Nalika Perusahaan ageung ngawangun redoubts echeloned ti panyerang internal poténsial sareng peretas, phishing sareng spam mailing tetep nyeri sirah pikeun perusahaan anu langkung sederhana. Upami Marty McFly terang yén dina taun 2015 (sareng langkung seueur taun 2020) jalma-jalma henteu ngan ukur nyiptakeun hoverboards, tapi ogé moal diajar pikeun ngaleungitkeun surat sampah, anjeunna sigana bakal kaleungitan kapercayaan ka umat manusa. Sumawona, spam ayeuna henteu ngan ngaganggu, tapi sering ngabahayakeun. Kira-kira 70% tina palaksanaan killchain, cybercriminals nembus infrastruktur nganggo malware anu aya dina lampiran atanapi ngalangkungan tautan phishing dina email.
Anyar-anyar ieu, aya tren anu jelas pikeun nyebarkeun rékayasa sosial salaku cara pikeun nembus infrastruktur organisasi. Ngabandingkeun statistik tina 2017 sareng 2018, urang ningali paningkatan ampir 50% dina jumlah kasus dimana malware dikirimkeun ka komputer karyawan ngalangkungan lampiran atanapi tautan phishing dina awak email.
Sacara umum, sakabéh rentang ancaman anu bisa dipigawé maké email bisa dibagi kana sababaraha kategori:
- spam asup
- kaasup komputer hiji organisasi dina botnet nu ngirimkeun spam kaluar
- kantétan jahat sareng virus dina awak surat (pausahaan leutik paling sering ngalaman serangan masif sapertos Petya).
Pikeun ngajagaan tina sagala jinis serangan, anjeun tiasa nyebarkeun sababaraha sistem kaamanan inpormasi, atanapi nuturkeun jalur model jasa. Kami geus ngeunaan Unified Cybersecurity Services Platform - inti ékosistem jasa cybersecurity diurus MSS Solar. Diantara hal séjén, éta kalebet téknologi Virtual Secure Email Gateway (SEG). Sakumaha aturan, langganan kana layanan ieu dibeuli ku pausahaan leutik nu sagala fungsi IT jeung kaamanan informasi ditugaskeun ka hiji jalma - administrator sistem. Spam mangrupikeun masalah anu sok katingali ku pangguna sareng manajemén, sareng éta henteu tiasa dipaliré. Nanging, kana waktosna, bahkan manajemén janten écés yén mustahil ngan saukur "turunkeun" ka administrator sistem - peryogi waktos teuing.
2 jam pikeun parse mail rada loba
Salah sahiji pangecér ngadeukeutan kami kalayan kaayaan anu sami. Sistem pelacak waktos nunjukkeun yén unggal dinten karyawanna nyéépkeun sakitar 25% tina waktos damelna (2 jam!) pikeun nyortir kotak surat.
Saatos nyambungkeun server mail palanggan, kami ngonpigurasikeun conto SEG salaku gateway dua arah pikeun surat asup sareng surat kaluar. Urang mimitian nyaring nurutkeun kawijakan pre-diadegkeun. Kami nyusun Daptar Hideung dumasar kana analisa data anu disayogikeun ku palanggan sareng daptar alamat anu berpotensi bahaya anu diala ku ahli Solar JSOC salaku bagian tina jasa anu sanés - contona, ngawaskeun insiden kaamanan inpormasi. Sanggeus éta, sadaya mail ieu dikirimkeun ka panarima ngan sanggeus beberesih, sarta rupa-rupa mailings spam ngeunaan "grand diskon" dieureunkeun tuang kana server mail customer urang dina ton, freeing up spasi pikeun kaperluan séjén.
Tapi aya kaayaan nalika surat anu sah salah digolongkeun kana spam, contona, nampi ti pangirim anu teu dipercaya. Dina hal ieu, urang masihan hak kaputusan ka nasabah. Henteu seueur pilihan pikeun naon anu kedah dilakukeun: hapus langsung atanapi kirimkeun ka karantina. Urang milih jalur kadua, nu mail junk misalna disimpen dina SEG sorangan. Kami nyayogikeun administrator sistem aksés kana konsol wéb, dimana anjeunna tiasa mendakan surat penting iraha waé, contona, ti counterparty, teras teraskeun ka pangguna.
Nyingkirkeun parasit
Ladenan panyalindungan email kalebet laporan analitis, tujuanana pikeun ngawas kaamanan infrastruktur sareng efektivitas setélan anu dianggo. Salaku tambahan, laporan ieu ngamungkinkeun anjeun pikeun ngaduga tren. Contona, urang manggihan bagian pakait "Spam ku Panarima" atawa "Spam ku Pangirim" dina laporan jeung kasampak di alamat nu narima jumlah pangbadagna pesen diblokir.
Nalika nganalisa laporan sapertos kitu, jumlah total hurup tina salah sahiji palanggan sigana curiga ka kami. Infrastrukturna leutik, jumlah hurupna saeutik. Sareng ujug-ujug, saatos dinten damel, jumlah spam anu diblokir ampir dua kali. Urang mutuskeun nyandak katingal ngadeukeutan.
Urang nempo yén jumlah hurup kaluar geus ngaronjat, sarta sakabéh éta dina widang "Pangirim" ngandung alamat ti domain nu disambungkeun ka layanan panyalindungan mail. Tapi aya hiji nuansa: diantara rada waras, sugan malah aya, alamat, aya jelas aneh. Urang nempo IP ti mana hurup anu dikirim, sarta, rada disangka, tétéla yén maranéhna teu milik spasi alamat ditangtayungan. Jelas, panyerang ngirimkeun spam atas nama nasabah.
Dina hal ieu, kami ngadamel saran pikeun palanggan ngeunaan cara ngonpigurasikeun rékaman DNS anu leres, khususna SPF. Spesialis kami nyarankeun urang nyieun rékaman TXT ngandung aturan "v = spf1 mx ip: 1.2.3.4/23 -all", nu ngandung hiji daptar lengkep alamat nu diwenangkeun pikeun ngirim surat atas nama domain nu ditangtayungan.
Sabenerna, naha ieu penting: spam atas nama hiji parusahaan leutik kanyahoan teu pikaresepeun, tapi teu kritis. kaayaan sagemblengna béda, contona, dina industri perbankan. Numutkeun observasi kami, tingkat kapercayaan korban dina email phishing naek sababaraha kali leuwih lamun sakuduna dikirim ti domain bank sejen atawa counterparty dipikawanoh korban. Sareng ieu ngabédakeun sanés ngan ukur karyawan bank; dina industri sanés - sektor énergi contona - urang disanghareupan ku tren anu sami.
Maéhan virus
Tapi spoofing teu sakumaha biasa masalah saperti, contona, inféksi viral. Kumaha anjeun paling sering ngalawan wabah virus? Aranjeunna masang antipirus sareng ngarepkeun "musuh moal ngaliwat." Tapi upami sadayana saderhana, maka, upami harga antivirus anu lumayan murah, sadayana bakal lami-lami hilap kana masalah malware. Samentara éta, kami terus-terusan nampi pamundut ti séri "bantosan kami mulangkeun file, kami énkripsi sadayana, padamelan macet, data leungit." Kami henteu bosen ngulang deui ka para nasabah yén antipirus sanés panacea. Salian kanyataan yén database anti-virus bisa jadi teu diropéa cukup gancang, urang mindeng sapatemon malware anu bisa bypass teu ukur anti-virus, tapi ogé sandboxes.
Hanjakalna, sababaraha karyawan biasa organisasi sadar phishing sareng email jahat sareng tiasa ngabédakeunana tina korespondensi biasa. Rata-rata, unggal pangguna ka-7 anu henteu ngalaman paningkatan kasadaran rutin tunduk kana rékayasa sosial: muka file anu kainféksi atanapi ngirim datana ka panyerang.
Sanaos véktor sosial serangan, sacara umum, laun-laun ningkat, tren ieu janten nyata pisan taun ka tukang. Surélék phishing janten langkung mirip sareng surat biasa ngeunaan promosi, acara anu bakal datang, jsb. Di dieu urang bisa ngelingan serangan tiiseun dina sektor finansial - karyawan bank narima surat disangka ku kode promosi pikeun partisipasi dina konferensi industri populér iFin, sarta persentase jalma anu succumbed kana trik ieu kacida luhurna, sanajan, hayu urang apal. , urang keur diajak ngobrol ngeunaan industri perbankan - paling maju dina urusan kaamanan informasi.
Sateuacan Taun Anyar kamari, urang ogé ningali sababaraha kaayaan anu rada panasaran nalika karyawan perusahaan industri nampi serat phishing kualitas luhur kalayan "daptar" promosi Taun Anyar di toko online populér sareng kode promosi pikeun diskon. Karyawan henteu ngan nyobian nuturkeun link sorangan, tapi ogé diteruskeun surat ka kolega ti organisasi patali. Kusabab sumber daya anu ngarahkeun tautan dina email phishing diblokir, karyawan mimiti sacara masal ngalebetkeun pamundut ka layanan IT pikeun nyayogikeun aksés ka éta. Sacara umum, kasuksésan milis kudu ngaleuwihan sakabeh ekspektasi tina panyerang.
Sareng nembe hiji perusahaan anu parantos "énkripsi" tos ka kami pikeun pitulung. Éta sadayana dimimitian nalika karyawan akuntansi nampi surat anu disangka ti Bank Séntral Féderasi Rusia. Akuntan ngaklik tautan dina surat sareng ngaunduh panambang WannaMine kana mesinna, anu, sapertos WannaCry anu kasohor, ngeksploitasi kerentanan EternalBlue. Hal anu paling pikaresepeun nyaéta sabagéan ageung antivirus parantos tiasa ngadeteksi tandatanganna ti mimiti 2018. Tapi, boh antipirus ditumpurkeun, atanapi pangkalan data henteu diropéa, atanapi henteu aya pisan - dina hal naon waé, panambang parantos aya dina komputer, sareng teu aya anu ngahalangan éta nyebarkeun langkung jauh ka jaringan, ngamuat server '. CPU sareng workstations dina 100%.
Pelanggan ieu, nampi laporan ti tim forensik kami, ningali yén virus mimitina nembus anjeunna ngalangkungan email, sareng ngaluncurkeun pilot project pikeun nyambungkeun jasa panyalindungan email. Hal kahiji anu urang nyetél nyaéta antipirus email. Dina waktos anu sami, panyeken malware dilaksanakeun terus-terusan, sareng apdet tandatangan mimitina dilaksanakeun unggal jam, teras palanggan ngalih ka dua kali sadinten.
Perlindungan lengkep ngalawan inféksi virus kedah dilapis. Lamun urang ngobrol ngeunaan transmisi virus ngaliwatan email, anjeun kudu nyaring kaluar hurup misalna dina lawang, ngalatih pamaké pikeun mikawanoh rékayasa sosial, lajeng ngandelkeun antiviruses na sandboxes.
di SEGda di jaga
Tangtosna, kami henteu ngaku yén solusi Aman Email Gateway mangrupikeun panacea. Serangan anu ditargetkeun, kalebet phishing tumbak, sesah dicegah sabab ... Unggal serangan sapertos "disesuaikeun" pikeun panarima husus (organisasi atawa jalma). Tapi pikeun perusahaan anu nyobian nyayogikeun tingkat kaamanan dasar, ieu seueur pisan, khususna kalayan pangalaman anu leres sareng kaahlian anu dilarapkeun kana tugas éta.
Paling sering, nalika phishing tumbak dilumangsungkeun, kantétan jahat teu kaasup dina awak surat, disebutkeun sistem antispam bakal langsung meungpeuk surat misalna dina jalan ka panarima. Tapi aranjeunna kalebet tautan kana sumber wéb anu tos disiapkeun dina téks surat, teras éta mangrupikeun masalah anu alit. Pamaké nuturkeun tautan, teras saatos sababaraha alihan dina sababaraha detik réngsé dina anu terakhir dina sadaya ranté, anu mukaan bakal ngaunduh malware kana komputerna.
Malah leuwih canggih: di momen anjeun nampi surat, link bisa jadi bahya sarta ngan sanggeus sababaraha waktu kaliwat, nalika eta geus discan jeung skipped, éta bakal mimiti alihan ka malware. Hanjakalna, spesialis Solar JSOC, sanajan merhatikeun kompeténsina, moal tiasa ngonpigurasikeun gateway mail supados "ningali" malware dina sadaya ranté (sanaos, salaku panyalindungan, anjeun tiasa nganggo ngagantian otomatis sadaya tautan dina hurup. mun SEG, supados dimungkinkeun nyeken link teu ukur dina waktu pangiriman surat, sarta dina unggal transisi).
Samentara éta, malah alihan has bisa diurus ku aggregation sababaraha jenis kaahlian, kaasup data diala ku JSOC CERT na OSINT urang. Ieu ngidinan Anjeun pikeun nyieun blacklists nambahan, dumasar kana nu malah surat kalawan sababaraha diteruskeun bakal diblokir.
Ngagunakeun SEG ngan hiji bata leutik dina témbok nu mana wae organisasi hayang ngawangun ngajaga aset na. Tapi tautan ieu ogé kedah leres-leres diintegrasikeun kana gambar sadayana, sabab SEG, kalayan konfigurasi anu leres, tiasa dirobih janten alat panyalindungan anu lengkep.
Ksenia Sadunina, konsultan departemén presale ahli ngeunaan produk jeung jasa Solar JSOC
sumber: www.habr.com