Walaupun Perusahaan besar sedang membina kecurigaan tinggi daripada penyerang dan penggodam dalaman yang berpotensi, pancingan data dan mel spam tetap menjadi masalah bagi syarikat yang lebih mudah. Jika Marty McFly tahu bahawa pada tahun 2015 (dan lebih-lebih lagi pada tahun 2020) orang bukan sahaja tidak akan mencipta papan hover, malah tidak akan belajar untuk menyingkirkan sepenuhnya mel sampah, dia mungkin akan kehilangan kepercayaan terhadap kemanusiaan. Lebih-lebih lagi, spam hari ini bukan sahaja menjengkelkan, tetapi selalunya berbahaya. Dalam kira-kira 70% daripada pelaksanaan rantaian bunuh, penjenayah siber menembusi infrastruktur menggunakan perisian hasad yang terkandung dalam lampiran atau melalui pautan pancingan data dalam e-mel.
Baru-baru ini, terdapat trend yang jelas ke arah penyebaran kejuruteraan sosial sebagai cara untuk menembusi infrastruktur organisasi. Membandingkan statistik dari 2017 dan 2018, kami melihat peningkatan hampir 50% dalam bilangan kes di mana perisian hasad dihantar ke komputer pekerja melalui lampiran atau pautan pancingan data dalam badan e-mel.
Secara umum, keseluruhan rangkaian ancaman yang boleh dijalankan menggunakan e-mel boleh dibahagikan kepada beberapa kategori:
- spam masuk
- kemasukan komputer organisasi dalam botnet yang menghantar spam keluar
- lampiran berniat jahat dan virus dalam badan surat itu (syarikat kecil paling kerap mengalami serangan besar-besaran seperti Petya).
Untuk melindungi daripada semua jenis serangan, anda boleh sama ada menggunakan beberapa sistem keselamatan maklumat atau mengikut laluan model perkhidmatan. Kami sudah mengenai Platform Perkhidmatan Keselamatan Siber Bersatu - teras ekosistem perkhidmatan keselamatan siber terurus MSS Solar. Antara lain, ia termasuk teknologi Gerbang E-mel Selamat (SEG) maya. Sebagai peraturan, langganan perkhidmatan ini dibeli oleh syarikat kecil di mana semua fungsi keselamatan IT dan maklumat diberikan kepada satu orang - pentadbir sistem. Spam ialah masalah yang sentiasa kelihatan kepada pengguna dan pengurusan, dan ia tidak boleh diabaikan. Walau bagaimanapun, dari masa ke masa, walaupun pengurusan menjadi jelas bahawa adalah mustahil untuk hanya "menjatuhkannya" kepada pentadbir sistem - ia mengambil terlalu banyak masa.
2 jam untuk menghuraikan mel adalah agak banyak
Salah seorang peruncit menghampiri kami dengan situasi yang sama. Sistem penjejakan masa menunjukkan bahawa setiap hari pekerjanya menghabiskan kira-kira 25% daripada masa kerja mereka (2 jam!) untuk menyusun peti mel.
Setelah menyambungkan pelayan mel pelanggan, kami mengkonfigurasi tika SEG sebagai gerbang dua hala untuk kedua-dua mel masuk dan keluar. Kami mula menapis mengikut dasar yang telah ditetapkan. Kami menyusun Senarai Hitam berdasarkan analisis data yang disediakan oleh pelanggan dan senarai alamat kami yang berpotensi berbahaya yang diperoleh oleh pakar Solar JSOC sebagai sebahagian daripada perkhidmatan lain - contohnya, memantau insiden keselamatan maklumat. Selepas itu, semua mel dihantar kepada penerima hanya selepas pembersihan, dan pelbagai mel spam tentang "diskaun besar" berhenti mengalir ke pelayan mel pelanggan dalam banyak tan, membebaskan ruang untuk keperluan lain.
Tetapi terdapat situasi apabila surat yang sah telah tersilap diklasifikasikan sebagai spam, sebagai contoh, sebagai telah diterima daripada pengirim yang tidak dipercayai. Dalam kes ini, kami memberikan hak membuat keputusan kepada pelanggan. Tidak banyak pilihan tentang perkara yang perlu dilakukan: padamkannya dengan segera atau hantar ke kuarantin. Kami memilih laluan kedua, di mana mel sampah tersebut disimpan pada SEG itu sendiri. Kami memberikan pentadbir sistem akses kepada konsol web, di mana dia boleh mencari surat penting pada bila-bila masa, contohnya, daripada rakan niaga, dan memajukannya kepada pengguna.
Menyingkirkan parasit
Perkhidmatan perlindungan e-mel termasuk laporan analisis, yang tujuannya adalah untuk memantau keselamatan infrastruktur dan keberkesanan tetapan yang digunakan. Selain itu, laporan ini membolehkan anda meramalkan arah aliran. Sebagai contoh, kami menemui bahagian yang sepadan "Spam oleh Penerima" atau "Spam oleh Pengirim" dalam laporan dan melihat alamat siapa yang menerima bilangan terbesar mesej yang disekat.
Semasa menganalisis laporan sedemikian, jumlah surat yang meningkat secara mendadak daripada salah seorang pelanggan kelihatan mencurigakan kepada kami. Infrastrukturnya kecil, bilangan hurufnya rendah. Dan tiba-tiba, selepas hari bekerja, jumlah spam yang disekat hampir dua kali ganda. Kami memutuskan untuk melihat lebih dekat.
Kami melihat bahawa bilangan surat keluar telah meningkat, dan kesemuanya dalam medan "Penghantar" mengandungi alamat daripada domain yang disambungkan kepada perkhidmatan perlindungan mel. Tetapi ada satu nuansa: antara alamat yang agak waras, mungkin juga sedia ada, terdapat yang jelas pelik. Kami melihat IP dari mana surat itu dihantar, dan, agak dijangka, ternyata ia bukan milik ruang alamat yang dilindungi. Jelas sekali, penyerang telah menghantar spam bagi pihak pelanggan.
Dalam kes ini, kami membuat pengesyoran untuk pelanggan tentang cara mengkonfigurasi rekod DNS dengan betul, khususnya SPF. Pakar kami menasihati kami untuk membuat rekod TXT yang mengandungi peraturan "v=spf1 mx ip:1.2.3.4/23 -semua", yang mengandungi senarai lengkap alamat yang dibenarkan untuk menghantar surat bagi pihak domain yang dilindungi.
Sebenarnya, mengapa ini penting: spam bagi pihak syarikat kecil yang tidak dikenali adalah tidak menyenangkan, tetapi tidak kritikal. Keadaannya sama sekali berbeza, contohnya, dalam industri perbankan. Menurut pemerhatian kami, tahap kepercayaan mangsa terhadap e-mel pancingan data meningkat berkali-kali ganda jika ia kononnya dihantar dari domain bank lain atau rakan niaga yang diketahui mangsa. Dan ini membezakan bukan sahaja pekerja bank; dalam industri lain - sektor tenaga contohnya - kita berhadapan dengan trend yang sama.
Membunuh virus
Tetapi penipuan bukanlah masalah biasa seperti, contohnya, jangkitan virus. Bagaimanakah anda paling kerap melawan wabak virus? Mereka memasang antivirus dan berharap "musuh tidak akan berjaya." Tetapi jika semuanya begitu mudah, maka, memandangkan kos antivirus yang agak rendah, semua orang sudah lama melupakan masalah perisian hasad. Sementara itu, kami sentiasa menerima permintaan daripada siri "bantu kami memulihkan fail, kami telah menyulitkan segala-galanya, kerja terhenti, data hilang." Kami tidak jemu mengulangi kepada pelanggan kami bahawa antivirus bukanlah ubat penawar. Sebagai tambahan kepada fakta bahawa pangkalan data anti-virus mungkin tidak dikemas kini dengan cukup cepat, kami sering menghadapi perisian hasad yang boleh memintas bukan sahaja anti-virus, tetapi juga kotak pasir.
Malangnya, beberapa pekerja biasa organisasi mengetahui tentang pancingan data dan e-mel berniat jahat dan dapat membezakannya daripada surat-menyurat biasa. Secara purata, setiap pengguna ke-7 yang tidak menjalani peningkatan kesedaran tetap tunduk kepada kejuruteraan sosial: membuka fail yang dijangkiti atau menghantar data mereka kepada penyerang.
Walaupun vektor sosial serangan, secara amnya, telah meningkat secara beransur-ansur, trend ini telah menjadi sangat ketara pada tahun lepas. E-mel pancingan data menjadi semakin serupa dengan mel biasa tentang promosi, acara akan datang, dsb. Di sini kita boleh mengimbas kembali serangan Silence ke atas sektor kewangan - pekerja bank menerima surat yang didakwa dengan kod promosi untuk penyertaan dalam persidangan industri popular iFin, dan peratusan mereka yang tunduk kepada helah itu sangat tinggi, walaupun, mari kita ingat , kita bercakap tentang industri perbankan - yang paling maju dalam hal keselamatan maklumat.
Sebelum Tahun Baru yang lalu, kami juga melihat beberapa situasi yang agak ingin tahu apabila pekerja syarikat perindustrian menerima surat pancingan data yang sangat berkualiti tinggi dengan "senarai" promosi Tahun Baru di kedai dalam talian yang popular dan dengan kod promosi untuk diskaun. Pekerja bukan sahaja cuba mengikuti pautan itu sendiri, tetapi juga memajukan surat itu kepada rakan sekerja dari organisasi berkaitan. Memandangkan sumber yang pautan dalam e-mel pancingan data telah disekat, pekerja mula beramai-ramai menyerahkan permintaan kepada perkhidmatan IT untuk menyediakan akses kepadanya. Secara amnya, kejayaan mel mestilah melebihi semua jangkaan penyerang.
Dan baru-baru ini sebuah syarikat yang telah "disulitkan" meminta bantuan kepada kami. Semuanya bermula apabila pekerja perakaunan menerima surat yang didakwa dari Bank Pusat Persekutuan Rusia. Akauntan itu mengklik pautan dalam surat itu dan memuat turun pelombong WannaMine ke mesinnya, yang, seperti WannaCry yang terkenal, mengeksploitasi kelemahan EternalBlue. Perkara yang paling menarik ialah kebanyakan antivirus telah dapat mengesan tandatangannya sejak awal tahun 2018. Tetapi, sama ada antivirus telah dilumpuhkan, atau pangkalan data tidak dikemas kini, atau ia tidak ada sama sekali - dalam apa jua keadaan, pelombong sudah berada di komputer, dan tiada apa yang menghalangnya daripada merebak lebih jauh ke seluruh rangkaian, memuatkan pelayan ' CPU dan stesen kerja pada 100% .
Pelanggan ini, setelah menerima laporan daripada pasukan forensik kami, melihat bahawa virus itu pada mulanya menembusinya melalui e-mel, dan melancarkan projek perintis untuk menyambungkan perkhidmatan perlindungan e-mel. Perkara pertama yang kami sediakan ialah antivirus e-mel. Pada masa yang sama, pengimbasan perisian hasad dijalankan secara berterusan, dan kemas kini tandatangan pada mulanya dijalankan setiap jam, dan kemudian pelanggan bertukar kepada dua kali sehari.
Perlindungan penuh terhadap jangkitan virus mesti berlapis. Jika kita bercakap tentang penghantaran virus melalui e-mel, maka perlu menapis surat tersebut di pintu masuk, melatih pengguna untuk mengenali kejuruteraan sosial, dan kemudian bergantung pada antivirus dan kotak pasir.
dalam SEGda berjaga-jaga
Sudah tentu, kami tidak mendakwa bahawa penyelesaian Gerbang E-mel Selamat adalah ubat mujarab. Serangan yang disasarkan, termasuk pancingan lembing, amat sukar untuk dicegah kerana... Setiap serangan sedemikian "disesuaikan" untuk penerima tertentu (organisasi atau orang). Tetapi bagi syarikat yang cuba menyediakan tahap keselamatan asas, ini adalah banyak, terutamanya dengan pengalaman dan kepakaran yang betul digunakan untuk tugas itu.
Selalunya, apabila pancingan lembing dijalankan, lampiran berniat jahat tidak disertakan dalam badan surat, jika tidak, sistem antispam akan segera menyekat surat sedemikian dalam perjalanan ke penerima. Tetapi ia memasukkan pautan ke sumber web yang telah disediakan sebelumnya dalam teks surat, dan kemudian ia adalah perkara kecil. Pengguna mengikuti pautan, dan kemudian selepas beberapa ubah hala dalam beberapa saat berakhir pada yang terakhir dalam keseluruhan rangkaian, pembukaan yang akan memuat turun perisian hasad ke komputernya.
Lebih canggih lagi: pada masa anda menerima surat itu, pautan boleh menjadi tidak berbahaya dan hanya selepas beberapa waktu berlalu, apabila ia telah diimbas dan dilangkau, ia akan mula mengubah hala ke perisian hasad. Malangnya, pakar Solar JSOC, walaupun mengambil kira kecekapan mereka, tidak akan dapat mengkonfigurasi gerbang mel untuk "melihat" perisian hasad melalui keseluruhan rantaian (walaupun, sebagai perlindungan, anda boleh menggunakan penggantian automatik semua pautan dalam huruf kepada SEG, supaya yang terakhir mengimbas pautan bukan sahaja pada masa penghantaran surat, dan pada setiap peralihan).
Sementara itu, malah ubah hala biasa boleh ditangani dengan pengagregatan beberapa jenis kepakaran, termasuk data yang diperoleh oleh JSOC CERT dan OSINT kami. Ini membolehkan anda membuat senarai hitam lanjutan, yang berdasarkannya walaupun surat dengan pelbagai kiriman semula akan disekat.
Menggunakan SEG hanyalah batu bata kecil di dinding yang ingin dibina oleh mana-mana organisasi untuk melindungi asetnya. Tetapi pautan ini juga perlu disepadukan dengan betul ke dalam gambaran keseluruhan, kerana walaupun SEG, dengan konfigurasi yang betul, boleh diubah menjadi cara perlindungan yang lengkap.
Ksenia Sadunina, perunding jabatan prajualan pakar produk dan perkhidmatan Solar JSOC
Sumber: www.habr.com