Mens den store bedriften bygger gjentatte reduber fra potensielle interne angripere og hackere, forblir phishing- og spam-e-poster en hodepine for enklere selskaper. Hvis Marty McFly visste at i 2015 (og enda mer i 2020) ville folk ikke bare ikke finne opp hoverboards, men ikke engang lære å bli fullstendig kvitt søppelpost, ville han sannsynligvis mistet troen på menneskeheten. Dessuten er spam i dag ikke bare irriterende, men ofte skadelig. I omtrent 70 % av killchain-implementeringene trenger nettkriminelle inn i infrastrukturen ved å bruke skadelig programvare i vedlegg eller gjennom phishing-lenker i e-poster.
Nylig har det vært en klar trend mot spredning av sosial ingeniørkunst som en måte å trenge inn i en organisasjons infrastruktur. Sammenligner vi statistikk fra 2017 og 2018, ser vi en nesten 50 % økning i antall tilfeller der skadevare ble levert til ansattes datamaskiner gjennom vedlegg eller phishing-lenker i hoveddelen av en e-post.
Generelt kan hele spekteret av trusler som kan utføres ved hjelp av e-post deles inn i flere kategorier:
- innkommende spam
- inkludering av en organisasjons datamaskiner i et botnett som sender utgående spam
- ondsinnede vedlegg og virus i hoveddelen av brevet (små selskaper lider oftest av massive angrep som Petya).
For å beskytte mot alle typer angrep kan du enten distribuere flere informasjonssikkerhetssystemer, eller følge banen til en tjenestemodell. Vi allerede om Unified Cybersecurity Services Platform - kjernen i økosystemet for Solar MSS-administrerte cybersikkerhetstjenester. Den inkluderer blant annet virtualisert Secure Email Gateway (SEG)-teknologi. Som regel kjøpes et abonnement på denne tjenesten av små selskaper der alle IT- og informasjonssikkerhetsfunksjoner er tildelt én person - systemadministratoren. Spam er et problem som alltid er synlig for brukere og ledelse, og det kan ikke ignoreres. Men over tid blir selv ledelsen klart at det er umulig å bare "slippe" det til systemadministratoren - det tar for mye tid.
2 timer å analysere e-post er litt mye
En av forhandlerne henvendte seg til oss med en lignende situasjon. Tidsregistreringssystemer viste at hver dag hans ansatte brukte omtrent 25 % av arbeidstiden (2 timer!) på å sortere postkassen.
Etter å ha koblet til kundens e-postserver, konfigurerte vi SEG-forekomsten som en toveis gateway for både innkommende og utgående e-post. Vi begynte å filtrere i henhold til forhåndsetablerte retningslinjer. Vi kompilerte svartelisten basert på en analyse av dataene gitt av kunden og våre egne lister over potensielt farlige adresser innhentet av Solar JSOC-eksperter som en del av andre tjenester – for eksempel overvåking av informasjonssikkerhetshendelser. Etter det ble all post levert til mottakerne først etter rengjøring, og diverse spam-utsendelser om "store rabatter" sluttet å strømme inn på kundens e-postservere i tonnevis, og frigjorde plass til andre behov.
Men det har vært situasjoner der et legitimt brev ved en feiltakelse ble klassifisert som spam, for eksempel som å ha blitt mottatt fra en ikke-klarert avsender. I dette tilfellet ga vi beslutningsretten til kunden. Det er ikke mange alternativer for hva du skal gjøre: slett den umiddelbart eller send den i karantene. Vi valgte den andre banen, der slik søppelpost lagres på selve SEG. Vi ga systemadministratoren tilgang til nettkonsollen, der han til enhver tid kunne finne et viktig brev, for eksempel fra en motpart, og videresende det til brukeren.
Bli kvitt parasitter
E-postbeskyttelsestjenesten inkluderer analytiske rapporter, hvis formål er å overvåke sikkerheten til infrastrukturen og effektiviteten til innstillingene som brukes. I tillegg lar disse rapportene deg forutsi trender. For eksempel finner vi den tilsvarende delen "Spam etter mottaker" eller "Spam etter avsender" i rapporten og ser på hvem sin adresse som mottar det største antallet blokkerte meldinger.
Det var mens vi analyserte en slik rapport at det kraftig økte antallet brev fra en av kundene virket mistenkelig for oss. Infrastrukturen er liten, antallet bokstaver er lavt. Og plutselig, etter en arbeidsdag, ble mengden blokkert spam nesten doblet. Vi bestemte oss for å se nærmere.
Vi ser at antallet utgående brev har økt, og alle i «Avsender»-feltet inneholder adresser fra et domene som er koblet til postbeskyttelsestjenesten. Men det er én nyanse: Blant ganske fornuftige, kanskje til og med eksisterende, adresser er det helt klart merkelige. Vi så på IP-ene som brevene ble sendt fra, og ganske forventet viste det seg at de ikke tilhørte det beskyttede adresserommet. Det er klart at angriperen sendte spam på vegne av kunden.
I dette tilfellet ga vi anbefalinger til kunden om hvordan de riktig konfigurerer DNS-poster, spesielt SPF. Spesialisten vår rådet oss til å opprette en TXT-post som inneholder regelen "v=spf1 mx ip:1.2.3.4/23 -all", som inneholder en uttømmende liste over adresser som har lov til å sende brev på vegne av det beskyttede domenet.
Faktisk, hvorfor dette er viktig: spam på vegne av et ukjent lite selskap er ubehagelig, men ikke kritisk. Helt annerledes er situasjonen for eksempel i banknæringen. Ifølge våre observasjoner øker offerets tillit til en phishing-e-post mange ganger hvis den angivelig sendes fra domenet til en annen bank eller en motpart kjent for offeret. Og dette skiller ikke bare bankansatte, i andre bransjer – for eksempel energisektoren – står vi overfor samme trend.
Drep virus
Men spoofing er ikke et like vanlig problem som for eksempel virusinfeksjoner. Hvordan bekjemper du oftest virale epidemier? De installerer et antivirus og håper at "fienden ikke kommer gjennom." Men hvis alt var så enkelt, da, gitt de ganske lave kostnadene for antivirus, ville alle for lenge siden glemt problemet med skadelig programvare. I mellomtiden mottar vi stadig forespørsler fra serien "hjelp oss med å gjenopprette filene, vi har kryptert alt, arbeidet er stoppet, dataene går tapt." Vi blir aldri lei av å gjenta for kundene våre at antivirus ikke er et universalmiddel. I tillegg til at antivirusdatabaser kanskje ikke oppdateres raskt nok, møter vi ofte skadevare som kan omgå ikke bare antivirus, men også sandkasser.
Dessverre er det få vanlige ansatte i organisasjoner som er klar over phishing og ondsinnede e-poster og er i stand til å skille dem fra vanlig korrespondanse. I gjennomsnitt bukker hver 7. bruker som ikke gjennomgår regelmessig bevisstgjøring for sosial ingeniørkunst: Å åpne en infisert fil eller sende data til angripere.
Selv om den sosiale vektoren for angrep generelt sett har økt gradvis, har denne trenden blitt spesielt merkbar i fjor. Phishing-e-poster ble mer og mer lik vanlige utsendelser om kampanjer, kommende arrangementer osv. Her kan vi minne om Silence-angrepet på finanssektoren - bankansatte mottok et brev angivelig med en kampanjekode for deltakelse på den populære industrikonferansen iFin, og prosentandelen av de som bukket under for trikset var veldig høy, men la oss huske , vi snakker om banknæringen - den mest avanserte i spørsmål om informasjonssikkerhet.
Før siste nyttår observerte vi også flere ganske nysgjerrige situasjoner da ansatte i industribedrifter mottok phishing-brev av meget høy kvalitet med en «liste» over nyttårskampanjer i populære nettbutikker og med kampanjekoder for rabatter. Ansatte prøvde ikke bare å følge lenken selv, men sendte også brevet videre til kolleger fra relaterte organisasjoner. Siden ressursen som lenken i phishing-e-posten førte til ble blokkert, begynte ansatte i massevis å sende inn forespørsler til IT-tjenesten om å gi tilgang til den. Generelt må suksessen til utsendelsen ha overgått alle forventningene til angriperne.
Og nylig henvendte et selskap som hadde blitt "kryptert" til oss for å få hjelp. Det hele startet da regnskapsansatte mottok et brev angivelig fra den russiske føderasjonens sentralbank. Regnskapsføreren klikket på lenken i brevet og lastet ned WannaMine-gruvearbeideren til maskinen hans, som, i likhet med den berømte WannaCry, utnyttet EternalBlue-sårbarheten. Det mest interessante er at de fleste antivirus har vært i stand til å oppdage signaturene siden begynnelsen av 2018. Men enten var antiviruset deaktivert, eller databasene ble ikke oppdatert, eller så var det ikke der i det hele tatt - i alle fall var gruvearbeideren allerede på datamaskinen, og ingenting hindret den i å spre seg videre over nettverket og laste inn serverne. CPU og arbeidsstasjoner på 100 %.
Denne kunden, etter å ha mottatt en rapport fra vårt rettsmedisinske team, så at viruset i utgangspunktet penetrerte ham via e-post, og startet et pilotprosjekt for å koble til en e-postbeskyttelsestjeneste. Det første vi satte opp var et e-postantivirus. Samtidig foretas skanning etter skadevare kontinuerlig, og signaturoppdateringer ble i utgangspunktet utført hver time, og deretter byttet kunden til to ganger daglig.
Full beskyttelse mot virusinfeksjoner må være lagdelt. Hvis vi snakker om overføring av virus via e-post, er det nødvendig å filtrere ut slike bokstaver ved inngangen, trene brukere til å gjenkjenne sosial ingeniørkunst og deretter stole på antivirus og sandkasser.
i SEGda på vakt
Vi påstår selvfølgelig ikke at Secure Email Gateway-løsninger er et universalmiddel. Målrettede angrep, inkludert spyd-phishing, er ekstremt vanskelig å forhindre fordi... Hvert slikt angrep er "skreddersydd" for en spesifikk mottaker (organisasjon eller person). Men for et selskap som prøver å gi et grunnleggende sikkerhetsnivå, er dette mye, spesielt med riktig erfaring og ekspertise brukt på oppgaven.
Oftest, når spear phishing utføres, er ondsinnede vedlegg ikke inkludert i bokstavene, ellers vil antispam-systemet umiddelbart blokkere et slikt brev på vei til mottakeren. Men de inkluderer lenker til en forhåndsforberedt nettressurs i teksten til brevet, og da er det en liten sak. Brukeren følger lenken, og etter flere omdirigeringer i løpet av sekunder havner den på den siste i hele kjeden, hvis åpning vil laste ned skadelig programvare til datamaskinen hans.
Enda mer sofistikert: i det øyeblikket du mottar brevet, kan koblingen være ufarlig, og først etter en tid, når den allerede er skannet og hoppet over, vil den begynne å omdirigere til skadelig programvare. Dessverre vil ikke Solar JSOC-spesialister, selv med tanke på deres kompetanse, være i stand til å konfigurere e-postporten for å "se" skadevare gjennom hele kjeden (selv om du som beskyttelse kan bruke den automatiske erstatningen av alle lenker i bokstaver til SEG, slik at sistnevnte skanner lenken ikke bare på tidspunktet for levering av brevet, og ved hver overgang).
I mellomtiden kan selv en typisk omdirigering håndteres ved aggregering av flere typer ekspertise, inkludert data innhentet av JSOC CERT og OSINT. Dette lar deg lage utvidede svartelister, basert på hvilke til og med et brev med flere videresendinger vil bli blokkert.
Å bruke SEG er bare en liten murstein i veggen som enhver organisasjon ønsker å bygge for å beskytte sine eiendeler. Men denne koblingen må også integreres korrekt i helhetsbildet, fordi selv SEG, med riktig konfigurasjon, kan gjøres om til et fullverdig beskyttelsesmiddel.
Ksenia Sadunina, konsulent for ekspertforsalgsavdelingen for Solar JSOC-produkter og -tjenester
Kilde: www.habr.com