Medan det stora företaget håller på att bygga repliker från potentiella interna angripare och hackare, förblir nätfiske- och skräppostutskick en huvudvärk för enklare företag. Om Marty McFly visste att 2015 (och ännu mer 2020) människor inte bara inte skulle uppfinna hoverboards, utan inte ens skulle lära sig att helt bli av med skräppost, skulle han förmodligen förlora tron på mänskligheten. Dessutom är spam idag inte bara irriterande, utan ofta skadligt. I cirka 70 % av killchain-implementeringarna penetrerar cyberbrottslingar infrastrukturen med hjälp av skadlig programvara som finns i bilagor eller genom nätfiske-länkar i e-postmeddelanden.
På senare tid har det funnits en tydlig trend mot spridningen av social ingenjörskonst som ett sätt att penetrera en organisations infrastruktur. Om vi jämför statistik från 2017 och 2018 ser vi en nästan 50 % ökning av antalet fall där skadlig programvara levererades till anställdas datorer genom bilagor eller nätfiske-länkar i e-postmeddelandets brödtext.
I allmänhet kan hela utbudet av hot som kan utföras med e-post delas in i flera kategorier:
- inkommande skräppost
- inkludering av en organisations datorer i ett botnät som skickar utgående skräppost
- skadliga bilagor och virus i brevets brödtext (små företag drabbas oftast av massiva attacker som Petya).
För att skydda dig mot alla typer av attacker kan du antingen distribuera flera informationssäkerhetssystem eller följa en tjänstemodells väg. Vi redan om Unified Cybersecurity Services Platform - kärnan i ekosystemet för Solar MSS-hanterade cybersäkerhetstjänster. Den inkluderar bland annat virtualiserad Secure Email Gateway (SEG)-teknik. Som regel köps ett abonnemang på denna tjänst av små företag där alla IT- och informationssäkerhetsfunktioner är tilldelade en person - systemadministratören. Spam är ett problem som alltid är synligt för användare och ledning, och det kan inte ignoreras. Men med tiden blir till och med ledningen tydligt att det är omöjligt att helt enkelt "släppa" det till systemadministratören - det tar för mycket tid.
2 timmar att analysera mail är lite mycket
En av återförsäljarna kontaktade oss med en liknande situation. Tidsregistreringssystem visade att hans anställda varje dag spenderade cirka 25 % av sin arbetstid (2 timmar!) på att sortera ut brevlådan.
Efter att ha anslutit kundens e-postserver konfigurerade vi SEG-instansen som en tvåvägsgateway för både inkommande och utgående e-post. Vi började filtrera enligt förutbestämda policyer. Vi sammanställde den svarta listan baserat på en analys av data som tillhandahållits av kunden och våra egna listor över potentiellt farliga adresser som erhållits av Solar JSOC-experter som en del av andra tjänster – till exempel övervakning av informationssäkerhetsincidenter. Efter det levererades all post till mottagarna först efter städning, och diverse skräppostmeddelanden om "stora rabatter" slutade strömma in i kundens e-postservrar i ton, vilket frigjorde utrymme för andra behov.
Men det har förekommit situationer när ett legitimt brev av misstag klassificerats som skräppost, till exempel som att det mottagits från en avsändare som inte är betrodd. I det här fallet gav vi kunden beslutsrätten. Det finns inte många alternativ för vad man ska göra: ta bort det omedelbart eller skicka det i karantän. Vi valde den andra vägen, där sådan skräppost lagras på själva SEG. Vi gav systemadministratören tillgång till webbkonsolen, där han när som helst kunde hitta ett viktigt brev, till exempel från en motpart, och vidarebefordra det till användaren.
Att bli av med parasiter
E-postskyddstjänsten inkluderar analytiska rapporter, vars syfte är att övervaka säkerheten i infrastrukturen och effektiviteten hos de inställningar som används. Dessutom låter dessa rapporter dig förutsäga trender. Till exempel hittar vi motsvarande avsnitt "Skräppost efter mottagare" eller "Skräppost av avsändare" i rapporten och tittar på vems adress som får flest blockerade meddelanden.
Det var under analysen av en sådan rapport som det kraftigt ökade totala antalet brev från en av kunderna föreföll oss misstänkta. Dess infrastruktur är liten, antalet bokstäver är lågt. Och plötsligt, efter en arbetsdag, nästan fördubblades mängden blockerad spam. Vi bestämde oss för att ta en närmare titt.
Vi ser att antalet utgående brev har ökat och alla i fältet ”Avsändare” innehåller adresser från en domän som är ansluten till postskyddstjänsten. Men det finns en nyans: bland ganska sansade, kanske till och med befintliga, adresser finns det helt klart konstiga. Vi tittade på de IP-adresser som breven skickades från, och ganska förväntat visade det sig att de inte tillhörde det skyddade adressutrymmet. Uppenbarligen skickade angriparen skräppost för kundens räkning.
I det här fallet gav vi kunden rekommendationer om hur man korrekt konfigurerar DNS-poster, särskilt SPF. Vår specialist rådde oss att skapa en TXT-post som innehåller regeln "v=spf1 mx ip:1.2.3.4/23 -all", som innehåller en uttömmande lista över adresser som är tillåtna att skicka brev på den skyddade domänens vägnar.
Egentligen, varför detta är viktigt: spam på uppdrag av ett okänt litet företag är obehagligt, men inte kritiskt. Helt annorlunda är situationen till exempel inom bankbranschen. Enligt våra observationer ökar offrets förtroende för ett nätfiske-e-postmeddelande många gånger om det förmodas skickas från en annan banks domän eller en motpart som offret känner till. Och detta utmärker inte bara bankanställda, i andra branscher - till exempel energi - står vi inför samma trend.
Dödar virus
Men spoofing är inte ett lika vanligt problem som till exempel virusinfektioner. Hur bekämpar du oftast virala epidemier? De installerar ett antivirusprogram och hoppas att "fienden inte kommer igenom." Men om allt var så enkelt, då, med tanke på den ganska låga kostnaden för antivirus, skulle alla för länge sedan ha glömt problemet med skadlig programvara. Under tiden får vi ständigt förfrågningar från serien "hjälp oss att återställa filerna, vi har krypterat allt, arbetet har stannat, data går förlorad." Vi tröttnar aldrig på att upprepa för våra kunder att antivirus inte är ett universalmedel. Förutom att antivirusdatabaser kanske inte uppdateras tillräckligt snabbt, stöter vi ofta på skadlig programvara som kan kringgå inte bara antivirus, utan även sandlådor.
Tyvärr är det få vanliga anställda i organisationer som är medvetna om nätfiske och skadlig e-post och kan skilja dem från vanlig korrespondens. I genomsnitt dukar var 7:e användare som inte genomgår regelbunden medvetenhetshöjning för social ingenjörskonst: öppna en infekterad fil eller skicka sina data till angripare.
Även om den sociala vektorn för attacker generellt sett har ökat gradvis, har denna trend blivit särskilt märkbar förra året. Nätfiske-e-postmeddelanden blev mer och mer lik vanliga utskick om kampanjer, kommande evenemang etc. Här kan vi minnas Silence-attacken mot finanssektorn - bankanställda fick ett brev som påstås ha en kampanjkod för deltagande i den populära industrikonferensen iFin, och andelen av dem som dukade under för tricket var mycket hög, även om, låt oss komma ihåg , vi pratar om bankbranschen - den mest avancerade i frågor om informationssäkerhet.
Före förra nyåret observerade vi också flera ganska märkliga situationer när anställda i industriföretag fick nätfiskebrev av mycket hög kvalitet med en "lista" över nyårskampanjer i populära onlinebutiker och med kampanjkoder för rabatter. Anställda försökte inte bara följa länken själva, utan vidarebefordrade även brevet till kollegor från närstående organisationer. Eftersom resursen som länken i nätfiske-mejlet ledde till blockerades började anställda massvis att skicka in förfrågningar till IT-tjänsten om att ge åtkomst till den. I allmänhet måste framgången med utskicket ha överträffat angriparnas alla förväntningar.
Och nyligen vände sig ett företag som hade "krypterats" till oss för att få hjälp. Det hela började när redovisningsanställda fick ett brev påstås ha från Ryska federationens centralbank. Revisorn klickade på länken i brevet och laddade ner WannaMine-gruvarbetaren till sin maskin, som, liksom den berömda WannaCry, utnyttjade EternalBlue-sårbarheten. Det mest intressanta är att de flesta antivirus har kunnat upptäcka sina signaturer sedan början av 2018. Men antingen var antivirusprogrammet inaktiverat eller så uppdaterades inte databaserna, eller så fanns det inte alls - i alla fall var gruvarbetaren redan på datorn, och ingenting hindrade det från att spridas vidare över nätverket, ladda servrarna. CPU och arbetsstationer på 100 %.
Den här kunden, efter att ha fått en rapport från vårt kriminaltekniska team, såg att viruset till en början trängde in i honom via e-post och startade ett pilotprojekt för att ansluta en e-postskyddstjänst. Det första vi satte upp var ett e-postantivirus. Samtidigt sker skanning efter skadlig programvara ständigt och signaturuppdateringar genomfördes till en början varje timme och sedan bytte kunden till två gånger om dagen.
Fullständigt skydd mot virusinfektioner måste vara skiktat. Om vi pratar om överföring av virus via e-post, är det nödvändigt att filtrera bort sådana brev vid ingången, utbilda användare att känna igen social ingenjörskonst och sedan lita på antivirus och sandlådor.
i SEGda på vakt
Naturligtvis hävdar vi inte att Secure Email Gateway-lösningar är ett universalmedel. Riktade attacker, inklusive spjutfiske, är extremt svåra att förhindra eftersom... Varje sådan attack är "skräddarsydd" för en specifik mottagare (organisation eller person). Men för ett företag som försöker tillhandahålla en grundläggande säkerhetsnivå är detta mycket, särskilt med rätt erfarenhet och expertis tillämpad på uppgiften.
Oftast, när spjutfiske utförs, ingår inte skadliga bilagor i brevkroppen, annars kommer antispamsystemet omedelbart att blockera ett sådant brev på väg till mottagaren. Men de inkluderar länkar till en förberedd webbresurs i brevets text, och då är det en liten fråga. Användaren följer länken och hamnar sedan efter flera omdirigeringar inom några sekunder på den sista i hela kedjan, vars öppning kommer att ladda ner skadlig programvara till hans dator.
Ännu mer sofistikerat: i det ögonblick du får brevet kan länken vara ofarlig och först efter en tid, när den redan har skannats och hoppats över, kommer den att börja omdirigera till skadlig programvara. Tyvärr kommer Solar JSOC-specialister, även med hänsyn till deras kompetens, inte att kunna konfigurera e-postgatewayen för att "se" skadlig programvara genom hela kedjan (även om du som skydd kan använda den automatiska ersättningen av alla länkar i bokstäver till SEG, så att den senare skannar länken inte bara vid tidpunkten för leverans av brevet och vid varje övergång).
Samtidigt kan även en typisk omdirigering hanteras genom sammanläggning av flera typer av expertis, inklusive data som erhållits av vårt JSOC CERT och OSINT. Detta låter dig skapa utökade svarta listor, baserat på vilka även ett brev med flera vidarebefordran kommer att blockeras.
Att använda SEG är bara en liten tegelsten i väggen som alla organisationer vill bygga för att skydda sina tillgångar. Men denna länk måste också integreras korrekt i den övergripande bilden, eftersom även SEG, med rätt konfiguration, kan förvandlas till ett fullfjädrat skyddsmedel.
Ksenia Sadunina, konsult för expertförsäljningsavdelningen för Solar JSOC-produkter och tjänster
Källa: will.com