Ҳангоме ки Корхонаи калон аз ҳамлагарон ва ҳакерҳои эҳтимолии дохилӣ такрори эшелонӣ эҷод мекунад, фишинг ва спам фиристодан барои ширкатҳои содда дарди сар боқӣ мемонад. Агар Марти МакФлай медонист, ки дар соли 2015 (ва ҳатто бештар аз он дар соли 2020) одамон на танҳо ҳовербордҳоро ихтироъ намекунанд, балки ҳатто комилан аз почтаҳои номатлуб халос шуданро ёд намегиранд, эҳтимол вай бовариро ба инсоният гум мекард. Гузашта аз ин, спам имрӯз на танҳо озори, балки аксаран зараровар аст. Тақрибан 70% татбиқи killchain, киберҷинояткорон бо истифода аз нармафзори зараровар дар замимаҳо ё тавассути истинодҳои фишинг дар почтаи электронӣ ба инфрасохтор ворид мешаванд.
Ба наздикӣ, тамоюли равшани паҳншавии муҳандисии иҷтимоӣ ҳамчун роҳи ворид шудан ба инфрасохтори созмон ба назар мерасад. Муқоисаи омори солҳои 2017 ва 2018, мо тақрибан 50% афзоиши шумораи ҳолатҳоеро мебинем, ки нармафзори зараровар ба компютерҳои кормандон тавассути замимаҳо ё истинодҳои фишинг дар бадани почтаи электронӣ интиқол дода шудааст.
Умуман, тамоми доираи таҳдидҳоеро, ки метавонанд тавассути почтаи электронӣ амалӣ карда шаванд, ба якчанд категория тақсим кардан мумкин аст:
- спамҳои воридотӣ
- дохил кардани компютерҳои созмон ба ботнет, ки спамҳои содиротӣ мефиристад
- замимаҳои зараровар ва вирусҳо дар бадани мактуб (ширкатҳои хурд аксар вақт аз ҳамлаҳои азим ба монанди Петя азоб мекашанд).
Барои муҳофизат аз ҳама намуди ҳамлаҳо, шумо метавонед якчанд системаи амнияти иттилоотиро ҷойгир кунед ё бо роҳи модели хидматрасонӣ пайравӣ кунед. Мо аллакай дар бораи Платформаи ягонаи хидматрасонии киберамният - асосии экосистемаи хадамоти киберамнияти идорашавандаи Solar MSS. Дар байни чизҳои дигар, он технологияи виртуалии Secure Email Gateway (SEG) -ро дар бар мегирад. Одатан, обуна ба ин хидматро ширкатҳои хурде харидорӣ мекунанд, ки дар онҳо тамоми функсияҳои IT ва амнияти иттилоотӣ ба як шахс - мудири система вогузор карда шудаанд. Спам мушкилотест, ки ҳамеша барои корбарон ва роҳбарият намоён аст ва онро нодида гирифтан мумкин нест. Бо вуҷуди ин, бо гузашти вақт, ҳатто роҳбарият маълум мешавад, ки онро танҳо ба мудири система "партофтан" ғайриимкон аст - ин вақти зиёдро мегирад.
2 соат барои таҳлили почта каме зиёд аст
Яке аз тоҷирон бо чунин вазъият ба мо муроҷиат кард. Системаҳои пайгирии вақт нишон доданд, ки ҳар рӯз кормандони ӯ тақрибан 25% вақти кории худро (2 соат!) барои ҷудо кардани қуттии почта сарф мекунанд.
Пас аз пайваст кардани сервери почтаи муштарӣ, мо намунаи SEG-ро ҳамчун шлюзи дуҷониба барои паёмҳои воридотӣ ва содиротӣ танзим кардем. Мо филтрро мувофиқи сиёсатҳои қаблан муқарраршуда оғоз кардем. Мо Рӯйхати сиёҳро дар асоси таҳлили маълумоти пешниҳодкардаи муштарӣ ва рӯйхати худамон суроғаҳои эҳтимолан хатарнокро, ки коршиносони JSOC Solar ҳамчун як қисми хидматҳои дигар ба даст овардаанд, тартиб додем - масалан, мониторинги ҳодисаҳои амнияти иттилоотӣ. Пас аз он, ҳама почтаҳо танҳо пас аз тозакунӣ ба гиранда расонида мешуданд ва паёмҳои гуногуни спам дар бораи "тахфифҳои калон" ба серверҳои почтаи муштарӣ бо тонна рехтанро бас карданд ва барои эҳтиёҷоти дигар ҷой холӣ карданд.
Аммо ҳолатҳое буданд, ки номаи қонунӣ иштибоҳан ҳамчун спам тасниф карда шуда буд, масалан, аз як ирсолкунандаи беэътимод гирифта шудааст. Дар ин ҳолат мо ҳуқуқи қарорро ба фармоишгар додем. Дар бораи чӣ кор кардан имконоти зиёде вуҷуд надорад: онро фавран нест кунед ё ба карантин фиристед. Мо роҳи дуюмро интихоб кардем, ки дар он чунин мактубҳои номатлуб дар худи SEG нигоҳ дошта мешаванд. Мо ба администратори система дастрасӣ ба веб консолро фароҳам овардем, ки дар он ӯ метавонист дар ҳар вақт, масалан, аз ҷониби контрагент ҳарфи муҳимро пайдо кунад ва онро ба корбар ирсол кунад.
Аз паразитҳо халос шудан
Хидмати ҳифзи почтаи электронӣ гузоришҳои таҳлилиро дар бар мегирад, ки ҳадафи онҳо мониторинги амнияти инфрасохтор ва самаранокии танзимоти истифодашуда мебошад. Илова бар ин, ин гузоришҳо ба шумо имкон медиҳанд, ки тамоюлҳоро пешгӯӣ кунед. Масалан, мо дар гузориш бахши мувофиқи "Спам аз ҷониби қабулкунанда" ё "Спам аз ҷониби ирсолкунанда" -ро пайдо мекунем ва бубинем, ки суроғаи кӣ шумораи бештари паёмҳои басташударо қабул мекунад.
Маҳз ҳангоми таҳлили чунин гузориш шумораи умумии мактубҳои якбора зиёд шудани яке аз муштариён ба назари мо шубҳанок менамуд. Инфраструктураи он хурд аст, шумораи мактубхо кам аст. Ва ногаҳон, пас аз як рӯзи корӣ, миқдори спамҳои басташуда тақрибан ду баробар афзоиш ёфт. Мо тасмим гирифтем, ки бодиққат назар кунем.
Мо мебинем, ки шумораи мактубҳои содиротӣ зиёд шудааст ва ҳамаи онҳо дар майдони "Ирсолкунанда" суроғаҳои доменеро дар бар мегиранд, ки ба хидмати ҳифзи почта пайваст аст. Аммо як нозуки вуҷуд дорад: дар байни суроғаҳои хеле солим, шояд ҳатто мавҷуда, адресҳои аҷибе ҳастанд. Мо ба IP-ҳое, ки аз онҳо мактубҳо фиристода шуда буданд, назар кардем ва интизор мерафт, маълум шуд, ки онҳо ба фазои суроғаҳои ҳифзшаванда тааллуқ надоранд. Аён аст, ки ҳамлакунанда аз номи муштарӣ спам мефиристод.
Дар ин ҳолат, мо барои муштарӣ оид ба дуруст танзим кардани сабтҳои DNS, махсусан SPF тавсияҳо додем. Мутахассиси мо ба мо маслиҳат дод, ки сабти TXT-ро бо қоидаи "v=spf1 mx ip:1.2.3.4/23 -all" эҷод кунем, ки рӯйхати мукаммали суроғаҳоро дар бар мегирад, ки барои фиристодани мактубҳо аз номи домени ҳифзшуда иҷозат дода шудаанд.
Дар асл, чаро ин муҳим аст: спам аз номи як ширкати хурди номаълум ногувор аст, аммо муҳим нест. Вазъият тамоман дигар аст, масалан, дар сохаи банк. Тибқи мушоҳидаҳои мо, сатҳи эътимоди ҷабрдида ба почтаи фишинг чанд маротиба зиёд мешавад, агар он гӯё аз домени бонки дигар ё контрагенти ба ҷабрдида маълум фиристода шуда бошад. Ва ин на танҳо кормандони бонкҳоро фарқ мекунад, дар дигар соҳаҳо – масалан дар соҳаи энергетика – мо бо ҳамин тамоюл дучор мешавем.
Куштани вирусҳо
Аммо қаллобӣ он қадар маъмул нест, масалан, сироятҳои вирусӣ. Чӣ тавр шумо аксар вақт бо эпидемияҳои вирусӣ мубориза мебаред? Онҳо як антивирус насб мекунанд ва умедворанд, ки "душман аз он гузашта наметавонад". Аммо агар ҳама чиз ин қадар содда мебуд, пас, бо назардошти арзиши хеле пасти антивирусҳо, ҳама кайҳо дар бораи мушкилоти нармафзори зараровар фаромӯш мекарданд. Дар ҳамин ҳол, мо пайваста дархостҳоро аз силсилаи "ба мо дар барқарор кардани файлҳо кӯмак кунед, мо ҳама чизро рамзгузорӣ кардем, кор қатъ шудааст, маълумот гум мешавад." Мо ҳеҷ гоҳ хаста намешавем, ки ба мизоҷони худ такрор кунем, ки антивирус панацея нест. Илова бар он, ки пойгоҳи додаҳои антивирусӣ ба қадри кофӣ зуд нав карда намешаванд, мо аксар вақт бо нармафзори зараровар дучор мешавем, ки метавонанд на танҳо антивирусҳо, балки қуттиҳои регҳоро низ фаро гиранд.
Мутаассифона, шумораи ками кормандони оддии ташкилотҳо аз фишинг ва мактубҳои зараровар огоҳанд ва онҳоро аз мукотибаи муқаррарӣ фарқ карда метавонанд. Ба ҳисоби миёна, ҳар 7-ум корбаре, ки мунтазам баланд бардоштани сатҳи огоҳии худро аз сар нагузаронад, ба муҳандисии иҷтимоӣ дучор мешавад: кушодани файли сироятшуда ё фиристодани маълумоти онҳо ба ҳамлагарон.
Ҳарчанд вектори иҷтимоъии ҳамлаҳо, дар маҷмӯъ, тадриҷан афзоиш ёфта бошад ҳам, ин тамоюл махсусан соли гузашта ба назар мерасад. Почтаи электронии фишингӣ торафт бештар ба паёмҳои муқаррарӣ дар бораи таблиғот, рӯйдодҳои дарпешистода ва ғайра монанд мешуд. Дар ин ҷо мо метавонем ҳамлаи хомӯширо ба бахши молиявӣ ба ёд орем - кормандони бонк гӯё бо рамзи таблиғотӣ барои иштирок дар конфронси машҳури саноатии iFin мактуб гирифтанд ва фоизи онҳое, ки ба ҳила таслим шудаанд, хеле баланд буд, ҳарчанд биёед ба ёд орем. , сухан дар бораи саноати бонкӣ - пешрафтатарин дар масъалаҳои амнияти иттилоотӣ меравад.
Пеш аз Соли нав, мо инчунин якчанд ҳолатҳои аҷибро мушоҳида кардем, ки кормандони ширкатҳои саноатӣ мактубҳои хеле баландсифати фишингро бо "рӯйхати" аксияҳои солинавӣ дар мағозаҳои машҳури онлайн ва рамзҳои таблиғотии тахфифҳо гирифтанд. Коргарон на танхо худашон ба ин звено пайравй карданй шуданд, балки мактубро ба хамкасбони ташкилотхои дахлдор фиристоданд. Азбаски манбае, ки истиноди почтаи электронии фишинг ба он оварда шудааст, баста шуд, кормандон ба таври оммавӣ ба хидмати IT дархост пешниҳод карданд, то дастрасӣ ба он таъмин карда шаванд. Умуман, муваффақияти почта бояд аз ҳама интизориҳои ҳамлагарон зиёдтар бошад.
Ва чанде пеш як ширкате, ки "шифршуда" буд, барои кӯмак ба мо муроҷиат кард. Ҳамааш вақте оғоз шуд, ки кормандони муҳосибӣ гӯё аз Бонки марказии Федератсияи Русия мактуб гирифтанд. Муҳосиб истиноди дар нома бударо клик кард ва конкани WannaMine-ро ба мошини худ зеркашӣ кард, ки ба мисли WannaCry машҳур, осебпазирии EternalBlue-ро истифода мебарад. Аз ҳама ҷолиб он аст, ки аксари антивирусҳо аз аввали соли 2018 тавонистаанд имзои онро ошкор кунанд. Аммо, ё антивирус хомӯш карда шуд, ё пойгоҳи додаҳо нав карда нашудаанд, ё он тамоман вуҷуд надошт - дар ҳар сурат, шахтёр аллакай дар компютер буд ва ҳеҷ чиз монеи паҳншавии минбаъдаи он дар тамоми шабака ва боркунии серверҳо нашуд. CPU ва истгоҳҳои корӣ дар 100%.
Ин муштарӣ, бо гирифтани гузориш аз гурӯҳи криминалистии мо, дид, ки вирус дар аввал тавассути почтаи электронӣ ба ӯ ворид шудааст ва лоиҳаи озмоиширо барои пайваст кардани хидмати ҳифзи почтаи электронӣ оғоз кард. Аввалин чизе, ки мо насб кардем, антивируси почтаи электронӣ буд. Ҳамзамон, сканкунии нармафзори зараровар пайваста анҷом дода мешавад ва навсозии имзоҳо дар аввал ҳар соат анҷом дода мешуд ва сипас муштарӣ ба ду маротиба дар як рӯз мегузарад.
Муҳофизати пурра аз сироятҳои вирусӣ бояд қабата бошад. Агар дар бораи интиқоли вирусҳо тавассути почтаи электронӣ сухан гӯем, пас дар даромадгоҳ чунин ҳарфҳоро филтр кардан, корбаронро барои шинохти муҳандисии иҷтимоӣ омӯзонидан ва сипас ба антивирусҳо ва қуттиҳои қум такя кардан лозим аст.
дар СЕГда дар посбонй
Албатта, мо даъво намекунем, ки ҳалли Email Gateway бехатар аст. Пешгирии ҳамлаҳои мақсаднок, аз ҷумла фишинги найза, хеле душвор аст, зеро... Ҳар як чунин ҳамла барои гирандаи мушаххас (ташкилот ё шахс) "мувофиқ" аст. Аммо барои ширкате, ки кӯшиш мекунад, ки сатҳи асосии амниятро таъмин кунад, ин хеле зиёд аст, махсусан бо таҷрибаи дуруст ва таҷрибае, ки дар ин вазифа истифода мешавад.
Аксар вақт, вақте ки фишинги найза анҷом дода мешавад, замимаҳои зараровар ба матни ҳарфҳо дохил карда намешаванд, вагарна системаи антиспам чунин мактубро дар роҳ ба сӯи гиранда фавран манъ мекунад. Аммо онҳо дар матни нома истинод ба веб-манбаи қаблан омодашударо дар бар мегиранд ва он гоҳ ин як масъалаи хурд аст. Истифодабаранда истинодро пайгирӣ мекунад ва пас аз чанд сония масир ба охир мерасад дар тамоми занҷир, ки кушодани он нармафзори зарароварро ба компютери ӯ зеркашӣ мекунад.
Ҳатто мураккабтар: дар лаҳзаи гирифтани нома, истиноди метавонад безарар бошад ва танҳо пас аз гузаштани чанд вақт, вақте ки он аллакай скан карда шудааст ва гузаронида шудааст, он ба нармафзори зараровар равона карда мешавад. Мутаассифона, мутахассисони JSOC Solar, ҳатто бо назардошти салоҳиятҳои худ, наметавонанд шлюзи почтаро танзим кунанд, то дар тамоми занҷир нармафзори зарароварро "бинанд" (гарчанде ки ҳамчун муҳофизат, шумо метавонед ивазкунии автоматии ҳама истинодҳо дар ҳарфҳоро истифода баред. ба SEG, то ки охирин истинодро на танҳо дар вақти фиристодани мактуб ва дар ҳар як гузариш).
Дар ҳамин ҳол, ҳатто масири маъмулиро метавон тавассути ҷамъи якчанд намуди таҷрибаҳо, аз ҷумла маълумоте, ки аз ҷониби JSOC CERT ва OSINT гирифта шудааст, ҳал кард. Ин ба шумо имкон медиҳад, ки рӯйхатҳои сиёҳи васеъ эҷод кунед, ки дар асоси онҳо ҳатто як ҳарф бо интиқоли сершумор баста мешавад.
Истифодаи SEG танҳо як хишти хурд дар девор аст, ки ҳар созмон мехоҳад барои ҳифзи дороиҳои худ созад. Аммо ин пайванд инчунин бояд ба тасвири умумӣ дуруст ворид карда шавад, зеро ҳатто SEG бо конфигуратсияи дуруст метавонад ба як воситаи мукаммали муҳофизат табдил ёбад.
Ксения Садунина, мушовири шӯъбаи коршиносони пешазфурӯши маҳсулот ва хидматҳои Solar JSOC
Манбаъ: will.com