Ndërsa Ndërmarrja e madhe po ndërton dyshime të shkallëzuara nga sulmuesit dhe hakerat e brendshëm të mundshëm, phishing dhe postimet e padëshiruara mbeten një dhimbje koke për kompanitë më të thjeshta. Nëse Marty McFly do ta dinte se në vitin 2015 (dhe aq më tepër në 2020) njerëzit jo vetëm që nuk do të shpiknin hoverboard, por as nuk do të mësonin të hiqnin qafe plotësisht postat e padëshiruara, ai me siguri do të humbiste besimin te njerëzimi. Për më tepër, spami sot nuk është vetëm i bezdisshëm, por shpeshherë i dëmshëm. Në afërsisht 70% të zbatimeve të killchain, kriminelët kibernetikë depërtojnë në infrastrukturë duke përdorur malware të përfshirë në bashkëngjitjet ose përmes lidhjeve të phishing në email.
Kohët e fundit, ka pasur një prirje të qartë drejt përhapjes së inxhinierisë sociale si një mënyrë për të depërtuar në infrastrukturën e një organizate. Duke krahasuar statistikat e vitit 2017 dhe 2018, ne shohim një rritje pothuajse 50% të numrit të rasteve kur malware iu dorëzuan kompjuterëve të punonjësve përmes bashkëngjitjeve ose lidhjeve të phishing në trupin e një emaili.
Në përgjithësi, e gjithë gama e kërcënimeve që mund të kryhen duke përdorur postën elektronike mund të ndahet në disa kategori:
- spam hyrëse
- përfshirja e kompjuterëve të një organizate në një botnet që dërgon spam në dalje
- bashkëngjitjet me qëllim të keq dhe viruset në trupin e letrës (kompanitë e vogla më së shpeshti vuajnë nga sulme masive si Petya).
Për t'u mbrojtur nga të gjitha llojet e sulmeve, mund të vendosni disa sisteme sigurie informacioni ose të ndiqni rrugën e një modeli shërbimi. Ne tashmë në lidhje me Platformën e Shërbimeve të Unifikuar të Sigurisë Kibernetike - thelbi i ekosistemit të shërbimeve të sigurisë kibernetike të menaxhuara nga Solar MSS. Ndër të tjera, ai përfshin teknologjinë e virtualizuar Secure Email Gateway (SEG). Si rregull, një abonim në këtë shërbim blihet nga kompani të vogla në të cilat të gjitha funksionet e IT dhe sigurisë së informacionit i caktohen një personi - administratorit të sistemit. Spam-i është një problem që është gjithmonë i dukshëm për përdoruesit dhe menaxhmentin dhe nuk mund të injorohet. Sidoqoftë, me kalimin e kohës, edhe menaxhimi bëhet i qartë se është e pamundur thjesht ta "heqësh" atë te administratori i sistemit - kërkon shumë kohë.
2 orë për të analizuar postën është pak
Një nga shitësit me pakicë na u afrua me një situatë të ngjashme. Sistemet e gjurmimit të kohës treguan se çdo ditë punonjësit e tij shpenzonin rreth 25% të kohës së tyre të punës (2 orë!) për të renditur kutinë postare.
Pasi lidhëm serverin e postës së klientit, ne konfiguruam shembullin SEG si një portë me dy drejtime për postën hyrëse dhe dalëse. Filluam filtrimin sipas politikave të paracaktuara. Ne përpiluam listën e zezë bazuar në një analizë të të dhënave të ofruara nga klienti dhe listat tona të adresave potencialisht të rrezikshme të marra nga ekspertët e Solar JSOC si pjesë e shërbimeve të tjera - për shembull, monitorimi i incidenteve të sigurisë së informacionit. Pas kësaj, e gjithë posta iu dorëzua marrësve vetëm pas pastrimit, dhe postimet e ndryshme të spam-it për "zbritje të mëdha" pushuan së derdhuri në serverët e postës së klientit në ton, duke liruar hapësirë për nevoja të tjera.
Por ka pasur situata kur një letër legjitime është klasifikuar gabimisht si e padëshiruar, për shembull, si e marrë nga një dërgues i pabesueshëm. Në këtë rast, ne i dhamë të drejtën e vendimit klientit. Nuk ka shumë opsione se çfarë të bëni: fshijeni menjëherë ose dërgoni në karantinë. Ne zgjodhëm rrugën e dytë, në të cilën posta të tilla të padëshiruara ruhen në vetë SEG. Ne i siguruam administratorit të sistemit qasje në tastierën e uebit, në të cilën ai mund të gjente një letër të rëndësishme në çdo kohë, për shembull, nga një palë tjetër, dhe t'ia dërgonte atë përdoruesit.
Largimi i parazitëve
Shërbimi i mbrojtjes së emailit përfshin raporte analitike, qëllimi i të cilave është të monitorojë sigurinë e infrastrukturës dhe efektivitetin e cilësimeve të përdorura. Përveç kësaj, këto raporte ju lejojnë të parashikoni tendencat. Për shembull, ne gjejmë seksionin përkatës "Spam nga Marrësi" ose "Spam nga Dërguesi" në raport dhe shikojmë adresën e kujt merr numrin më të madh të mesazheve të bllokuara.
Pikërisht gjatë analizimit të një raporti të tillë, numri i përgjithshëm i letrave në rritje nga një prej klientëve na dukej i dyshimtë. Infrastruktura e saj është e vogël, numri i shkronjave është i ulët. Dhe befas, pas një dite pune, sasia e spamit të bllokuar pothuajse u dyfishua. Ne vendosëm të hedhim një vështrim më të afërt.
Ne shohim që numri i letrave dalëse është rritur dhe të gjitha ato në fushën "Dërguesi" përmbajnë adresa nga një domen që është i lidhur me shërbimin e mbrojtjes së postës. Por ka një nuancë: midis adresave mjaft të arsyeshme, ndoshta edhe ekzistuese, ka qartësisht të çuditshme. Ne shikuam IP-të nga të cilat dërgoheshin letrat dhe, krejt e pritshme, rezultoi se ato nuk i përkisnin hapësirës së mbrojtur të adresave. Natyrisht, sulmuesi po dërgonte spam në emër të klientit.
Në këtë rast, ne kemi bërë rekomandime për klientin se si të konfigurojnë saktë regjistrimet DNS, veçanërisht SPF. Specialisti ynë na këshilloi të krijonim një regjistrim TXT që përmban rregullin "v=spf1 mx ip:1.2.3.4/23 -të gjitha", i cili përmban një listë shteruese të adresave që lejohen të dërgojnë letra në emër të domenit të mbrojtur.
Në fakt, pse kjo është e rëndësishme: postimi i padëshiruar në emër të një kompanie të vogël të panjohur është i pakëndshëm, por jo kritik. Situata është krejtësisht e ndryshme, për shembull, në industrinë bankare. Sipas vëzhgimeve tona, niveli i besimit të viktimës në një email phishing rritet shumë herë nëse ai supozohet se është dërguar nga domeni i një banke tjetër ose nga një palë tjetër e njohur për viktimën. Dhe kjo i dallon jo vetëm punonjësit e bankës; në industri të tjera - për shembull, energjia - ne përballemi me të njëjtën tendencë.
Vrasja e viruseve
Por mashtrimi nuk është një problem aq i zakonshëm sa, për shembull, infeksionet virale. Si i luftoni më shpesh epidemitë virale? Ata instalojnë një antivirus dhe shpresojnë se "armiku nuk do të kalojë". Por nëse gjithçka do të ishte kaq e thjeshtë, atëherë, duke pasur parasysh koston mjaft të ulët të antiviruseve, të gjithë do të kishin harruar shumë kohë më parë problemin e malware. Ndërkohë, ne marrim vazhdimisht kërkesa nga seria "na ndihmoni të rivendosim skedarët, kemi koduar gjithçka, puna është bllokuar, të dhënat humbasin". Ne kurrë nuk lodhemi duke u përsëritur klientëve tanë se antivirusi nuk është një ilaç. Përveç faktit që bazat e të dhënave antivirus mund të mos përditësohen mjaft shpejt, shpesh hasim malware që mund të anashkalojnë jo vetëm antiviruset, por edhe sandboxet.
Fatkeqësisht, pak punonjës të zakonshëm të organizatave janë të vetëdijshëm për phishing dhe emaile me qëllim të keq dhe janë në gjendje t'i dallojnë ato nga korrespondenca e rregullt. Mesatarisht, çdo përdorues i 7-të që nuk i nënshtrohet rregullisht rritjes së ndërgjegjësimit i nënshtrohet inxhinierisë sociale: hapja e një skedari të infektuar ose dërgimi i të dhënave të tij te sulmuesit.
Edhe pse vektori social i sulmeve në përgjithësi ka ardhur duke u rritur gradualisht, ky trend është bërë veçanërisht i dukshëm vitin e kaluar. Emailet e phishing po bëheshin gjithnjë e më shumë të ngjashme me postimet e rregullta në lidhje me promovimet, ngjarjet e ardhshme, etj. Këtu mund të kujtojmë sulmin e heshtjes ndaj sektorit financiar - punonjësit e bankës morën një letër gjoja me një kod promovues për pjesëmarrje në konferencën popullore të industrisë iFin, dhe përqindja e atyre që iu nënshtruan mashtrimit ishte shumë e lartë, megjithëse, le të kujtojmë , po flasim për industrinë bankare - më e avancuara në çështjet e sigurisë së informacionit.
Para Vitit të Ri të fundit, ne vëzhguam gjithashtu disa situata mjaft kurioze kur punonjësit e kompanive industriale morën letra phishing me një "listë" të promovimeve të Vitit të Ri në dyqanet e njohura online dhe me kode promovuese për zbritje. Punonjësit jo vetëm që u përpoqën të ndiqnin vetë lidhjen, por gjithashtu ia përcollën letrën kolegëve nga organizatat e lidhura. Meqenëse burimi tek i cili çonte lidhja në emailin e phishing ishte bllokuar, punonjësit filluan masivisht të paraqesin kërkesa në shërbimin e IT-së për të siguruar akses në të. Në përgjithësi, suksesi i postimeve duhet të ketë tejkaluar të gjitha pritjet e sulmuesve.
Dhe së fundmi, një kompani që ishte "kriptuar" na u kthye për ndihmë. E gjitha filloi kur punonjësit e kontabilitetit morën një letër gjoja nga Banka Qendrore e Federatës Ruse. Kontabilisti klikoi në lidhjen në letër dhe shkarkoi minatorin WannaMine në kompjuterin e tij, i cili, si WannaCry i famshëm, shfrytëzoi dobësinë EternalBlue. Gjëja më interesante është se shumica e antivirusëve kanë mundur të zbulojnë nënshkrimet e tij që nga fillimi i vitit 2018. Por, ose antivirusi u çaktivizua, ose bazat e të dhënave nuk u përditësuan, ose nuk ishte fare atje - në çdo rast, minatori ishte tashmë në kompjuter dhe asgjë nuk e pengoi atë të përhapej më tej në të gjithë rrjetin, duke ngarkuar serverët' CPU dhe stacionet e punës në 100%.
Ky klient, pasi mori një raport nga ekipi ynë i mjekësisë ligjore, pa që virusi fillimisht depërtoi tek ai përmes emailit dhe nisi një projekt pilot për të lidhur një shërbim të mbrojtjes së emailit. Gjëja e parë që vendosëm ishte një antivirus me email. Në të njëjtën kohë, skanimi për malware kryhet vazhdimisht, dhe përditësimet e nënshkrimit fillimisht kryheshin çdo orë, dhe më pas klienti kaloi në dy herë në ditë.
Mbrojtja e plotë kundër infeksioneve virale duhet të shtresohet. Nëse flasim për transmetimin e viruseve përmes postës elektronike, atëherë është e nevojshme të filtrohen letra të tilla në hyrje, të trajnohen përdoruesit të njohin inxhinierinë sociale dhe më pas të mbështeten në antiviruse dhe kuti rëre.
në SEGda në roje
Sigurisht, ne nuk pretendojmë se zgjidhjet e Secure Email Gateway janë një ilaç. Sulmet e synuara, duke përfshirë phishing me shtizë, janë jashtëzakonisht të vështira për t'u parandaluar sepse... Çdo sulm i tillë është "përshtatur" për një marrës të veçantë (organizatë ose person). Por për një kompani që përpiqet të sigurojë një nivel bazë sigurie, kjo është shumë, veçanërisht me përvojën dhe ekspertizën e duhur të aplikuar në detyrë.
Më shpesh, kur kryhet phishing me shtizë, bashkëngjitjet me qëllim të keq nuk përfshihen në trupin e letrave, përndryshe sistemi antispam do të bllokojë menjëherë një letër të tillë në rrugën e saj drejt marrësit. Por ato përfshijnë lidhje me një burim ueb të përgatitur paraprakisht në tekstin e letrës, dhe më pas është një çështje e vogël. Përdoruesi ndjek lidhjen dhe më pas pas disa ridrejtimeve në pak sekonda përfundon në të fundit në të gjithë zinxhirin, hapja e të cilit do të shkarkojë malware në kompjuterin e tij.
Edhe më i sofistikuar: në momentin që merrni letrën, lidhja mund të jetë e padëmshme dhe vetëm pasi të ketë kaluar një kohë, kur të jetë skanuar dhe kapërcyer tashmë, do të fillojë të ridrejtohet te malware. Fatkeqësisht, specialistët e Solar JSOC, edhe duke marrë parasysh kompetencat e tyre, nuk do të jenë në gjendje të konfigurojnë portën e postës në mënyrë që të "shohin" malware në të gjithë zinxhirin (megjithëse, si mbrojtje, mund të përdorni zëvendësimin automatik të të gjitha lidhjeve me shkronja në SEG, në mënyrë që ky i fundit të skanojë lidhjen jo vetëm në momentin e dorëzimit të letrës, dhe në çdo tranzicion).
Ndërkohë, edhe një ridrejtim tipik mund të trajtohet nga grumbullimi i disa llojeve të ekspertizës, duke përfshirë të dhënat e marra nga JSOC CERT dhe OSINT. Kjo ju lejon të krijoni lista të zeza të zgjeruara, në bazë të të cilave do të bllokohet edhe një letër me përcjellje të shumëfishtë.
Përdorimi i SEG është vetëm një tullë e vogël në mur që çdo organizatë dëshiron të ndërtojë për të mbrojtur asetet e saj. Por kjo lidhje gjithashtu duhet të integrohet saktë në pamjen e përgjithshme, sepse edhe SEG, me konfigurimin e duhur, mund të shndërrohet në një mjet mbrojtjeje të plotë.
Ksenia Sadunina, konsulente e departamentit të ekspertëve të parashitjes së produkteve dhe shërbimeve Solar JSOC
Burimi: www.habr.com