În timp ce marea întreprindere construiește redute eșalonate de la potențialii atacatori și hackeri interni, phishing-ul și mesajele de tip spam rămân o durere de cap pentru companiile mai simple. Dacă Marty McFly ar ști că în 2015 (și cu atât mai mult în 2020) oamenii nu numai că nu vor inventa hoverboard-uri, dar nici nu ar învăța să scape complet de mesajele nedorite, probabil că și-ar pierde încrederea în umanitate. Mai mult decât atât, spam-ul de astăzi nu este doar enervant, ci adesea dăunător. În aproximativ 70% din implementările killchain-ului, infractorii cibernetici pătrund în infrastructură folosind programe malware conținute în atașamente sau prin link-uri de phishing din e-mailuri.
Recent, a existat o tendință clară de răspândire a ingineriei sociale ca o modalitate de a pătrunde în infrastructura unei organizații. Comparând statisticile din 2017 și 2018, observăm o creștere cu aproape 50% a numărului de cazuri în care malware a fost livrat computerelor angajaților prin atașamente sau link-uri de phishing în corpul unui e-mail.
În general, întreaga gamă de amenințări care pot fi efectuate folosind e-mailul poate fi împărțită în mai multe categorii:
- spam primit
- includerea computerelor unei organizații într-o rețea bot care trimite spam
- atașamente rău intenționate și viruși din corpul scrisorii (companiile mici suferă cel mai adesea de atacuri masive precum Petya).
Pentru a vă proteja împotriva tuturor tipurilor de atacuri, puteți fie să implementați mai multe sisteme de securitate a informațiilor, fie să urmați calea unui model de serviciu. Noi deja despre Platforma de servicii de securitate cibernetică unificată - nucleul ecosistemului de servicii de securitate cibernetică gestionată Solar MSS. Printre altele, include tehnologia virtualizată Secure Email Gateway (SEG). De regulă, un abonament la acest serviciu este achiziționat de companiile mici, în care toate funcțiile IT și de securitate a informațiilor sunt atribuite unei singure persoane - administratorul de sistem. Spamul este o problemă care este întotdeauna vizibilă pentru utilizatori și management și nu poate fi ignorată. Cu toate acestea, în timp, chiar și managementul devine clar că este imposibil să-l „arunci” pur și simplu administratorului de sistem - durează prea mult timp.
2 ore pentru a analiza corespondența este puțin cam mult
Unul dintre retaileri ne-a abordat cu o situatie similara. Sistemele de urmărire a timpului au arătat că în fiecare zi angajații săi petreceau aproximativ 25% din timpul lor de lucru (2 ore!) pentru a sorta cutia poștală.
După ce am conectat serverul de e-mail al clientului, am configurat instanța SEG ca o poartă bidirecțională atât pentru e-mailul primit, cât și pentru cel trimis. Am început filtrarea conform politicilor prestabilite. Am compilat Lista Neagră pe baza unei analize a datelor furnizate de client și a propriilor liste de adrese potențial periculoase obținute de experții Solar JSOC ca parte a altor servicii - de exemplu, monitorizarea incidentelor de securitate a informațiilor. După aceea, toate e-mailurile au fost livrate destinatarilor numai după curățare, iar diverse mesaje spam despre „reduceri mari” au încetat să se reverse în serverele de e-mail ale clientului în tone, eliberând spațiu pentru alte nevoi.
Dar au existat situații în care o scrisoare legitimă a fost clasificată în mod eronat drept spam, de exemplu, ca fiind primită de la un expeditor neîncrezător. În acest caz, am acordat clientului dreptul de decizie. Nu există multe opțiuni cu privire la ce să faci: șterge-l imediat sau trimite-l în carantină. Am ales a doua cale, în care un astfel de mesaj nedorit este stocat pe SEG însuși. I-am oferit administratorului de sistem acces la consola web, în care acesta putea găsi o scrisoare importantă în orice moment, de exemplu, de la o contraparte, și să o transmită utilizatorului.
A scăpa de paraziți
Serviciul de protecție a e-mailului include rapoarte analitice, al căror scop este monitorizarea securității infrastructurii și eficacitatea setărilor utilizate. În plus, aceste rapoarte vă permit să preziceți tendințele. De exemplu, găsim în raport secțiunea corespunzătoare „Spam by Recipient” sau „Spam by Sender” și ne uităm la adresa cui primește cel mai mare număr de mesaje blocate.
În timpul analizării unui astfel de raport, numărul total crescut de scrisori de la unul dintre clienți ni s-a părut suspect. Infrastructura sa este mică, numărul de litere este redus. Și brusc, după o zi de lucru, cantitatea de spam blocat aproape sa dublat. Am decis să aruncăm o privire mai atentă.
Vedem că numărul de scrisori trimise a crescut, iar toate acestea din câmpul „Expeditor” conțin adrese dintr-un domeniu care este conectat la serviciul de protecție a corespondenței. Dar există o nuanță: printre adresele destul de sănătoase, poate chiar existente, există unele în mod clar ciudate. Ne-am uitat la IP-urile de la care au fost trimise scrisorile și, destul de așteptat, s-a dovedit că nu aparțin spațiului de adrese protejat. Evident, atacatorul trimitea spam în numele clientului.
În acest caz, am făcut recomandări pentru client cu privire la modul de configurare corectă a înregistrărilor DNS, în special SPF. Specialistul nostru ne-a sfătuit să creăm o înregistrare TXT care să conțină regula „v=spf1 mx ip:1.2.3.4/23 -all”, care conține o listă exhaustivă de adrese care au voie să trimită scrisori în numele domeniului protejat.
De fapt, de ce este important acest lucru: spamul din partea unei companii mici necunoscute este neplăcut, dar nu critic. Situația este complet diferită, de exemplu, în industria bancară. Conform observațiilor noastre, nivelul de încredere al victimei într-un e-mail de phishing crește de multe ori dacă se presupune că este trimis din domeniul altei bănci sau al unei contrapărți cunoscute de victimă. Și acest lucru îi distinge nu numai pe angajații băncilor din alte industrii - sectorul energetic de exemplu - ne confruntăm cu aceeași tendință.
Uciderea virușilor
Dar falsificarea nu este o problemă la fel de frecventă ca, de exemplu, infecțiile virale. Cum te lupți cel mai adesea cu epidemiile virale? Ei instalează un antivirus și speră că „inamicul nu va trece”. Dar dacă totul ar fi atât de simplu, atunci, având în vedere costul destul de scăzut al antivirusurilor, toată lumea ar fi uitat de mult de problema malware-ului. Între timp, primim în mod constant solicitări de la seria „ajută-ne să restaurăm fișierele, am criptat totul, munca este blocată, datele se pierd”. Nu ne obosim să repetăm clienților noștri că antivirusul nu este un panaceu. Pe lângă faptul că bazele de date antivirus ar putea să nu fie actualizate suficient de repede, întâlnim adesea programe malware care pot ocoli nu numai antivirusurile, ci și sandbox-urile.
Din păcate, puțini angajați obișnuiți ai organizațiilor sunt conștienți de phishing și e-mailuri rău intenționate și sunt capabili să le distingă de corespondența obișnuită. În medie, fiecare al șaptelea utilizator care nu este supus unei activități regulate de conștientizare cedează în fața ingineriei sociale: deschiderea unui fișier infectat sau trimiterea datelor lor către atacatori.
Deși vectorul social al atacurilor, în general, a crescut treptat, această tendință a devenit deosebit de remarcabilă anul trecut. E-mailurile de phishing deveneau din ce în ce mai asemănătoare cu e-mailurile obișnuite despre promoții, evenimente viitoare etc. Aici ne putem aminti de atacul Silence asupra sectorului financiar - angajații băncii au primit o scrisoare presupus cu un cod promoțional pentru participarea la populara conferință din industrie iFin, iar procentul celor care au cedat trucului a fost foarte mare, deși, să ne amintim , vorbim despre industria bancară - cea mai avansată în materie de securitate a informațiilor.
Înainte de ultimul An Nou, am observat și câteva situații destul de curioase când angajații companiilor industriale au primit scrisori de phishing de foarte înaltă calitate cu o „listă” de promoții de Anul Nou în magazinele online populare și cu coduri promoționale pentru reduceri. Angajații nu numai că au încercat să urmeze ei înșiși linkul, ci au transmis scrisoarea și colegilor din organizațiile conexe. Din moment ce resursa la care ducea linkul din e-mailul de phishing a fost blocată, angajații au început în masă să trimită cereri către serviciul IT pentru a oferi acces la aceasta. În general, succesul mailing-ului trebuie să fi depășit toate așteptările atacatorilor.
Și recent o companie care a fost „criptată” a apelat la noi pentru ajutor. Totul a început când angajații contabili au primit o scrisoare presupus de la Banca Centrală a Federației Ruse. Contabilul a făcut clic pe linkul din scrisoare și a descărcat minerul WannaMine pe mașina lui, care, la fel ca faimosul WannaCry, a exploatat vulnerabilitatea EternalBlue. Cel mai interesant lucru este că majoritatea antivirusurilor au reușit să-i detecteze semnăturile de la începutul anului 2018. Dar, fie antivirusul a fost dezactivat, fie bazele de date nu au fost actualizate, fie nu era deloc acolo - în orice caz, minerul era deja pe computer și nimic nu l-a împiedicat să se răspândească mai mult în rețea, încărcând serverele. CPU și stații de lucru la 100%.
Acest client, după ce a primit un raport de la echipa noastră de criminalistică, a văzut că virusul l-a pătruns inițial prin e-mail și a lansat un proiect pilot pentru a conecta un serviciu de protecție a e-mailului. Primul lucru pe care l-am configurat a fost un antivirus de e-mail. În același timp, scanarea pentru malware este efectuată în mod constant, iar actualizările semnăturilor au fost efectuate inițial la fiecare oră, iar apoi clientul a trecut la de două ori pe zi.
Trebuie asigurată o protecție completă împotriva infecțiilor virale. Dacă vorbim despre transmiterea virușilor prin e-mail, atunci este necesar să se filtreze astfel de scrisori la intrare, să antreneze utilizatorii să recunoască ingineria socială și apoi să se bazeze pe antivirusuri și sandbox-uri.
în SEGda de gardă
Desigur, nu pretindem că soluțiile Secure Email Gateway sunt un panaceu. Atacurile direcționate, inclusiv spear phishing, sunt extrem de dificil de prevenit deoarece... Fiecare astfel de atac este „personalizat” pentru un anumit destinatar (organizație sau persoană). Dar pentru o companie care încearcă să ofere un nivel de bază de securitate, acest lucru este mult, mai ales cu experiența și expertiza potrivite aplicate sarcinii.
Cel mai adesea, atunci când se efectuează spear phishing, atașamentele rău intenționate nu sunt incluse în corpul scrisorilor, altfel sistemul antispam va bloca imediat o astfel de scrisoare în drumul către destinatar. Dar includ link-uri către o resursă web pregătită în prealabil în textul scrisorii, iar apoi este o problemă mică. Utilizatorul urmărește linkul și apoi, după mai multe redirecționări, în câteva secunde ajunge pe ultima din întregul lanț, a cărei deschidere va descărca malware pe computerul său.
Și mai sofisticat: în momentul în care primiți scrisoarea, linkul poate fi inofensiv și numai după ce a trecut ceva timp, când a fost deja scanat și omis, va începe să redirecționeze către malware. Din păcate, specialiștii Solar JSOC, chiar și ținând cont de competențele lor, nu vor putea configura gateway-ul de e-mail astfel încât să „vadă” malware-ul prin întreg lanțul (deși, ca protecție, puteți folosi înlocuirea automată a tuturor legăturilor în litere). către SEG, astfel încât acesta din urmă scanează linkul nu numai la momentul livrării scrisorii și la fiecare tranziție).
Între timp, chiar și o redirecționare tipică poate fi tratată prin agregarea mai multor tipuri de expertiză, inclusiv date obținute de către JSOC CERT și OSINT. Acest lucru vă permite să creați liste negre extinse, pe baza cărora chiar și o scrisoare cu redirecționare multiplă va fi blocată.
Utilizarea SEG este doar o cărămidă mică în zid pe care orice organizație dorește să o construiască pentru a-și proteja activele. Dar și această legătură trebuie integrată corect în imaginea de ansamblu, deoarece chiar și SEG, cu o configurație adecvată, poate fi transformată într-un mijloc de protecție cu drepturi depline.
Ksenia Sadunina, consultant al departamentului expert de pre-vânzare al produselor și serviciilor Solar JSOC
Sursa: www.habr.com