ในขณะที่องค์กรขนาดใหญ่กำลังสร้างข้อสงสัยในระดับระดับจากผู้โจมตีภายในและแฮ็กเกอร์ แต่การส่งจดหมายฟิชชิ่งและสแปมยังคงเป็นเรื่องน่าปวดหัวสำหรับบริษัทที่เรียบง่าย หาก Marty McFly รู้ว่าในปี 2015 (และยิ่งกว่านั้นในปี 2020) ผู้คนไม่เพียงแต่ไม่ประดิษฐ์โฮเวอร์บอร์ดเท่านั้น แต่จะไม่เรียนรู้ที่จะกำจัดจดหมายขยะโดยสิ้นเชิง เขาอาจจะสูญเสียศรัทธาในมนุษยชาติ ยิ่งไปกว่านั้น สแปมในปัจจุบันไม่เพียงแต่น่ารำคาญ แต่ยังเป็นอันตรายอีกด้วย ในการใช้งาน Killchain ประมาณ 70% อาชญากรไซเบอร์เจาะโครงสร้างพื้นฐานโดยใช้มัลแวร์ที่มีอยู่ในไฟล์แนบหรือผ่านลิงก์ฟิชชิ่งในอีเมล
เมื่อเร็ว ๆ นี้ มีแนวโน้มที่ชัดเจนเกี่ยวกับการแพร่กระจายของวิศวกรรมสังคมเพื่อเป็นช่องทางในการเจาะโครงสร้างพื้นฐานขององค์กร เมื่อเปรียบเทียบสถิติระหว่างปี 2017 และ 2018 เราพบว่ามีจำนวนกรณีมัลแวร์ถูกส่งไปยังคอมพิวเตอร์ของพนักงานเพิ่มขึ้นเกือบ 50% ผ่านไฟล์แนบหรือลิงก์ฟิชชิ่งในเนื้อหาของอีเมล
โดยทั่วไป ภัยคุกคามทั้งหมดที่สามารถดำเนินการได้โดยใช้อีเมลสามารถแบ่งออกเป็นหลายประเภท:
- สแปมขาเข้า
- การรวมคอมพิวเตอร์ขององค์กรไว้ในบอตเน็ตที่ส่งสแปมขาออก
- ไฟล์แนบที่เป็นอันตรายและไวรัสในจดหมาย (บริษัทขนาดเล็กส่วนใหญ่มักประสบกับการโจมตีครั้งใหญ่เช่น Petya)
เพื่อป้องกันการโจมตีทุกประเภท คุณสามารถปรับใช้ระบบรักษาความปลอดภัยข้อมูลหลายระบบ หรือปฏิบัติตามเส้นทางของรูปแบบบริการ พวกเราพร้อมแล้ว
2 ชั่วโมงในการแยกวิเคราะห์อีเมลนั้นค่อนข้างมาก
ผู้ค้าปลีกรายหนึ่งเข้ามาหาเราด้วยสถานการณ์เดียวกัน ระบบติดตามเวลาแสดงให้เห็นว่าทุกๆ วัน พนักงานของเขาใช้เวลาประมาณ 25% ของเวลาทำงาน (2 ชั่วโมง!) ในการจัดการกล่องจดหมาย
หลังจากเชื่อมต่อเซิร์ฟเวอร์อีเมลของลูกค้าแล้ว เราได้กำหนดค่าอินสแตนซ์ SEG ให้เป็นเกตเวย์แบบสองทางสำหรับอีเมลทั้งขาเข้าและขาออก เราเริ่มกรองตามนโยบายที่กำหนดไว้ล่วงหน้า เรารวบรวมบัญชีดำตามการวิเคราะห์ข้อมูลที่ลูกค้าให้ไว้และรายการที่อยู่ที่อาจเป็นอันตรายของเราเองที่ได้รับโดยผู้เชี่ยวชาญของ Solar JSOC โดยเป็นส่วนหนึ่งของบริการอื่น ๆ เช่น การตรวจสอบเหตุการณ์ด้านความปลอดภัยของข้อมูล หลังจากนั้น เมลทั้งหมดจะถูกส่งไปยังผู้รับหลังจากทำความสะอาดแล้วเท่านั้น และการส่งจดหมายขยะต่างๆ เกี่ยวกับ "ส่วนลดมหาศาล" ก็หยุดไหลลงในเซิร์ฟเวอร์เมลของลูกค้าเป็นตัน ทำให้มีพื้นที่ว่างสำหรับความต้องการอื่นๆ
แต่มีบางสถานการณ์ที่จดหมายถูกต้องตามกฎหมายถูกจัดประเภทผิดพลาดว่าเป็นสแปม เช่น ได้รับจากผู้ส่งที่ไม่น่าเชื่อถือ ในกรณีนี้เราให้สิทธิในการตัดสินใจแก่ลูกค้า มีตัวเลือกไม่มากนักว่าต้องทำอย่างไร: ลบออกทันทีหรือส่งไปกักกัน เราเลือกเส้นทางที่สอง ซึ่งเมลขยะดังกล่าวจะถูกจัดเก็บไว้ใน SEG เอง เราให้สิทธิ์ผู้ดูแลระบบในการเข้าถึงเว็บคอนโซล ซึ่งเขาสามารถค้นหาจดหมายสำคัญได้ตลอดเวลา เช่น จากคู่สัญญา และส่งต่อไปยังผู้ใช้
กำจัดปรสิต
บริการป้องกันอีเมลประกอบด้วยรายงานการวิเคราะห์ ซึ่งมีวัตถุประสงค์เพื่อตรวจสอบความปลอดภัยของโครงสร้างพื้นฐานและประสิทธิภาพของการตั้งค่าที่ใช้ นอกจากนี้ รายงานเหล่านี้ยังช่วยให้คุณคาดการณ์แนวโน้มได้อีกด้วย ตัวอย่างเช่น เราพบส่วนที่เกี่ยวข้อง “สแปมโดยผู้รับ” หรือ “สแปมโดยผู้ส่ง” ในรายงาน และดูว่าที่อยู่ของใครได้รับข้อความที่ถูกบล็อกมากที่สุด
ในขณะที่วิเคราะห์รายงานดังกล่าว จำนวนจดหมายทั้งหมดที่เพิ่มขึ้นอย่างรวดเร็วจากลูกค้ารายหนึ่งดูน่าสงสัยสำหรับเรา โครงสร้างพื้นฐานมีขนาดเล็ก จำนวนตัวอักษรน้อย และทันใดนั้น หลังจากผ่านไปหนึ่งวัน จำนวนสแปมที่ถูกบล็อกก็เพิ่มขึ้นเกือบสองเท่า เราตัดสินใจที่จะดูให้ละเอียดยิ่งขึ้น
เราเห็นว่าจำนวนจดหมายขาออกเพิ่มขึ้นและทั้งหมดในช่อง "ผู้ส่ง" มีที่อยู่จากโดเมนที่เชื่อมต่อกับบริการป้องกันเมล แต่มีความแตกต่างกันนิดหน่อย: ในบรรดาที่อยู่ที่ค่อนข้างมีเหตุผลบางทีอาจมีอยู่ก็มีที่อยู่แปลก ๆ อย่างชัดเจน เราดูที่ IP ที่ใช้ส่งจดหมาย และค่อนข้างคาดหวังไว้ว่า IP เหล่านั้นไม่ได้อยู่ในพื้นที่ที่อยู่ที่ได้รับการป้องกัน แน่นอนว่าผู้โจมตีส่งสแปมในนามของลูกค้า
ในกรณีนี้ เราได้ให้คำแนะนำแก่ลูกค้าเกี่ยวกับวิธีกำหนดค่าระเบียน DNS อย่างถูกต้อง โดยเฉพาะ SPF ผู้เชี่ยวชาญของเราแนะนำให้เราสร้างบันทึก TXT ที่มีกฎ “v=spf1 mx ip:1.2.3.4/23 -all” ซึ่งมีรายการที่อยู่โดยละเอียดซึ่งได้รับอนุญาตให้ส่งจดหมายในนามของโดเมนที่ได้รับการคุ้มครอง
จริงๆ แล้ว เหตุใดสิ่งนี้จึงสำคัญ: สแปมในนามของบริษัทขนาดเล็กที่ไม่รู้จักนั้นไม่น่าพึงพอใจ แต่ก็ไม่ได้ร้ายแรง สถานการณ์แตกต่างไปจากเดิมอย่างสิ้นเชิง ตัวอย่างเช่น ในอุตสาหกรรมการธนาคาร จากการสังเกตของเรา ระดับความไว้วางใจของเหยื่อในอีเมลฟิชชิ่งจะเพิ่มขึ้นหลายเท่าหากอีเมลนั้นถูกส่งจากโดเมนของธนาคารอื่นหรือคู่สัญญาที่เหยื่อรู้จัก และสิ่งนี้ไม่เพียงทำให้พนักงานธนาคารแตกต่างเท่านั้น ในอุตสาหกรรมอื่นๆ เช่น ภาคพลังงาน เป็นต้น เรากำลังเผชิญกับแนวโน้มเดียวกัน
ฆ่าไวรัส
แต่การปลอมแปลงไม่ได้เป็นปัญหาทั่วไปเช่นการติดเชื้อไวรัส คุณต่อสู้กับการแพร่ระบาดของไวรัสบ่อยที่สุดอย่างไร? พวกเขาติดตั้งแอนตี้ไวรัสและหวังว่า “ศัตรูจะไม่ทะลุผ่าน” แต่ถ้าทุกอย่างเรียบง่าย เมื่อพิจารณาจากราคาแอนติไวรัสที่ค่อนข้างต่ำ ทุกคนคงลืมปัญหาของมัลแวร์ไปนานแล้ว ในขณะเดียวกัน เราได้รับคำขออย่างต่อเนื่องจากซีรีส์ “ช่วยเรากู้คืนไฟล์ เราได้เข้ารหัสทุกอย่าง งานหยุดชะงัก ข้อมูลสูญหาย” เราไม่เคยเบื่อที่จะย้ำกับลูกค้าของเราว่าโปรแกรมป้องกันไวรัสไม่ใช่ยาครอบจักรวาล นอกเหนือจากข้อเท็จจริงที่ว่าฐานข้อมูลแอนตี้ไวรัสอาจไม่ได้รับการอัปเดตเร็วพอ เรามักจะพบมัลแวร์ที่สามารถหลีกเลี่ยงได้ไม่เพียงแต่แอนตี้ไวรัสเท่านั้น แต่ยังรวมถึงแซนด์บ็อกซ์ด้วย
น่าเสียดายที่พนักงานทั่วไปขององค์กรเพียงไม่กี่รายตระหนักถึงอีเมลฟิชชิ่งและอีเมลที่เป็นอันตราย และสามารถแยกแยะอีเมลเหล่านี้ออกจากการติดต่อสื่อสารตามปกติได้ โดยเฉลี่ยแล้ว ผู้ใช้รายที่ 7 ทุกคนที่ไม่ได้รับการตระหนักรู้อย่างสม่ำเสมอจะยอมจำนนต่อวิศวกรรมสังคม: การเปิดไฟล์ที่ติดไวรัสหรือส่งข้อมูลไปยังผู้โจมตี
แม้ว่าโดยทั่วไปแล้วเวกเตอร์ทางสังคมของการโจมตีจะค่อยๆ เพิ่มขึ้น แต่แนวโน้มนี้ก็เห็นได้ชัดเจนในปีที่แล้ว อีเมลฟิชชิ่งมีความคล้ายคลึงกับการส่งจดหมายทั่วไปเกี่ยวกับโปรโมชั่น กิจกรรมที่กำลังจะมาถึง ฯลฯ มากขึ้นเรื่อยๆ ที่นี่เราสามารถนึกถึงการโจมตีแบบเงียบ ๆ ในภาคการเงิน - พนักงานธนาคารได้รับจดหมายที่ถูกกล่าวหาว่ามีรหัสส่งเสริมการขายสำหรับการเข้าร่วมในการประชุมอุตสาหกรรมยอดนิยม iFin และเปอร์เซ็นต์ของผู้ที่ยอมจำนนต่อกลอุบายนั้นสูงมาก แต่ขอให้เราจำไว้ เรากำลังพูดถึงอุตสาหกรรมการธนาคาร - ขั้นสูงที่สุดในเรื่องของความปลอดภัยของข้อมูล
ก่อนปีใหม่ปีที่แล้ว เรายังสังเกตเห็นสถานการณ์ที่ค่อนข้างน่าสงสัยหลายประการเมื่อพนักงานของบริษัทอุตสาหกรรมได้รับจดหมายฟิชชิ่งคุณภาพสูงพร้อม "รายการ" โปรโมชั่นปีใหม่ในร้านค้าออนไลน์ยอดนิยมพร้อมรหัสส่งเสริมการขายเพื่อรับส่วนลด พนักงานไม่เพียงแต่พยายามติดตามลิงก์ด้วยตนเอง แต่ยังส่งต่อจดหมายถึงเพื่อนร่วมงานจากองค์กรที่เกี่ยวข้องอีกด้วย เนื่องจากทรัพยากรที่ลิงก์ไปในอีเมลฟิชชิ่งถูกบล็อก พนักงานจึงเริ่มส่งคำขอจำนวนมากไปยังบริการไอทีเพื่อให้สามารถเข้าถึงข้อมูลดังกล่าวได้ โดยทั่วไปแล้ว ความสำเร็จของการส่งจดหมายต้องเกินความคาดหมายของผู้โจมตี
และเมื่อไม่นานมานี้ บริษัทแห่งหนึ่งที่ถูก “เข้ารหัส” ได้หันมาขอความช่วยเหลือจากเรา ทุกอย่างเริ่มต้นเมื่อพนักงานบัญชีได้รับจดหมายที่ถูกกล่าวหาจากธนาคารกลางแห่งสหพันธรัฐรัสเซีย นักบัญชีคลิกลิงก์ในจดหมายและดาวน์โหลดเครื่องขุดแร่ WannaMine ลงในเครื่องของเขา ซึ่งเหมือนกับ WannaCry ที่มีชื่อเสียง ใช้ประโยชน์จากช่องโหว่ EternalBlue สิ่งที่น่าสนใจที่สุดคือแอนตี้ไวรัสส่วนใหญ่สามารถตรวจจับลายเซ็นได้ตั้งแต่ต้นปี 2018 แต่ทั้งโปรแกรมป้องกันไวรัสถูกปิดใช้งานหรือฐานข้อมูลไม่ได้รับการอัพเดต หรือไม่มีอยู่เลย ไม่ว่าในกรณีใด นักขุดก็อยู่ในคอมพิวเตอร์แล้ว และไม่มีอะไรขัดขวางไม่ให้แพร่กระจายไปยังเครือข่ายเพิ่มเติม โดยโหลดเซิร์ฟเวอร์ CPU และเวิร์กสเตชันที่ 100%
เมื่อลูกค้ารายนี้ได้รับรายงานจากทีมนิติเวชของเรา พบว่าในตอนแรกไวรัสแพร่กระจายผ่านทางอีเมล และเปิดตัวโครงการนำร่องเพื่อเชื่อมต่อกับบริการป้องกันอีเมล สิ่งแรกที่เราตั้งค่าคือโปรแกรมป้องกันไวรัสทางอีเมล ในเวลาเดียวกัน การสแกนหามัลแวร์จะดำเนินการอย่างต่อเนื่อง และการอัปเดตลายเซ็นจะดำเนินการทุกชั่วโมงในขั้นต้น จากนั้นลูกค้าจึงเปลี่ยนไปใช้วันละสองครั้ง
ต้องมีการป้องกันการติดเชื้อไวรัสอย่างเต็มรูปแบบ หากเราพูดถึงการส่งไวรัสผ่านอีเมล จำเป็นต้องกรองจดหมายดังกล่าวที่ทางเข้า ฝึกอบรมผู้ใช้ให้รู้จักวิศวกรรมสังคม จากนั้นจึงอาศัยโปรแกรมป้องกันไวรัสและแซนด์บ็อกซ์
ใน SEGda ด้วยความระวัง
แน่นอนว่าเราไม่ได้อ้างว่าโซลูชัน Secure Email Gateway เป็นเพียงยาครอบจักรวาล การโจมตีแบบกำหนดเป้าหมาย รวมถึงฟิชชิ่งแบบหอกนั้นป้องกันได้ยากมากเพราะ... การโจมตีแต่ละครั้งได้รับการ “ปรับแต่ง” สำหรับผู้รับเฉพาะ (องค์กรหรือบุคคล) แต่สำหรับบริษัทที่พยายามจัดให้มีการรักษาความปลอดภัยระดับพื้นฐาน นี่ถือเป็นเรื่องมาก โดยเฉพาะอย่างยิ่งการมีประสบการณ์และความเชี่ยวชาญที่เหมาะสมที่นำไปใช้กับงาน
บ่อยครั้งเมื่อดำเนินการฟิชชิ่งแบบหอก ไฟล์แนบที่เป็นอันตรายจะไม่รวมอยู่ในเนื้อความของตัวอักษร มิฉะนั้นระบบป้องกันสแปมจะบล็อกจดหมายดังกล่าวระหว่างทางไปยังผู้รับทันที แต่ในข้อความจดหมายมีลิงก์ไปยังแหล่งข้อมูลบนเว็บที่เตรียมไว้ล่วงหน้าด้วย ซึ่งนั่นก็เป็นเพียงเรื่องเล็กน้อย ผู้ใช้ติดตามลิงก์ จากนั้นหลังจากการเปลี่ยนเส้นทางหลายครั้งในเวลาไม่กี่วินาที ก็จบลงที่ลิงก์สุดท้ายในห่วงโซ่ทั้งหมด การเปิดซึ่งจะดาวน์โหลดมัลแวร์ลงในคอมพิวเตอร์ของเขา
ซับซ้อนยิ่งขึ้นไปอีก: ในขณะที่คุณได้รับจดหมาย ลิงก์อาจไม่เป็นอันตราย และหลังจากผ่านไประยะหนึ่ง เมื่อสแกนและข้ามไปแล้ว ลิงก์นั้นจะเริ่มเปลี่ยนเส้นทางไปยังมัลแวร์หรือไม่ น่าเสียดายที่ผู้เชี่ยวชาญ Solar JSOC แม้จะคำนึงถึงความสามารถของตนแล้ว จะไม่สามารถกำหนดค่าเมล์เกตเวย์เพื่อ "ดู" มัลแวร์ผ่านห่วงโซ่ทั้งหมดได้ (แม้ว่าจะใช้การแทนที่ลิงก์ทั้งหมดที่เป็นตัวอักษรโดยอัตโนมัติเพื่อเป็นการป้องกันก็ตาม ไปยัง SEG เพื่อให้ฝ่ายหลังสแกนลิงก์ไม่เพียงแต่ ณ เวลาที่ส่งจดหมายและในแต่ละช่วงการเปลี่ยนภาพ)
ในขณะเดียวกัน แม้แต่การเปลี่ยนเส้นทางทั่วไปก็สามารถจัดการได้ด้วยการรวบรวมความเชี่ยวชาญหลายประเภท รวมถึงข้อมูลที่ได้รับจาก JSOC CERT และ OSINT ของเรา วิธีนี้ช่วยให้คุณสร้างบัญชีดำแบบขยายได้ โดยขึ้นอยู่กับว่าแม้แต่จดหมายที่มีการส่งต่อหลายครั้งก็จะถูกบล็อก
การใช้ SEG เป็นเพียงอิฐก้อนเล็กๆ ในกำแพงที่องค์กรใดๆ ต้องการสร้างเพื่อปกป้องทรัพย์สินของตน แต่ลิงก์นี้ก็ต้องรวมเข้ากับภาพรวมอย่างถูกต้องด้วย เพราะแม้แต่ SEG ที่มีการกำหนดค่าที่เหมาะสมก็สามารถเปลี่ยนเป็นวิธีการป้องกันเต็มรูปแบบได้
Ksenia Sadunina ที่ปรึกษาแผนกพรีเซลล์ผู้เชี่ยวชาญของผลิตภัณฑ์และบริการ Solar JSOC
ที่มา: will.com