د انټي سپیم څخه ډیر: د امنیت بریښنالیک ګیټ وے څخه ډیری ترلاسه کولو څرنګوالی

پداسې حال کې چې لوی شرکت د احتمالي داخلي برید کونکو او هیکرانو څخه د پام وړ شکونه رامینځته کوي ، فشینګ او سپیم بریښنالیکونه د ساده شرکتونو لپاره سر درد پاتې کیږي. که مارټي مک فلای پوهیده چې په 2015 کې (او حتی په 2020 کې نور هم) خلک به نه یوازې هووربورډونه اختراع کړي ، بلکه حتی د جنک میل څخه په بشپړ ډول خلاصیدل به زده نه کړي ، هغه به شاید په انسانیت باور له لاسه ورکړي. سربیره پردې، نن ورځ سپیم نه یوازې ځورونکي، بلکې ډیری وختونه زیانمنونکي دي. نږدې 70٪ د killchain پلي کولو کې، سایبر جنایتکاران په ضمیمه کې موجود مالویر یا په بریښنالیکونو کې د فشینګ لینکونو له لارې زیربنا ته ننوځي.

په دې وروستیو کې، د یوې ادارې زیربنا ته د ننوتلو لپاره د یوې لارې په توګه د ټولنیز انجینرۍ د خپریدو په لور روښانه تمایل شتون لري. د 2017 او 2018 احصایو پرتله کول، موږ د هغو قضیو په شمیر کې نږدې 50٪ زیاتوالی ګورو چیرې چې مالویر د بریښنالیک په بدن کې د ضمیمو یا فشینګ لینکونو له لارې د کارمندانو کمپیوټرونو ته لیږدول شوي.

په عموم کې، د ګواښونو ټوله لړۍ چې د بریښنالیک په کارولو سره ترسره کیدی شي په څو کټګوریو ویشل کیدی شي:

• راتلونکی سپیم
• په بوټنیټ کې د یوې ادارې کمپیوټرونو شاملول چې بهر روان سپیم لیږي
• د خط په بدن کې ناوړه ضمیمې او ویروسونه (کوچني شرکتونه ډیری وختونه د پیټیا په څیر د لوی بریدونو سره مخ کیږي).

د هر ډول بریدونو په وړاندې د ساتنې لپاره، تاسو کولی شئ د معلوماتو ډیری سیسټمونه ځای پر ځای کړئ، یا د خدماتو ماډل لاره تعقیب کړئ. موږ لا دمخه وویل د متحد سایبر امنیت خدماتو پلیټ فارم په اړه - د سولر MSS اصلي مدیریت سایبر امنیت خدماتو ایکوسیستم. د نورو شیانو په مینځ کې ، پدې کې مجازی خوندي بریښنالیک ګیټ وے (SEG) ټیکنالوژي شامله ده. د یوې قاعدې په توګه، د دې خدمت ګډون د کوچنیو شرکتونو لخوا اخیستل کیږي چې په کې د IT او معلوماتو امنیت ټولې دندې یو کس ته ګمارل شوي - د سیسټم مدیر. سپیم یوه ستونزه ده چې تل د کاروونکو او مدیریت لپاره لیدل کیږي، او دا له پامه غورځول کیدی نشي. په هرصورت، د وخت په تیریدو سره، حتی مدیریت روښانه کیږي چې دا ناشونې ده چې دا په ساده ډول د سیسټم مدیر ته "غورځول" - دا ډیر وخت نیسي.

د بریښنالیک تحلیل کولو لپاره 2 ساعتونه یو څه ډیر دي

یو پرچون پلورونکي موږ ته د ورته حالت سره مخ شو. د وخت تعقیب سیسټمونو ښودلې چې هره ورځ د هغه کارمندانو د خپل کاري وخت شاوخوا 25٪ (2 ساعته!) د میل باکس په ترتیب کولو کې مصرف کړي.

د پیرودونکي بریښنالیک سرور سره وصل کیدو سره ، موږ د SEG مثال د دواړو راتلونکو او وتلو میلونو لپاره د دوه طرفه دروازې په توګه تنظیم کړ. موږ د مخکې جوړ شوي پالیسیو مطابق فلټر کول پیل کړل. موږ تور لیست د پیرودونکي لخوا چمتو شوي ډیټا تحلیل او زموږ د احتمالي خطرناکو پتو لیستونو پراساس ترتیب کړی چې د سولر JSOC متخصصینو لخوا د نورو خدماتو برخې په توګه ترلاسه شوي - د مثال په توګه ، د معلوماتو امنیت پیښو څارنه. له هغې وروسته، ټول بریښنالیک یوازې د پاکولو وروسته ترلاسه کونکو ته لیږدول شوي، او د "لوی تخفیف" په اړه مختلف سپیم لیکونه د پیرودونکو میل سرورونو ته په ټنو کې اچول بند کړل، د نورو اړتیاو لپاره ځای خالي کول.

مګر داسې شرایط شتون لري کله چې یو مشروع لیک په غلطۍ سره د سپیم په توګه طبقه بندي شوی و، د بیلګې په توګه، لکه څنګه چې د بې باوره لیږونکي څخه ترلاسه شوی. په دې حالت کې، موږ پیرودونکي ته د پریکړې حق ورکړ. د څه کولو په اړه ډیری اختیارونه شتون نلري: سمدلاسه یې حذف کړئ یا قرنطین ته یې واستوئ. موږ دوهمه لاره غوره کړه ، په کوم کې چې دا ډول جنک میل پخپله په SEG کې زیرمه کیږي. موږ د سیسټم مدیر ته ویب کنسول ته لاسرسی چمتو کړی، په کوم کې چې هغه کولی شي په هر وخت کې یو مهم لیک ومومي، د بیلګې په توګه، د مقابل لوري څخه، او کاروونکي ته یې لیږل.

د پرازیتونو څخه خلاصون

د بریښنالیک محافظت خدمت کې تحلیلي راپورونه شامل دي، چې موخه یې د زیربنا امنیت او د کارول شوي ترتیباتو اغیزمنتوب څارنه ده. سربیره پردې ، دا راپورونه تاسو ته اجازه درکوي د رجحاناتو وړاندوینه وکړئ. د مثال په توګه، موږ په راپور کې اړونده برخه "د ترلاسه کونکي لخوا سپیم" یا "لیږونکي لخوا سپیم" موندلو او ګورو چې د چا پته د بلاک شوي پیغامونو لوی شمیر ترلاسه کوي.

دا په داسې حال کې وه چې د داسې راپور تحلیل و چې د یو پیرودونکي څخه د لیکونو شمیر په چټکۍ سره ډیر شوی و چې موږ ته شکمن ښکاري. د هغې زیربنا کوچنۍ ده، د لیکونو شمیر کم دی. او ناڅاپه، د یوې کاري ورځې وروسته، د بلاک شوي سپیم مقدار تقریبا دوه چنده شو. موږ پریکړه وکړه چې نږدې وګورو.

موږ ګورو چې د وتلو لیکونو شمیر ډیر شوی، او دا ټول د "لیږونکي" په ډګر کې د هغه ډومین پتې لري چې د میل محافظت خدمت سره تړلي دي. مګر دلته یو نزاکت شتون لري: د خورا هوښیار ، شاید حتی موجوده پتې په مینځ کې ، په څرګنده توګه عجیب دي. موږ هغه IPs ته وکتل چې له هغې څخه لیکونه لیږل شوي وو، او په ډیره تمه سره، دا معلومه شوه چې دوی د خوندي پتې ځای سره تړاو نلري. په ښکاره ډول، برید کوونکی د پیرودونکي په استازیتوب سپیم لیږلی و.

په دې حالت کې، موږ د پیرودونکي لپاره سپارښتنې کړې چې څنګه د DNS ریکارډونه په سمه توګه تنظیم کړئ، په ځانګړې توګه SPF. زموږ متخصص موږ ته مشوره راکړه چې د TXT ریکارډ جوړ کړو چې د "v=spf1 mx ip:1.2.3.4/23 -all" قاعده ولري، کوم چې د پتې یو بشپړ لیست لري چې د خوندي شوي ډومین په استازیتوب د لیکونو لیږلو اجازه لري.

په حقیقت کې، ولې دا مهم دی: د نامعلوم کوچني شرکت په استازیتوب سپیم ناخوښ دی، مګر مهم نه دی. وضعیت په بشپړه توګه توپیر لري، د بیلګې په توګه، د بانکدارۍ صنعت کې. زموږ د نظرونو له مخې، په فشینګ بریښنالیک کې د قرباني باور کچه څو چنده زیاتیږي که چیرې دا د بل بانک یا د قرباني لپاره پیژندل شوي مخالف ګوند له ډومین څخه لیږل شوي وي. او دا نه یوازې د بانک کارمندان توپیر کوي؛ په نورو صنعتونو کې - د مثال په توګه د انرژي سکتور - موږ د ورته رجحان سره مخ یو.

ویروسونه وژني

مګر سپوف کول دومره عامه ستونزه نده لکه د مثال په توګه ، ویروس انتانات. تاسو ډیری وختونه د ویروس ناروغۍ سره څنګه مبارزه کوئ؟ دوی یو انټي ویروس نصبوي او امید لري چې "دښمن به له مینځه لاړ نشي." مګر که هرڅه خورا ساده وي، نو د انټي ویروسونو خورا ټیټ لګښت ته په پام سره، هرڅوک به ډیر وخت دمخه د مالویر ستونزې هیر کړي. په ورته وخت کې ، موږ په دوامداره توګه د لړۍ څخه غوښتنې ترلاسه کوو "د فایلونو په بحالولو کې زموږ سره مرسته وکړئ ، موږ هرڅه کوډ کړي ، کار په ټپه ولاړ دی ، معلومات ورک شوي." موږ هیڅکله خپلو پیرودونکو ته د تکرارولو څخه ستړي نه یو چې انټي ویروس درملنه نه ده. د دې حقیقت سربیره چې د انټي ویروس ډیټابیسونه ممکن په کافي اندازه ګړندي نوي نشي ، موږ ډیری وختونه د مالویر سره مخ کیږو چې کولی شي نه یوازې د انټي ویروسونو ، بلکه د شګو بکسونه هم تیر کړي.

له بده مرغه، د سازمانونو لږ شمیر عادي کارمندان د فشینګ او ناوړه بریښنالیکونو څخه خبر دي او د دې توان لري چې د منظم لیکونو څخه توپیر وکړي. په اوسط ډول، هر اووم کارونکی چې منظم پوهاوی نه کوي ټولنیز انجینرۍ ته ځان رسوي: د اخته شوي فایل خلاصول یا برید کونکو ته خپل معلومات لیږل.

که څه هم د بریدونو ټولنیز ویکتور، په عموم کې، په تدریجي ډول وده کوي، دا رجحان تیر کال په ځانګړې توګه د پام وړ شو. د فشینګ بریښنالیکونه د ترویجونو ، راتلونکو پیښو او نورو په اړه منظم بریښنالیکونو ته ډیر او ورته کیږي. دلته موږ کولی شو په مالي سکټور باندې د خاموش برید یادونه وکړو - د بانک کارمندانو د مشهور صنعت کنفرانس iFin کې د ګډون لپاره د پروموشنل کوډ سره ادعا شوي یو لیک ترلاسه کړ ، او د هغو کسانو سلنه چې چال ته یې ځانونه اچولي خورا لوړ و ، که څه هم ، راځئ چې یادونه وکړو. ، موږ د بانکدارۍ صنعت په اړه خبرې کوو - د معلوماتو امنیت په برخه کې ترټولو پرمختللی.

د تیر نوي کال څخه دمخه، موږ یو شمیر په زړه پوري حالتونه هم ولیدل کله چې د صنعتي شرکتونو کارمندانو په مشهور آنلاین پلورنځیو کې د نوي کال ترویجونو "لست" سره او د تخفیف لپاره د پروموشنل کوډونو سره خورا لوړ کیفیت فشینګ لیکونه ترلاسه کړل. کارمندانو نه یوازې هڅه وکړه چې پخپله لینک تعقیب کړي، بلکې د اړوندو ادارو همکارانو ته یې لیک هم لیږلی. له هغه وخته چې هغه سرچینې چې د فشینګ بریښنالیک کې لینک بند شوی و، کارمندانو په ډله ایزه توګه پیل وکړ ترڅو د معلوماتي ټکنالوجۍ خدماتو ته د لاسرسي چمتو کولو لپاره غوښتنې وسپاري. په عموم کې، د بریښنالیک بریالیتوب باید د برید کونکو ټولو تمو څخه ډیر وي.

او پدې وروستیو کې یو شرکت چې "کوډ شوی" شوی و د مرستې لپاره موږ ته مخ شو. دا ټول هغه وخت پیل شول کله چې د محاسبې کارمندانو د روسیې فدراسیون مرکزي بانک څخه یو لیک ترلاسه کړ. محاسب په لیک کې لینک باندې کلیک وکړ او د WannaMine ماینر یې په خپل ماشین کې ډاونلوډ کړ، کوم چې د مشهور WannaCry په څیر، د EternalBlue زیان څخه ګټه پورته کړه. ترټولو په زړه پورې خبره دا ده چې ډیری انټي ویروسونه د 2018 له پیل راهیسې توانیدلي چې خپل لاسلیکونه کشف کړي. مګر، یا انټي ویروس غیر فعال شوی و، یا ډیټابیس تازه شوی نه و، یا دا په هیڅ صورت کې شتون نلري - په هر حالت کې، ماینر لا دمخه په کمپیوټر کې و، او هیڅ شی یې د شبکې په اوږدو کې د خپریدو مخه نه وه نیولې، د سرورونو بارولو. CPU او کاري سټیشنونه په 100٪ کې.

دا پیرودونکي، زموږ د عدلي ټیم څخه راپور ترلاسه کولو سره، ولیدل چې ویروس په پیل کې هغه ته د بریښنالیک له لارې ننوتل، او د بریښنالیک محافظت خدمت سره د نښلولو لپاره یې یوه ازمایښتي پروژه پیل کړه. لومړی شی چې موږ یې تنظیم کړی یو بریښنالیک انټي ویروس و. په ورته وخت کې ، د مالویر لپاره سکین کول په دوامداره توګه ترسره کیږي ، او د لاسلیک تازه معلومات په پیل کې په هر ساعت کې ترسره شوي ، او بیا پیرودونکي په ورځ کې دوه ځله بدل شوي.

د ویروس انتاناتو په وړاندې بشپړ محافظت باید په سطحه وي. که موږ د بریښنالیک له لارې د ویروسونو لیږد په اړه وغږیږو، نو دا اړینه ده چې دا ډول لیکونه په ننوتلو کې فلټر کړئ، کاروونکو ته روزنه ورکړئ چې ټولنیز انجینرۍ وپیژني، او بیا په انټي ویروسونو او سینڈ باکسونو تکیه وکړي.

په SEGda کې په محافظت کې

البته، موږ دا ادعا نه کوو چې د خوندي بریښنالیک ګیټ وے حلونه یوه درملنه ده. په نښه شوي بریدونه، په شمول د سپیر فشینګ، مخنیوی خورا ستونزمن دی ځکه چې ... هر دا ډول برید د یو ځانګړي ترلاسه کونکي (سازمان یا شخص) لپاره "وړاندیز شوی" دی. مګر د یوې شرکت لپاره چې هڅه کوي د امنیت لومړنۍ کچې چمتو کړي، دا خورا ډیر دی، په ځانګړې توګه د سمې تجربې او مهارت سره چې د دندې لپاره کارول کیږي.

ډیری وختونه ، کله چې د سپیر فشینګ ترسره کیږي ، ناوړه ضمیمې د لیکونو په بدن کې نه شاملیږي ، که نه نو د انټي سپیم سیسټم به سمدلاسه دا ډول لیک ترلاسه کونکي ته په لاره کې بند کړي. مګر دوی د لیک په متن کې د مخکې چمتو شوي ویب سرچینې لینکونه شاملوي، او بیا دا یوه کوچنۍ خبره ده. کارن لینک تعقیبوي، او بیا د څو ثانیو په اوږدو کې د څو لارښوونو وروسته په ټول سلسله کې په وروستي یو پای ته رسیږي، چې د هغې پرانستلو به د هغه کمپیوټر ته مالویر ډاونلوډ کړي.

حتی ډیر پیچلي: په هغه وخت کې چې تاسو لیک ترلاسه کوئ ، لینک ممکن بې ضرر وي او یوازې د یو څه وخت تیرولو وروسته ، کله چې دا دمخه سکین شوی او پریښودل شوی وي ، نو دا به مالویر ته لیږل پیل کړي. له بده مرغه، د سولر JSOC متخصصین، حتی د دوی وړتیاوې په پام کې نیولو سره به د دې توان ونلري چې د میل ګیټ وے تنظیم کړي ترڅو د ټول سلسلې له لارې مالویر "وګوري" (که څه هم، د محافظت په توګه، تاسو کولی شئ په لیکونو کې د ټولو لینکونو اتوماتیک بدیل وکاروئ. SEG ته، ترڅو وروستی لینک نه یوازې د لیک سپارلو په وخت کې سکین کړي، او په هر لیږد کې).

په عین وخت کې، حتی یو عادي لارښوونې د ډیری ډوله مهارتونو د راټولولو سره معامله کیدی شي، په شمول زموږ د JSOC CERT او OSINT لخوا ترلاسه شوي ډاټا. دا تاسو ته اجازه درکوي پراخ شوي تور لیستونه رامینځته کړئ، چې پر بنسټ یې حتی یو لیک چې د څو فارورډ کولو سره به بند شي.

د SEG کارول په دیوال کې یوازې یو کوچنی خښته ده چې کوم سازمان غواړي د خپلو شتمنیو د ساتنې لپاره جوړ کړي. مګر دا لینک هم اړتیا لري په سمه توګه په ټولیز انځور کې مدغم شي، ځکه چې حتی SEG، د مناسب ترتیب سره، د محافظت بشپړ وسیله بدلیدلی شي.

کیسینیا سادونینا، د سولر JSOC محصولاتو او خدماتو د متخصص پری سیل ډیپارټمنټ مشاور

سرچینه: www.habr.com