нь зөвхөн банкны ажилчдыг ялгаж чаддаггүй, бусад салбаруудад, жишээлбэл, эрчим хүчний салбарт бид ижил хандлагатай тулгарч байна.
Вирусыг устгах
Гэхдээ хуурамчаар үйлдэх нь вирусын халдвар гэх мэт нийтлэг асуудал биш юм. Та вирусын халдвартай ихэвчлэн хэрхэн тэмцдэг вэ? Тэд вирусны эсрэг програм суулгаж, "дайсан давж гарахгүй" гэж найдаж байна. Гэхдээ хэрэв бүх зүйл маш энгийн байсан бол вирусны эсрэг програмын өртөг багатай байсан бол хүн бүр хортой програмын асуудлыг аль хэдийн мартсан байх байсан. Үүний зэрэгцээ бид "файлуудыг сэргээхэд туслаач, бид бүгдийг шифрлэсэн, ажил зогссон, өгөгдөл алдагдсан" гэсэн цуврал хүсэлтийг байнга хүлээн авдаг. Антивирус нь эм биш гэдгийг хэрэглэгчиддээ хэлэхээс залхдаггүй. Вирусын эсрэг мэдээллийн сангууд хангалттай хурдан шинэчлэгдэхгүй байж болохоос гадна вирусны эсрэг төдийгүй хамгаалагдсан хязгаарлагдмал орчинг тойрч гарах хортой программтай бид байнга тулгардаг.
Харамсалтай нь байгууллагын цөөн хэдэн жирийн ажилчид фишинг, хорлонтой имэйлийг мэддэг бөгөөд тэдгээрийг ердийн захидал харилцаанаас ялгаж чаддаг. Дунджаар, тогтмол мэдлэг дээшлүүлэх ажил хийдэггүй 7 дахь хэрэглэгч бүр халдвар авсан файлыг нээх эсвэл халдагчид руу мэдээллээ илгээх гэх мэт нийгмийн инженерчлэлд автдаг.
Хэдийгээр халдлагын нийгмийн вектор ерөнхийдөө аажмаар нэмэгдэж байгаа ч энэ хандлага өнгөрсөн онд ялангуяа мэдэгдэхүйц болсон. Фишинг цахим шуудан нь сурталчилгаа, удахгүй болох арга хэмжээ гэх мэт ердийн шуудантай илүү төстэй болж байв. Санхүүгийн салбарт хийсэн чимээгүй дайралтыг энд бид санаж байна - банкны ажилтнууд iFin-ийн алдартай салбарын чуулганд оролцох сурталчилгааны код бүхий захидал хүлээн авсан бөгөөд заль мэхэнд автсан хүмүүсийн хувь маш өндөр байсан ч бид санаж байна. , бид банкны салбарын тухай ярьж байна - мэдээллийн аюулгүй байдлын асуудлаар хамгийн дэвшилтэт.
Өнгөрсөн шинэ оны өмнө бид аж үйлдвэрийн компаниудын ажилчид алдартай онлайн дэлгүүрүүдэд шинэ жилийн сурталчилгааны "жагсаалт" болон хямдралын сурталчилгааны код бүхий маш өндөр чанартай фишинг захидал хүлээн авах хэд хэдэн сонирхолтой нөхцөл байдлыг ажигласан. Ажилтнууд зөвхөн холбоосыг дагаж мөрдөхийг оролдоод зогсохгүй холбогдох байгууллагуудын хамт ажиллагсад руу захидал илгээсэн. Фишинг цахим шуудангийн холбоосыг хөтөлсөн эх сурвалжийг хаасан тул ажилтнууд мэдээллийн технологийн үйлчилгээнд хандах хүсэлтээ бөөнөөр нь илгээж эхэлсэн. Ерөнхийдөө шуудангийн амжилт нь халдагчдын бүх хүлээлтээс давсан байх ёстой.
Саяхан "шифрлэгдсэн" компани манайд хандаж тусламж хүссэн. Нягтлан бодох бүртгэлийн ажилтнууд ОХУ-ын Төв банкнаас захидал хүлээн авснаар бүх зүйл эхэлсэн. Нягтлан бодогч захидал дээрх холбоос дээр дарж WannaMine олборлогчийг машиндаа татаж авсан бөгөөд энэ нь алдарт WannaCry шиг EternalBlue-ийн эмзэг байдлыг ашигласан байна. Хамгийн сонирхолтой нь ихэнх вирусны эсрэг програмууд 2018 оны эхнээс түүний гарын үсгийг илрүүлж чадсан юм. Гэхдээ вирусны эсрэг програм идэвхгүй болсон, эсвэл мэдээллийн сан шинэчлэгдээгүй, эсвэл огт байхгүй байсан - ямар ч тохиолдолд уурхайчин аль хэдийн компьютер дээр байсан бөгөөд үүнийг сүлжээгээр цааш тарааж, серверүүдийг ачаалахад юу ч саад болоогүй. CPU болон ажлын станцууд 100%.
Энэ үйлчлүүлэгч манай шүүх эмнэлгийн багийн дүгнэлтийг хүлээн авснаар вирус өөрт нь цахим шуудангаар нэвтэрч байсныг олж мэдээд цахим шуудан хамгаалах үйлчилгээг холбох туршилтын төслийг эхлүүлсэн. Бидний тохируулсан хамгийн эхний зүйл бол имэйлийн антивирус байсан. Үүний зэрэгцээ, хортой програмыг сканнердах ажлыг байнга хийдэг бөгөөд гарын үсгийн шинэчлэлтийг эхлээд цаг тутамд хийдэг байсан бөгөөд дараа нь үйлчлүүлэгч өдөрт хоёр удаа шилждэг.
Вируст халдварын эсрэг бүрэн хамгаалалтыг давхарласан байх ёстой. Хэрэв бид цахим шуудангаар вирус дамжуулах тухай ярих юм бол үүдэнд байгаа ийм захидлуудыг шүүж, хэрэглэгчдийг нийгмийн инженерчлэлийг танихад сургаж, дараа нь вирусны эсрэг болон хамгаалагдсан хязгаарлагдмал орчинд найдах хэрэгтэй.
СЕГ-д харуул хамгаалалтад байна
Мэдээжийн хэрэг, бид Secure Email Gateway шийдлүүд нь эм тариа гэж хэлэхгүй. Зорилтот халдлага, түүний дотор жад фишинг хийхээс урьдчилан сэргийлэхэд маш хэцүү байдаг, учир нь... Ийм халдлага бүрийг тодорхой хүлээн авагчид (байгууллага эсвэл хүн) зориулж "зассан" байдаг. Гэхдээ аюулгүй байдлын үндсэн түвшинг хангахыг оролдож буй компанийн хувьд энэ нь маш их зүйл юм, ялангуяа зөв туршлага, даалгаврыг хэрэгжүүлэхэд ашигладаг.
Ихэнх тохиолдолд жад фишинг хийх үед хортой хавсралт нь захидлын үндсэн хэсэгт ордоггүй, эс тэгвээс спамаас хамгаалах систем нь ийм захидлыг хүлээн авагч руу очих замд шууд хаах болно. Гэхдээ тэд захидлын текстэнд урьдчилан бэлтгэсэн вэб нөөцийн холбоосыг оруулсан бөгөөд дараа нь энэ нь жижиг асуудал юм. Хэрэглэгч холбоосыг дагаж, дараа нь хэдхэн секундын дотор хэд хэдэн дахин чиглүүлэлтийн дараа бүх сүлжээний хамгийн сүүлчийнх нь нээгдэж, түүний компьютерт хортой програм татаж авах болно.
Бүр илүү боловсронгуй: захидал хүлээн авах мөчид холбоос нь хор хөнөөлгүй байж болох бөгөөд хэсэг хугацаа өнгөрсний дараа аль хэдийн сканнердаж, алгасаад л хортой програм руу дахин чиглүүлж эхэлнэ. Харамсалтай нь, Solar JSOC-ийн мэргэжилтнүүд өөрсдийн ур чадвараа харгалзан үзсэн ч гэсэн шуудангийн гарцыг бүх сүлжээгээр дамжуулан хортой програмыг "харах" байдлаар тохируулах боломжгүй болно (гэхдээ хамгаалалт болгон та үсгээр бичсэн бүх холбоосыг автоматаар солих боломжтой. SEG руу, ингэснээр сүүлийнх нь зөвхөн захидал хүргэх үед төдийгүй шилжилт бүрт холбоосыг сканнердах болно).
Үүний зэрэгцээ, манай JSOC CERT болон OSINT-ээс олж авсан мэдээлэл зэрэг хэд хэдэн төрлийн мэдлэгийг нэгтгэх замаар ердийн дахин чиглүүлэлтийн асуудлыг шийдэж болно. Энэ нь танд өргөтгөсөн хар жагсаалт үүсгэх боломжийг олгодог бөгөөд үүний үндсэн дээр олон дамжуулалттай үсэг хүртэл хаагдах болно.
SEG-ийг ашиглах нь аливаа байгууллага өөрийн хөрөнгөө хамгаалахын тулд босгохыг хүсдэг хананы жижиг тоосго юм. Гэхдээ энэ холбоосыг ерөнхий дүр зурагт зөв оруулах шаардлагатай, учир нь зөв тохируулгатай SEG ч гэсэн бүрэн хамгаалалтын хэрэгсэл болгон хувиргаж болно.
Ксения Садунина, Нарны ХК-ийн бүтээгдэхүүн, үйлчилгээний шинжээчдийн урьдчилсан борлуулалтын хэлтсийн зөвлөх
Эх сурвалж: www.habr.com