Sanaos perusahaan ageung ngawangun pertahanan anu berlapis-lapis ngalawan panyerang internal sareng peretas poténsial, email phishing sareng spam tetep janten masalah pikeun perusahaan anu langkung alit. Upami Marty McFly terang yén dina taun 2015 (sareng pastina sanés dina taun 2020) jalma-jalma moal nyiptakeun hoverboard, apalagi diajar kumaha ngaleungitkeun spam sacara lengkep, anjeunna sigana bakal kaleungitan kapercayaan kana umat manusa. Leuwih ti éta, spam ayeuna henteu ngan ukur ngaganggu, tapi sering jahat. Dina sakitar 70% serangan ranté pembunuhan, penjahat siber nembus infrastruktur ngalangkungan malware anu aya dina lampiran atanapi ngalangkungan tautan phishing dina email.
Anyar-anyar ieu, aya tren anu jelas nuju panyebaran rékayasa sosial salaku cara pikeun nembus infrastruktur organisasi. Ngabandingkeun statistik ti taun 2017 sareng 2018, urang niténan paningkatan ampir 50 persén dina jumlah kasus dimana malware dikirimkeun ka komputer karyawan ngalangkungan lampiran atanapi tautan phishing dina email.
Sacara umum, sakabéh spéktrum ancaman anu tiasa diimplementasikeun nganggo email tiasa dibagi kana sababaraha kategori:
- spam anu asup
- kaasupna komputer hiji organisasi kana botnet anu ngirim spam kaluar
- Lampiran jahat sareng virus dina awak email (pausahaan alit paling sering kapangaruhan ku serangan massal sapertos Petya).
Pikeun ngajaga tina sagala rupa serangan, anjeun tiasa nerapkeun sababaraha sistem kaamanan inpormasi atanapi nganggo modél layanan. Kami parantos Ngeunaan Platform Layanan Kaamanan Siber Terpadu—inti tina ékosistem layanan kaamanan siber anu dikelola ku Solar MSS. Diantarana, éta kalebet téknologi Secure Email Gateway (SEG) anu divirtualisasikeun. Biasana, layanan ieu dilanggan ku perusahaan alit, dimana sadaya fungsi kaamanan IT sareng inpormasi diurus ku hiji jalma—administrator sistem. Spam mangrupikeun masalah anu salawasna aya dina radar pangguna sareng manajemen, sareng penting pikeun ngungkulan éta. Nanging, kana waktosna, bahkan manajemen sadar yén ngan saukur ngalungkeun éta ka administrator sistem sanés pilihan—éta nyéépkeun waktos teuing.
2 jam kanggo ngurutkeun email rada lila.
Aya padagang ritel anu ngahubungi kami pikeun kaayaan anu sami. Sistem pelacak waktos nunjukkeun yén karyawanana nyéépkeun sakitar 25% tina waktos damel sadidintenna (dua jam!) pikeun milah-milah kotak suratna.
Saatos nyambungkeun server surat konsumén, kami ngonpigurasikeun instansi SEG salaku gerbang dua arah pikeun surat anu lebet sareng anu kaluar. Kami ngaluncurkeun panyaringan dumasar kana kawijakan anu parantos ditetepkeun. Kami nyiptakeun daptar hideung dumasar kana analisis data anu disayogikeun ku konsumén sareng daptar alamat anu berpotensi bahaya anu diala ku ahli Solar JSOC ngalangkungan jasa sanés, sapertos pangawasan kajadian kaamanan inpormasi. Saatos ieu, sadaya surat dikirimkeun ka panampi ngan saatos dibersihkeun, sareng email spam ngeunaan "diskon ageung" lirén ngabanjiran server surat konsumén, ngosongkeun rohangan pikeun kabutuhan anu sanés.
Nanging, aya sababaraha kaayaan dimana email anu sah sacara salah diklasifikasikeun salaku spam, contona, asalna ti pangirim anu teu dipercaya. Dina kasus ieu, kami masrahkeun kaputusan ka klien. Pilihanana terbatas: ngahapus langsung atanapi karantina. Kami milih anu terakhir, anu nyimpen email anu teu dihoyongkeun sapertos kitu dina SEG nyalira. Kami nyayogikeun administrator sistem aksés ka konsol wéb, dimana aranjeunna tiasa mendakan email penting iraha waé, contona, ti kontraktor, sareng ngarahkeunana ka pangguna.
Ngaleungitkeun parasit
Layanan kaamanan email ngawengku laporan analitis anu dirancang pikeun ngawas kaamanan infrastruktur anjeun sareng efektivitas setélan anjeun. Laporan ieu ogé ngamungkinkeun anjeun pikeun ngaramal tren. Salaku conto, urang tiasa mendakan bagian "Spam ku Panampi" atanapi "Spam ku Pangirim" anu saluyu dina laporan sareng ningali alamat mana anu nampi pesen anu paling diblokir.
Nalika nganalisis laporan sapertos kitu, kami curiga kana paningkatan anu seukeut dina jumlah email sacara umum di salah sahiji klien kami. Infrastrukturna alit, sareng volume emailna handap. Teras, saatos damel, jumlah spam anu diblokir ampir dua kali lipat. Kami mutuskeun pikeun mariksa langkung caket.
Urang ningali paningkatan jumlah email anu kaluar, sareng kolom "Pangirim" dina sadayana ngandung alamat ti domain anu nyambung ka layanan panyalindungan email. Tapi aya hiji hal anu kedah diperhatoskeun: di antara alamat anu masuk akal, bahkan kamungkinan aya, aya sababaraha anu jelas-jelas teu pas. Urang ningali alamat IP anu ngirim email, sareng, sapertos anu tiasa diprediksi, tétéla éta henteu aya dina rohangan alamat anu dijaga. Jelas, panyerang ngirim spam atas nama klien.
Dina hal ieu, kami masihan klien saran ngeunaan kumaha ngonpigurasikeun rékaman DNS kalayan leres, khususna SPF. Spesialis kami nyarankeun pikeun nyiptakeun rékaman TXT anu ngandung aturan "v=spf1 mx ip:1.2.3.4/23 -all," anu ngandung daptar lengkep alamat anu diidinan ngirim email atas nama domain anu dijaga.
Ieu alesan kunaon ieu penting: spam ti perusahaan leutik anu teu dikenal memang teu pikaresepeun, tapi sanés hal anu penting. Kaayaanana rada béda, contona, dina industri perbankan. Numutkeun pangamatan kami, kapercayaan korban kana email phishing ningkat sacara éksponénsial upami email éta sigana dikirim ti domain bank sanés atanapi pihak anu dikenal. Sareng ieu henteu ngan ukur lumaku pikeun karyawan perbankan; kami ningali tren anu sami dina industri sanés, sapertos séktor énergi.
Maéhan virus
Tapi spoofing sanés masalah anu umum sapertos, contona, inféksi virus. Sareng kumaha jalma biasana ngalawan wabah virus? Aranjeunna masang antivirus sareng ngarepkeun yén "musuh moal tiasa ngalangkungan." Tapi upami saderhana kitu, maka, kumargi biaya parangkat lunak antivirus anu relatif murah, sadayana bakal lami hilap ngeunaan malware. Samentawis éta, kami teras-terasan nampi pamundut sapertos "bantosan kami mulangkeun file, sadayana dienkripsi, padamelan parantos eureun, data parantos leungit." Kami henteu pernah bosen nyarios ka konsumén kami yén parangkat lunak antivirus sanés ubar mujarab. Salian ti kanyataan yén database antivirus panginten henteu diropéa gancang, kami sering mendakan malware anu henteu ngan ukur tiasa ngalangkungan parangkat lunak antivirus tapi ogé sandbox.
Hanjakalna, saeutik pisan karyawan biasa anu sadar kana phishing sareng email jahat sareng tiasa ngabédakeunana tina korespondensi biasa. Rata-rata, hiji ti tujuh pangguna anu henteu nampi pelatihan kasadaran rutin éléh ku rékayasa sosial, muka file anu kainféksi atanapi ngirim datana ka panyerang.
Sanaos vektor serangan sosial sacara umum laun-laun ningkat, tren ieu janten katingali pisan taun kamari. Surelek phishing beuki mirip sareng surélék anu biasa ngeunaan promosi, acara anu bakal datang, sareng anu sapertosna. Serangan Silence dina séktor kauangan khususna penting: karyawan bank nampi surélék anu konon ngandung kode promo pikeun ilubiung dina konferensi industri populér iFin. Persentase jalma anu kagoda ku trik éta luhur pisan, sanaos, émut, urang nuju ngobrolkeun séktor perbankan, anu paling maju dina hal kaamanan inpormasi.
Sateuacan Taun Anyar kamari, urang ogé niténan sababaraha kaayaan anu rada anéh dimana karyawan perusahaan industri nampi email phishing anu canggih pisan anu nampilkeun "daptar" promosi Taun Anyar di toko online anu populér sareng kode promo diskon. Karyawan henteu ngan ukur nyobian ngaklik tautan éta nyalira tapi ogé ngirimkeun email ka kolega di organisasi anu aya hubunganana. Kusabab sumber daya anu aya hubunganana dina email phishing diblokir, karyawan mimiti ngalebetkeun pamundut ka departemen IT sacara massal pikeun aksés. Sacara umum, kasuksésan kampanye email pasti ngaleuwihan ekspektasi para panyerang.
Anyar-anyar ieu, aya hiji pausahaan anu geus "dienkripsi" ngahubungi kami pikeun ménta bantuan. Sadayana dimimitian nalika karyawan departemen akuntansi nampi surat anu cenah ti Bank Sentral Federasi Rusia. Akuntan ngaklik tautan dina surat éta teras ngaunduh panambang WannaMine ka mesinna. Sapertos WannaCry anu kasohor, éta ngamangpaatkeun kerentanan EternalBlue. Anu paling pikaresepeun nyaéta kalolobaan program antivirus parantos tiasa ngadeteksi tanda tanganna ti mimiti 2018. Tapi naha antivirus éta dinonaktipkeun, database na henteu diropéa, atanapi panambangna henteu aya pisan—kumaha waé, panambangna parantos aya dina komputer, sareng teu aya anu nyegah éta nyebar langkung jauh ka sakuliah jaringan, ngonsumsi sumber daya CPU. server sareng ARM dina 100%.
Klien ieu, saatos nampi laporan tim forensik kami, sadar yén virus éta mimitina parantos nembus sistemna via email sareng ngaluncurkeun proyék pilot pikeun ngahijikeun layanan panyalindungan email. Hal anu mimiti kami konfigurasikeun nyaéta parangkat lunak antivirus email. Pamindaian malware lumangsung, sareng apdet tanda tangan mimitina dilakukeun unggal jam, tapi klien engkéna ngarobih kana modeu dua kali sadinten.
Panangtayungan anu komprehensif ngalawan inféksi virus kedah dilapis. Nalika ngeunaan virus anu dikirimkeun via email, penting pikeun nyaring email sapertos kitu dina titik éntri, ngalatih pangguna pikeun mikawanoh rékayasa sosial, teras ngandelkeun parangkat lunak antivirus sareng sandbox.
Salawasna waspada
Tangtosna, urang sanés ngaku yén solusi Secure Email Gateway mangrupikeun ubar mujarab. Serangan anu ditargetkeun, kalebet spear phishing, hésé pisan dicegah, sabab unggal serangan disaluyukeun pikeun panampi anu khusus (organisasi atanapi individu). Tapi pikeun perusahaan anu nyobian mastikeun tingkat kaamanan dasar, ieu mangrupikeun léngkah anu penting, khususna kalayan pangalaman sareng kaahlian anu pas anu diterapkeun kana tugas éta.
Kaseueuran serangan spear phishing henteu ngalebetkeun lampiran jahat dina awak email, upami henteu sistem antispam bakal langsung meungpeuk email sateuacan dugi ka panampi. Sabalikna, aranjeunna ngalebetkeun tautan ka sumber daya wéb anu parantos disiapkeun sateuacanna dina awak email, teras éta masalah anu saderhana. Pangguna ngaklik tautan éta, teras, saatos sababaraha alihan, dina sababaraha detik, aranjeunna sumping ka tautan terakhir dina ranté, anu, nalika dibuka, ngaunduh malware kana komputerna.
Malah leuwih canggih: tautan éta bisa jadi teu bahaya nalika email ditampi, sareng ngan saatos sababaraha waktos, nalika parantos discan sareng diprosés, éta bakal mimiti dialihkeun ka malware. Hanjakalna, spesialis Solar JSOC, sanaos gaduh kaahlianana, teu tiasa ngonpigurasikeun gateway email pikeun "ningali" malware di sakumna ranté (sanaos panggantian otomatis sadaya tautan dina email nganggo SEG tiasa dianggo salaku pertahanan, supados anu terakhir nyeken tautan henteu ngan ukur nalika dikirimkeun, tapi ogé dina unggal klik).
Samentara éta, sanajan pangalihan anu umum tiasa diatasi ku cara ngahijikeun sababaraha jinis kaahlian, kalebet data tina JSOC CERT sareng OSINT kami. Ieu ngamungkinkeun kami pikeun nyiptakeun daptar hideung anu éksténsif anu bakal ngablokir bahkan email anu gaduh sababaraha pangalihan.
Ngagunakeun SEG téh ngan saukur bata leutik dina témbok anu dipikahayang ku organisasi mana waé pikeun ngajaga asetna. Tapi komponén ieu ogé kudu diintegrasikeun kalawan bener kana gambaran sakabéhna, sabab sanajan SEG, kalawan konfigurasi anu bener, bisa dirobah jadi alat kaamanan anu lengkep.
Ksenia Sadunina, konsultan di departemén pra-penjualan ahli pikeun produk sareng jasa di Solar JSOC
sumber: www.habr.com
