Ingawa Biashara kubwa inajenga mashaka makubwa kutoka kwa wavamizi na wadukuzi wa ndani, ulaghai na utumaji barua taka bado ni tatizo kwa makampuni rahisi. Ikiwa Marty McFly angejua kuwa mnamo 2015 (na hata zaidi mnamo 2020) watu hawatagundua tu bodi za hover, lakini hata hawatajifunza kuondoa kabisa barua taka, labda angepoteza imani kwa ubinadamu. Zaidi ya hayo, barua taka leo sio tu ya kukasirisha, lakini mara nyingi hudhuru. Katika takriban 70% ya utekelezaji wa killchain, wahalifu wa mtandao hupenya miundombinu kwa kutumia programu hasidi iliyo kwenye viambatisho au kupitia viungo vya kuhadaa ili kupata maelezo ya kibinafsi katika barua pepe.
Hivi majuzi, kumekuwa na mwelekeo wazi kuelekea kuenea kwa uhandisi wa kijamii kama njia ya kupenya miundombinu ya shirika. Ikilinganisha takwimu za 2017 na 2018, tunaona ongezeko la karibu 50% la idadi ya matukio ambapo programu hasidi ziliwasilishwa kwa kompyuta za wafanyikazi kupitia viambatisho au viungo vya kuhadaa ili kupata maelezo ya kibinafsi katika sehemu ya barua pepe.
Kwa ujumla, anuwai nzima ya vitisho ambayo inaweza kutekelezwa kwa kutumia barua pepe inaweza kugawanywa katika vikundi kadhaa:
- barua taka zinazoingia
- kujumuishwa kwa kompyuta za shirika kwenye botnet inayotuma barua taka zinazotoka
- viambatisho vibaya na virusi kwenye mwili wa barua (kampuni ndogo mara nyingi zinakabiliwa na mashambulizi makubwa kama Petya).
Ili kulinda dhidi ya aina zote za mashambulizi, unaweza kupeleka mifumo kadhaa ya usalama wa habari, au kufuata njia ya mfano wa huduma. Sisi tayari kuhusu Jukwaa la Unified Cybersecurity Services - msingi wa mfumo ikolojia wa huduma za usalama wa mtandao wa Solar MSS. Miongoni mwa mambo mengine, ni pamoja na teknolojia ya Virtualized Secure Email Gateway (SEG). Kama sheria, usajili wa huduma hii ununuliwa na kampuni ndogo ambazo kazi zote za IT na usalama wa habari hupewa mtu mmoja - msimamizi wa mfumo. Barua taka ni tatizo ambalo linaonekana kila mara kwa watumiaji na wasimamizi, na haliwezi kupuuzwa. Walakini, baada ya muda, hata usimamizi unakuwa wazi kuwa haiwezekani "kuiacha" kwa msimamizi wa mfumo - inachukua muda mwingi.
Saa 2 za kuchanganua barua ni nyingi kidogo
Mmoja wa wauzaji alitukaribia na hali kama hiyo. Mifumo ya kufuatilia muda ilionyesha kuwa kila siku wafanyakazi wake walitumia takriban 25% ya muda wao wa kufanya kazi (saa 2!) katika kupanga sanduku la barua.
Baada ya kuunganisha seva ya barua ya mteja, tulisanidi mfano wa SEG kama lango la njia mbili kwa barua zinazoingia na zinazotoka. Tulianza kuchuja kulingana na sera zilizowekwa awali. Tulikusanya Orodha iliyozuiliwa kulingana na uchanganuzi wa data iliyotolewa na mteja na orodha zetu wenyewe za anwani zinazoweza kuwa hatari zilizopatikana na wataalamu wa Solar JSOC kama sehemu ya huduma zingine - kwa mfano, ufuatiliaji wa matukio ya usalama wa habari. Baada ya hayo, barua zote ziliwasilishwa kwa wapokeaji tu baada ya kusafisha, na barua taka mbalimbali kuhusu "punguzo kubwa" ziliacha kumwaga kwenye seva za barua za mteja kwa tani, na kutoa nafasi kwa mahitaji mengine.
Lakini kumekuwa na hali ambapo barua halali iliainishwa kimakosa kama barua taka, kwa mfano, kama ilipokelewa kutoka kwa mtumaji asiyeaminika. Katika kesi hii, tulitoa haki ya uamuzi kwa mteja. Hakuna chaguzi nyingi juu ya nini cha kufanya: ifute mara moja au itume kwa karantini. Tulichagua njia ya pili, ambayo barua taka kama hiyo huhifadhiwa kwenye SEG yenyewe. Tulimpa msimamizi wa mfumo ufikiaji wa koni ya wavuti, ambayo angeweza kupata barua muhimu wakati wowote, kwa mfano, kutoka kwa mshirika, na kuituma kwa mtumiaji.
Kuondoa vimelea
Huduma ya ulinzi wa barua pepe inajumuisha ripoti za uchambuzi, madhumuni ambayo ni kufuatilia usalama wa miundombinu na ufanisi wa mipangilio inayotumiwa. Kwa kuongeza, ripoti hizi hukuruhusu kutabiri mwenendo. Kwa mfano, tunapata sehemu inayolingana ya "Barua Taka kwa Mpokeaji" au "Barua Taka kwa Mtumaji" katika ripoti na kuangalia ni anwani ya nani inayopokea idadi kubwa zaidi ya ujumbe uliozuiwa.
Wakati wa kuchambua ripoti kama hiyo ndipo idadi ya barua iliyoongezeka sana kutoka kwa mmoja wa wateja ilionekana kuwa ya kutiliwa shaka kwetu. Miundombinu yake ni ndogo, idadi ya barua ni ndogo. Na ghafla, baada ya siku ya kazi, kiasi cha barua taka iliyozuiwa karibu mara mbili. Tuliamua kuangalia kwa karibu.
Tunaona kwamba idadi ya barua zinazotoka imeongezeka, na zote katika uwanja wa "Mtumaji" zina anwani kutoka kwa kikoa ambacho kimeunganishwa na huduma ya ulinzi wa barua. Lakini kuna nuance moja: kati ya akili timamu kabisa, labda hata zilizopo, anwani, kuna wazi ajabu. Tuliangalia IP ambazo barua zilitumwa, na, kwa kutarajia kabisa, ikawa kwamba hawakuwa wa nafasi ya anwani iliyohifadhiwa. Ni wazi, mshambuliaji alikuwa akituma barua taka kwa niaba ya mteja.
Katika kesi hii, tulitoa mapendekezo kwa mteja juu ya jinsi ya kusanidi kwa usahihi rekodi za DNS, haswa SPF. Mtaalamu wetu alitushauri kuunda rekodi ya TXT iliyo na sheria "v=spf1 mx ip:1.2.3.4/23 -all", ambayo ina orodha kamili ya anwani zinazoruhusiwa kutuma barua kwa niaba ya kikoa kilichohifadhiwa.
Kwa kweli, kwa nini hii ni muhimu: barua taka kwa niaba ya kampuni ndogo isiyojulikana haifurahishi, lakini sio muhimu. Hali ni tofauti kabisa, kwa mfano, katika sekta ya benki. Kulingana na uchunguzi wetu, kiwango cha imani ya mwathiriwa katika barua pepe ya hadaa huongezeka mara nyingi zaidi ikiwa inadaiwa inatumwa kutoka kwa kikoa cha benki nyingine au kampuni nyingine inayojulikana na mwathiriwa. Na hii haitofautishi tu wafanyikazi wa benki; katika tasnia zingine - kwa mfano, nishati - tunakabiliwa na hali hiyo hiyo.
Kuua virusi
Lakini spoofing sio tatizo la kawaida kama, kwa mfano, maambukizi ya virusi. Je, mara nyingi unapambana vipi na milipuko ya virusi? Wanaweka kizuia virusi na wanatumaini kwamba "adui hatapita." Lakini ikiwa kila kitu kilikuwa rahisi sana, basi, kwa kuzingatia gharama ya chini ya antivirus, kila mtu angekuwa amesahau kwa muda mrefu juu ya shida ya programu hasidi. Wakati huo huo, tunapokea maombi mara kwa mara kutoka kwa safu "tusaidie kurejesha faili, tumesimba kila kitu, kazi imekwama, data imepotea." Hatuchoki kurudia kwa wateja wetu kwamba antivirus sio dawa. Mbali na ukweli kwamba hifadhidata za kuzuia virusi haziwezi kusasishwa haraka vya kutosha, mara nyingi tunakutana na programu hasidi ambayo inaweza kupita sio tu anti-virusi, lakini pia sanduku za mchanga.
Kwa bahati mbaya, ni wafanyikazi wachache wa kawaida wa mashirika wanaofahamu barua pepe za ulaghai na hasidi na wanaweza kuzitofautisha na mawasiliano ya kawaida. Kwa wastani, kila mtumiaji wa 7 ambaye hafanyiwi ufahamu wa mara kwa mara hukubali uhandisi wa kijamii: kufungua faili iliyoambukizwa au kutuma data yake kwa washambuliaji.
Ingawa vekta ya kijamii ya mashambulizi, kwa ujumla, imekuwa ikiongezeka hatua kwa hatua, hali hii imeonekana hasa mwaka jana. Barua pepe za hadaa zilikuwa zikifanana zaidi na zaidi na barua pepe za kawaida kuhusu ofa, matukio yajayo, n.k. Hapa tunaweza kukumbuka shambulio la ukimya kwenye sekta ya fedha - wafanyikazi wa benki walipokea barua inayodaiwa kuwa na nambari ya utangazaji ya kushiriki katika mkutano maarufu wa tasnia iFin, na asilimia ya wale walioshindwa na hila ilikuwa kubwa sana, ingawa, tukumbuke. , tunazungumzia sekta ya benki - ya juu zaidi katika masuala ya usalama wa habari.
Kabla ya Mwaka Mpya uliopita, tuliona pia hali kadhaa za kupendeza wakati wafanyikazi wa kampuni za viwandani walipokea barua za hadaa za hali ya juu na "orodha" ya ofa za Mwaka Mpya katika duka maarufu za mkondoni na nambari za utangazaji za punguzo. Wafanyikazi hawakujaribu tu kufuata kiunga wenyewe, lakini pia walituma barua kwa wenzao kutoka kwa mashirika yanayohusiana. Kwa kuwa rasilimali ambayo kiungo kwenye barua pepe ya ulaghai ilizuiwa, wafanyakazi walianza kwa wingi kuwasilisha maombi kwa huduma ya IT ili kutoa ufikiaji wake. Kwa ujumla, mafanikio ya utumaji barua lazima yamezidi matarajio yote ya washambuliaji.
Na hivi majuzi kampuni ambayo ilikuwa "imesimbwa" ilitugeukia kwa usaidizi. Yote ilianza wakati wafanyakazi wa uhasibu walipokea barua inayodaiwa kutoka Benki Kuu ya Shirikisho la Urusi. Mhasibu alibofya kiungo kwenye barua na kupakua mchimbaji wa WannaMine kwenye mashine yake, ambayo, kama vile WannaCry maarufu, ilitumia hatari ya EternalBlue. Jambo la kufurahisha zaidi ni kwamba antivirus nyingi zimeweza kugundua saini zake tangu mwanzo wa 2018. Lakini, ama antivirus ilizimwa, au hifadhidata haikusasishwa, au haikuwepo kabisa - kwa hali yoyote, mchimbaji alikuwa tayari kwenye kompyuta, na hakuna kitu kilizuia kuenea zaidi kwenye mtandao, kupakia seva. CPU na vituo vya kazi kwa 100%.
Mteja huyu, baada ya kupokea ripoti kutoka kwa timu yetu ya uchunguzi, aliona kwamba virusi vilimwingia kupitia barua pepe, na akaanzisha mradi wa majaribio wa kuunganisha huduma ya ulinzi wa barua pepe. Jambo la kwanza tuliloanzisha lilikuwa antivirus ya barua pepe. Wakati huo huo, skanning ya programu hasidi hufanywa kila wakati, na sasisho za saini hapo awali zilifanywa kila saa, na kisha mteja akabadilisha mara mbili kwa siku.
Ulinzi kamili dhidi ya maambukizo ya virusi lazima iwe safu. Ikiwa tunazungumzia juu ya maambukizi ya virusi kwa njia ya barua pepe, basi ni muhimu kuchuja barua hizo kwenye mlango, kutoa mafunzo kwa watumiaji kutambua uhandisi wa kijamii, na kisha kutegemea antivirus na sandboxes.
katika SEGda juu ya ulinzi
Bila shaka, hatudai kuwa suluhu za Lango la Barua Pepe Salama ni tiba. Mashambulizi yanayolengwa, ikiwa ni pamoja na wizi wa data kwa kutumia mikuki, ni vigumu sana kuzuia kwa sababu... Kila shambulio kama hilo "limeundwa" kwa mpokeaji maalum (shirika au mtu). Lakini kwa kampuni inayojaribu kutoa kiwango cha msingi cha usalama, hii ni mengi, haswa na uzoefu sahihi na utaalamu unaotumika kwa kazi hiyo.
Mara nyingi, wakati wizi wa mkuki unafanywa, viambatisho vibaya havijumuishwa kwenye mwili wa herufi, vinginevyo mfumo wa antispam utazuia barua kama hiyo mara moja kwenye njia yake ya kwenda kwa mpokeaji. Lakini hujumuisha viungo kwenye rasilimali ya mtandao iliyoandaliwa tayari katika maandishi ya barua, na kisha ni jambo ndogo. Mtumiaji hufuata kiunga, na kisha baada ya uelekezaji upya kadhaa katika suala la sekunde huishia kwenye la mwisho kwenye mlolongo mzima, ufunguzi ambao utapakua programu hasidi kwenye kompyuta yake.
Kisasa zaidi: wakati unapopokea barua, kiungo kinaweza kuwa kisicho na madhara na tu baada ya muda kupita, wakati tayari imechanganuliwa na kuruka, itaanza kuelekeza kwa programu hasidi. Kwa bahati mbaya, wataalam wa Solar JSOC, hata wakizingatia ustadi wao, hawataweza kusanidi lango la barua ili "kuona" programu hasidi kupitia mlolongo mzima (ingawa, kama ulinzi, unaweza kutumia uingizwaji wa moja kwa moja wa viungo vyote katika barua. kwa SEG, ili mwisho huchanganue kiungo sio tu wakati wa utoaji wa barua, na kwa kila mpito).
Wakati huo huo, hata uelekezaji upya wa kawaida unaweza kushughulikiwa kwa kujumlisha aina kadhaa za utaalamu, ikiwa ni pamoja na data iliyopatikana na JSOC CERT na OSINT. Hii inakuwezesha kuunda orodha zisizoruhusiwa zilizopanuliwa, kulingana na ambayo hata barua yenye usambazaji nyingi itazuiwa.
Kutumia SEG ni tofali dogo tu ukutani ambalo shirika lolote linataka kujenga ili kulinda mali zake. Lakini kiungo hiki pia kinahitaji kuunganishwa kwa usahihi katika picha ya jumla, kwa sababu hata SEG, pamoja na usanidi sahihi, inaweza kubadilishwa kuwa njia kamili ya ulinzi.
Ksenia Sadunina, mshauri wa idara ya mtaalam wa mauzo ya bidhaa na huduma za Solar JSOC
Chanzo: mapenzi.com