Док велики Ентерприсе гради ешалониране редуте од потенцијалних интерних нападача и хакера, пхисхинг и нежељене поште остају главобоља једноставнијих компанија. Да је Марти Мекфлај знао да 2015. (а још више 2020.) људи не само да неће измислити ховерборде, већ неће ни научити да се потпуно отарасе нежељене поште, вероватно би изгубио веру у човечанство. Штавише, спам данас није само досадан, већ често и штетан. У приближно 70% имплементација киллцхаин-а, сајбер-криминалци продиру у инфраструктуру користећи малвер који се налази у прилозима или путем пхисхинг линкова у имејловима.
Недавно је постојао јасан тренд ка ширењу друштвеног инжењеринга као начина да се продре у инфраструктуру организације. Упоређујући статистику из 2017. и 2018. године, видимо пораст од скоро 50% у броју случајева у којима је малвер испоручен на рачунаре запослених путем прилога или веза за „пецање“ у телу е-поште.
Уопштено говорећи, читав низ претњи које се могу извести путем е-поште може се поделити у неколико категорија:
- долазне нежељене поште
- укључивање рачунара организације у ботнет који шаље одлазну нежељену пошту
- злонамерни прилози и вируси у телу писма (мале компаније најчешће трпе масовне нападе попут Петиа).
Да бисте се заштитили од свих врста напада, можете или да примените неколико система за безбедност информација или да пратите путању модела услуге. Већ о Унифиед Циберсецурити Сервицес Платформи – језгру екосистема услуга за сајбер безбедност којима се управља Солар МСС. Између осталог, укључује виртуелизовану технологију Сецуре Емаил Гатеваи (СЕГ). По правилу, претплату на ову услугу купују мале компаније у којима су све функције ИТ и информационе безбедности додељене једној особи – администратору система. Спам је проблем који је увек видљив корисницима и менаџменту и не може се занемарити. Међутим, временом, чак и менаџменту постаје јасно да га је немогуће једноставно „спустити“ администратору система - потребно је превише времена.
2 сата за рашчлањивање поште је мало
Један од трговаца нам се обратио са сличном ситуацијом. Системи за праћење времена су показали да сваки дан његови запослени троше око 25% свог радног времена (2 сата!) на сређивање поштанског сандучета.
Након што смо повезали клијентов сервер поште, конфигурисали смо СЕГ инстанцу као двосмерни гатеваи и за долазну и за одлазну пошту. Почели смо да филтрирамо према унапред утврђеним политикама. Црну листу смо саставили на основу анализе података које нам је пружио купац и наших сопствених листа потенцијално опасних адреса које су добили стручњаци Солар ЈСОЦ у оквиру других услуга – на пример, праћење инцидената у безбедности информација. Након тога, сва пошта примаоцима је испоручена тек након чишћења, а разне нежељене поште о „великим попустима“ престале су да сипају на тоне на сервере поште купаца, ослобађајући простор за друге потребе.
Али било је ситуација када је легитимно писмо грешком класификовано као нежељена пошта, на пример, као да је примљено од непоузданог пошиљаоца. У овом случају смо дали право одлуке купцу. Нема много опција шта да радите: одмах га избришите или пошаљите у карантин. Изабрали смо други пут, у којем се таква нежељена пошта чува на самом СЕГ-у. Омогућили смо администратору система приступ веб конзоли, у којој је у сваком тренутку могао да пронађе важно писмо, на пример, од друге стране, и да га проследи кориснику.
Ослобађање од паразита
Услуга заштите е-поште укључује аналитичке извештаје, чија је сврха праћење безбедности инфраструктуре и ефикасности коришћених подешавања. Поред тога, ови извештаји вам омогућавају да предвидите трендове. На пример, у извештају налазимо одговарајући одељак „Нежељена пошта примаоца“ или „Нежељена пошта од пошиљаоца“ и гледамо на чију адресу стиже највећи број блокираних порука.
Нагло повећан укупан број писама једне од муштерија деловао нам је сумњиво приликом анализе таквог извештаја. Његова инфраструктура је мала, број слова мали. И одједном, након радног дана, количина блокиране нежељене поште се скоро удвостручила. Одлучили смо да погледамо изблиза.
Видимо да је повећан број одлазних писама, а сва она у пољу „Пошиљалац“ садрже адресе са домена који је повезан са сервисом заштите поште. Али постоји једна нијанса: међу сасвим разумним, можда чак и постојећим адресама, има очигледно чудних. Погледали смо ИП адресе са којих су писма послата и, сасвим очекивано, испоставило се да не припадају заштићеном адресном простору. Очигледно је да је нападач слао нежељену пошту у име клијента.
У овом случају, дали смо препоруке за купца како да правилно конфигурише ДНС записе, посебно СПФ. Наш специјалиста нас је саветовао да направимо ТКСТ запис који садржи правило „в=спф1 мк ип:1.2.3.4/23 -алл“, који садржи исцрпну листу адреса којима је дозвољено слање писама у име заштићеног домена.
Заправо, зашто је ово важно: спам у име непознате мале компаније је непријатан, али није критичан. Сасвим другачија ситуација је, на пример, у банкарској индустрији. Према нашим запажањима, ниво поверења жртве у пхисхинг емаил се вишеструко повећава ако је наводно послат са домена друге банке или друге стране познате жртви. И то разликује не само запослене у банкама, већ иу другим индустријама - на пример, енергетици - суочавамо се са истим трендом.
Убијање вируса
Али лажирање није тако чест проблем као, на пример, вирусне инфекције. Како се најчешће борите против вирусних епидемија? Инсталирају антивирус и надају се да „непријатељ неће проћи“. Али да је све тако једноставно, онда, с обзиром на прилично ниску цену антивируса, сви би одавно заборавили на проблем злонамерног софтвера. У међувремену, стално добијамо захтеве из серије „помозите нам да вратимо датотеке, све смо шифровали, посао је у застоју, подаци су изгубљени“. Никада се не умарамо да својим клијентима понављамо да антивирус није панацеја. Поред чињенице да се антивирусне базе података можда не ажурирају довољно брзо, често се сусрећемо са малвером који може да заобиђе не само антивирусне програме, већ и сандбокове.
Нажалост, мали број обичних запослених у организацијама је свестан пхисхинга и злонамерних е-порука и уме да их разликује од редовне преписке. У просеку, сваки седми корисник који се не подвргава редовном подизању свести подлеже друштвеном инжењерингу: отвара заражену датотеку или шаље своје податке нападачима.
Иако се друштвени вектор напада, генерално гледано, постепено повећава, овај тренд је посебно уочљив прошле године. „Пецање“ е-порука је постајала све сличнија редовним порукама о промоцијама, предстојећим догађајима итд. Овде можемо да се присетимо напада Силенце на финансијски сектор – запослени у банци добили су писмо наводно са промотивним кодом за учешће на популарној индустријској конференцији иФин, а проценат оних који су подлегли трику био је веома висок, мада, подсетимо се , говоримо о банкарској индустрији - најнапреднијој у питањима безбедности информација.
Пред прошлу Нову годину приметили смо и неколико прилично занимљивих ситуација када су запослени у индустријским компанијама добијали веома квалитетна пхисхинг писма са „листом“ новогодишњих промоција у популарним онлајн продавницама и са промотивним кодовима за попусте. Запослени су не само покушали да сами прате везу, већ су писмо проследили и колегама из сродних организација. Пошто је ресурс до којег је водио линк у фишинг мејлу блокиран, запослени су масовно почели да подносе захтеве ИТ служби да му се омогући приступ. Генерално, успех слања поште мора да је премашио сва очекивања нападача.
А недавно нам се за помоћ обратила компанија која је била „шифрована“. Све је почело када су запослени у рачуноводству добили писмо наводно од Централне банке Руске Федерације. Рачуновођа је кликнуо на везу у писму и преузео ВаннаМине рудар на своју машину, који је, као и чувени ВаннаЦри, искористио рањивост ЕтерналБлуе. Најинтересантније је да је већина антивируса успела да открије његове потписе од почетка 2018. године. Али, или је антивирус био онемогућен, или базе података нису ажуриране, или га уопште није било – у сваком случају, рудар је већ био на рачунару и ништа га није спречило да се даље шири по мрежи, учитавајући сервере. ЦПУ и радне станице на 100% .
Овај купац је, након што је добио извештај од нашег форензичког тима, видео да је вирус првобитно продро у њега путем е-поште и покренуо је пилот пројекат повезивања услуге заштите е-поште. Прва ствар коју смо поставили био је антивирус за е-пошту. Истовремено, скенирање малвера се врши стално, а ажурирања потписа су се у почетку обављала сваких сат времена, а затим је корисник прешао на два пута дневно.
Потпуна заштита од вирусних инфекција мора бити слојевита. Ако говоримо о преношењу вируса путем мејла, онда је потребно на улазу филтрирати таква писма, обучити кориснике да препознају друштвени инжењеринг, а затим се ослонити на антивирусе и сандбокове.
у СЕГда на стражи
Наравно, ми не тврдимо да су решења Сецуре Емаил Гатеваи решење за лек. Циљане нападе, укључујући спеар пхисхинг, изузетно је тешко спречити јер... Сваки такав напад је „скројен“ за одређеног примаоца (организацију или особу). Али за компанију која покушава да обезбеди основни ниво безбедности, ово је много, посебно уз право искуство и стручност примењену на задатак.
Најчешће, када се врши спеар пхисхинг, злонамерни прилози нису укључени у тело писама, иначе ће антиспам систем одмах блокирати такво писмо на путу до примаоца. Али они укључују везе до унапред припремљеног веб ресурса у тексту писма, а онда је то мала ствар. Корисник следи везу, а затим после неколико преусмеравања у неколико секунди завршава на последњем у целом ланцу, чије отварање ће преузети малвер на његов рачунар.
Још софистицираније: у тренутку када примите писмо, веза може бити безопасна и тек након неког времена, када је већ скенирана и прескочена, почиње да се преусмерава на малвер. Нажалост, стручњаци Солар ЈСОЦ, чак и узимајући у обзир њихове компетенције, неће моћи да конфигуришу мејл гатеваи тако да „виде“ малвер кроз цео ланац (иако, као заштиту, можете користити аутоматску замену свих линкова у словима на СЕГ, тако да овај други скенира везу не само у тренутку испоруке писма, већ и при сваком прелазу).
У међувремену, чак и типично преусмеравање се може решити агрегацијом неколико врста експертизе, укључујући податке добијене од стране нашег ЈСОЦ ЦЕРТ-а и ОСИНТ-а. Ово вам омогућава да креирате проширене црне листе, на основу којих ће чак и писмо са вишеструким прослеђивањем бити блокирано.
Коришћење СЕГ-а је само мала цигла у зиду коју свака организација жели да изгради да би заштитила своју имовину. Али ова веза такође треба да буде правилно интегрисана у целокупну слику, јер се чак и СЕГ, уз одговарајућу конфигурацију, може претворити у пуноправно средство заштите.
Ксенија Садунина, консултант стручног одељења за претпродају производа и услуга Солар ЈСОЦ
Извор: ввв.хабр.цом