มากกว่าการป้องกันสแปม: วิธีรับประโยชน์สูงสุดจาก Security Email Gateway

ในขณะที่องค์กรขนาดใหญ่สร้างระบบป้องกันหลายชั้นเพื่อรับมือกับผู้โจมตีและแฮกเกอร์ภายในองค์กรที่อาจเกิดขึ้น แต่อีเมลฟิชชิ่งและสแปมยังคงเป็นปัญหาใหญ่สำหรับบริษัทขนาดเล็ก หากมาร์ตี้ แม็กฟลายรู้ว่าในปี 2015 (และแน่นอนว่าไม่ใช่ในปี 2020) ผู้คนจะไม่ประดิษฐ์โฮเวอร์บอร์ดขึ้นมา หรือแม้แต่เรียนรู้วิธีกำจัดสแปมให้หมดสิ้น เขาคงหมดศรัทธาในมนุษยชาติไปแล้ว ยิ่งไปกว่านั้น สแปมในปัจจุบันไม่เพียงแต่สร้างความรำคาญ แต่ยังเป็นอันตรายอีกด้วย ในการโจมตีแบบคิลเชนประมาณ 70% อาชญากรไซเบอร์เจาะระบบโครงสร้างพื้นฐานผ่านมัลแวร์ที่อยู่ในไฟล์แนบหรือลิงก์ฟิชชิ่งในอีเมล

เมื่อไม่นานมานี้ มีแนวโน้มที่ชัดเจนเกี่ยวกับการแพร่กระจายของวิศวกรรมสังคม (social engineering) เพื่อเจาะระบบโครงสร้างพื้นฐานขององค์กร เมื่อเปรียบเทียบสถิติจากปี 2017 และ 2018 เราพบว่าจำนวนกรณีที่มัลแวร์ถูกส่งไปยังคอมพิวเตอร์ของพนักงานผ่านไฟล์แนบหรือลิงก์ฟิชชิ่งในอีเมลเพิ่มขึ้นเกือบ 50 เปอร์เซ็นต์

โดยทั่วไปแล้ว ภัยคุกคามทั้งหมดที่สามารถเกิดขึ้นโดยใช้อีเมลสามารถแบ่งออกได้เป็นหลายประเภท ดังนี้

• สแปมที่เข้ามา
• การรวมคอมพิวเตอร์ขององค์กรเข้ากับบอตเน็ตที่ส่งสแปมออกไป
• ไฟล์แนบที่เป็นอันตรายและไวรัสในเนื้อหาอีเมล (บริษัทขนาดเล็กมักได้รับผลกระทบจากการโจมตีจำนวนมากเช่น Petya)

เพื่อป้องกันการโจมตีทุกประเภท คุณสามารถเลือกใช้ระบบรักษาความปลอดภัยข้อมูลหลายระบบ หรือใช้รูปแบบบริการ เราได้... บอก เกี่ยวกับแพลตฟอร์มบริการรักษาความปลอดภัยทางไซเบอร์แบบครบวงจร (Unified Cybersecurity Services Platform) ซึ่งเป็นหัวใจสำคัญของระบบนิเวศบริการรักษาความปลอดภัยทางไซเบอร์ที่ Solar MSS บริหารจัดการ แพลตฟอร์มนี้ประกอบด้วยเทคโนโลยี Secure Email Gateway (SEG) เสมือนจริง โดยทั่วไปแล้ว บริการนี้มักใช้งานโดยบริษัทขนาดเล็ก ซึ่งงานด้านไอทีและความปลอดภัยของข้อมูลทั้งหมดจะได้รับการดูแลโดยผู้ดูแลระบบเพียงคนเดียว สแปมเป็นปัญหาที่ผู้ใช้และฝ่ายบริหารต้องจับตามองอยู่เสมอ และจำเป็นต้องได้รับการแก้ไข อย่างไรก็ตาม เมื่อเวลาผ่านไป แม้แต่ฝ่ายบริหารก็ตระหนักดีว่าการโยนปัญหาให้ผู้ดูแลระบบไม่ใช่ทางเลือก เพราะมันเสียเวลามากเกินไป

เวลา 2 ชั่วโมงในการคัดแยกอีเมลถือว่านานเกินไป

ผู้ค้าปลีกรายหนึ่งติดต่อเรามาด้วยสถานการณ์ที่คล้ายกัน ระบบติดตามเวลาแสดงให้เห็นว่าพนักงานของพวกเขาใช้เวลาทำงานประมาณ 25% ของเวลาทำงานประจำวัน (สองชั่วโมง!) ไปกับการค้นหาและจัดเรียงจดหมาย

หลังจากเชื่อมต่อเซิร์ฟเวอร์อีเมลของลูกค้าแล้ว เราได้กำหนดค่าอินสแตนซ์ SEG ให้เป็นเกตเวย์สองทางสำหรับอีเมลขาเข้าและขาออก เราเริ่มใช้การกรองตามนโยบายที่กำหนดไว้ล่วงหน้า เราสร้างบัญชีดำโดยอิงจากการวิเคราะห์ข้อมูลที่ลูกค้าให้มาและรายชื่ออีเมลที่อาจเป็นอันตรายของเราเอง ซึ่งผู้เชี่ยวชาญของ Solar JSOC ได้รับมาจากบริการอื่นๆ เช่น การตรวจสอบเหตุการณ์ด้านความปลอดภัยของข้อมูล หลังจากนั้น อีเมลทั้งหมดจะถูกส่งไปยังผู้รับหลังจากทำความสะอาดแล้วเท่านั้น และอีเมลขยะเกี่ยวกับ "ส่วนลดมหาศาล" จะไม่ไหลเข้าเซิร์ฟเวอร์อีเมลของลูกค้าอีกต่อไป ทำให้มีพื้นที่ว่างสำหรับความต้องการอื่นๆ

อย่างไรก็ตาม มีบางกรณีที่อีเมลที่ถูกต้องถูกจัดประเภทผิดพลาดว่าเป็นสแปม เช่น มาจากผู้ส่งที่ไม่น่าเชื่อถือ ในกรณีเหล่านี้ เราปล่อยให้ลูกค้าเป็นผู้ตัดสินใจ ทางเลือกมีจำกัด: ลบทันทีหรือกักกัน เราเลือกอย่างหลัง ซึ่งเป็นการเก็บอีเมลที่ไม่ต้องการไว้ใน SEG เอง เราให้ผู้ดูแลระบบเข้าถึงคอนโซลเว็บ ซึ่งพวกเขาสามารถค้นหาอีเมลสำคัญได้ตลอดเวลา เช่น จากผู้รับเหมา และส่งต่อไปยังผู้ใช้

การกำจัดปรสิต

บริการรักษาความปลอดภัยอีเมลประกอบด้วยรายงานวิเคราะห์ที่ออกแบบมาเพื่อตรวจสอบความปลอดภัยของโครงสร้างพื้นฐานและประสิทธิภาพของการตั้งค่าของคุณ รายงานเหล่านี้ยังช่วยให้คุณคาดการณ์แนวโน้มได้อีกด้วย ตัวอย่างเช่น เราสามารถค้นหาส่วน "สแปมตามผู้รับ" หรือ "สแปมตามผู้ส่ง" ที่เกี่ยวข้องในรายงาน และดูว่าอีเมลใดได้รับข้อความที่ถูกบล็อกมากที่สุด

ขณะที่กำลังวิเคราะห์รายงานดังกล่าว เราเริ่มสงสัยว่าจำนวนอีเมลโดยรวมของลูกค้ารายหนึ่งเพิ่มขึ้นอย่างมาก โครงสร้างพื้นฐานของพวกเขามีขนาดเล็ก และปริมาณอีเมลก็ต่ำ ต่อมาหลังเลิกงาน ปริมาณสแปมที่ถูกบล็อกก็เพิ่มขึ้นเกือบสองเท่า เราจึงตัดสินใจตรวจสอบอย่างละเอียดอีกครั้ง

เราพบว่าจำนวนอีเมลขาออกเพิ่มขึ้น และช่อง "ผู้ส่ง" ในอีเมลทั้งหมดมีที่อยู่อีเมลจากโดเมนที่เชื่อมต่อกับบริการป้องกันอีเมล แต่มีข้อควรระวังอยู่อย่างหนึ่งคือ ในบรรดาที่อยู่อีเมลที่สมเหตุสมผลอย่างสมบูรณ์ ซึ่งอาจมีอยู่จริงแล้ว ยังมีบางที่อยู่ที่ไม่ถูกต้องอย่างเห็นได้ชัด เราได้ตรวจสอบที่อยู่ IP ที่อีเมลถูกส่งมา และแน่นอนว่าปรากฏว่าที่อยู่เหล่านั้นไม่ได้อยู่ในพื้นที่ที่อยู่ที่ได้รับการป้องกัน เห็นได้ชัดว่าผู้โจมตีกำลังส่งสแปมในนามของลูกค้า

ในกรณีนี้ เราได้ให้คำแนะนำแก่ลูกค้าเกี่ยวกับวิธีการกำหนดค่าระเบียน DNS อย่างถูกต้อง โดยเฉพาะ SPF ผู้เชี่ยวชาญของเราแนะนำให้สร้างระเบียน TXT ที่มีกฎ "v=spf1 mx ip:1.2.3.4/23 -all" ซึ่งประกอบด้วยรายการที่อยู่อีเมลที่ครอบคลุมซึ่งได้รับอนุญาตให้ส่งอีเมลในนามของโดเมนที่ได้รับการป้องกัน

นี่คือเหตุผลที่เรื่องนี้สำคัญ: สแปมจากบริษัทเล็กๆ ที่ไม่รู้จักนั้นไม่น่าพึงพอใจ แต่ก็ไม่ได้ร้ายแรงอะไร สถานการณ์ค่อนข้างแตกต่างไปจากนี้ ยกตัวอย่างเช่น ในอุตสาหกรรมธนาคาร จากการสังเกตของเรา พบว่าความเชื่อมั่นของเหยื่อต่ออีเมลฟิชชิงเพิ่มขึ้นแบบทวีคูณ หากดูเหมือนว่าอีเมลเหล่านั้นถูกส่งมาจากโดเมนของธนาคารอื่นหรือคู่สัญญาที่รู้จัก ซึ่งไม่เพียงแต่เกิดขึ้นกับพนักงานธนาคารเท่านั้น แต่เรายังเห็นแนวโน้มเดียวกันนี้ในอุตสาหกรรมอื่นๆ เช่น ภาคพลังงานด้วย

การฆ่าเชื้อไวรัส

แต่การปลอมแปลงไม่ใช่ปัญหาที่พบบ่อยเท่าการติดไวรัส แล้วปกติแล้วผู้คนรับมือกับการระบาดของไวรัสอย่างไร พวกเขาติดตั้งโปรแกรมป้องกันไวรัสและหวังว่า "ศัตรูจะไม่เข้ามาได้" แต่ถ้ามันง่ายขนาดนั้น ในเมื่อซอฟต์แวร์ป้องกันไวรัสมีราคาค่อนข้างต่ำ ทุกคนคงลืมเรื่องมัลแวร์ไปนานแล้ว ในขณะเดียวกัน เราได้รับคำขออยู่เรื่อยๆ ว่า "ช่วยเรากู้คืนไฟล์หน่อย ทุกอย่างถูกเข้ารหัสแล้ว งานหยุดทำงาน ข้อมูลสูญหาย" เราไม่เคยเบื่อที่จะบอกลูกค้าของเราว่าซอฟต์แวร์ป้องกันไวรัสไม่ใช่ยาครอบจักรวาล นอกจากข้อเท็จจริงที่ว่าฐานข้อมูลไวรัสอาจไม่ได้รับการอัปเดตอย่างรวดเร็วเพียงพอแล้ว เรายังพบมัลแวร์ที่สามารถข้ามผ่านได้ไม่เพียงแต่ซอฟต์แวร์ป้องกันไวรัสเท่านั้น แต่ยังข้ามแซนด์บ็อกซ์ได้อีกด้วย

น่าเสียดายที่พนักงานระดับล่างมีน้อยคนนักที่จะตระหนักถึงฟิชชิงและอีเมลอันตราย และสามารถแยกแยะความแตกต่างจากการติดต่อสื่อสารทั่วไปได้ โดยเฉลี่ยแล้ว ผู้ใช้หนึ่งในเจ็ดคนที่ไม่ได้รับการฝึกอบรมด้านการตระหนักรู้อย่างสม่ำเสมอจะตกเป็นเหยื่อของกลโกงทางสังคม การเปิดไฟล์ที่ติดไวรัส หรือการส่งข้อมูลของตนไปยังผู้โจมตี

แม้ว่าแนวโน้มการโจมตีทางสังคมจะค่อยๆ เพิ่มขึ้นอย่างต่อเนื่อง แต่แนวโน้มนี้กลับเห็นได้ชัดเจนเป็นพิเศษในปีที่ผ่านมา อีเมลฟิชชิ่งเริ่มมีลักษณะคล้ายอีเมลที่คุ้นเคยมากขึ้นเรื่อยๆ เกี่ยวกับโปรโมชัน กิจกรรมที่จะเกิดขึ้น และอื่นๆ การโจมตีแบบ Silence ในภาคการเงินนั้นน่าจับตามองเป็นพิเศษ พนักงานธนาคารได้รับอีเมลที่อ้างว่ามีรหัสโปรโมชันสำหรับการเข้าร่วมการประชุม iFin ซึ่งเป็นงานสัมมนายอดนิยมของอุตสาหกรรม สัดส่วนของผู้ที่ตกเป็นเหยื่อของกลโกงนี้สูงมาก แม้ว่าเราจะกำลังพูดถึงภาคธนาคาร ซึ่งเป็นภาคที่มีความก้าวหน้าที่สุดด้านความปลอดภัยของข้อมูลก็ตาม

ก่อนวันปีใหม่ที่ผ่านมา เราพบเห็นสถานการณ์แปลกๆ หลายอย่างที่พนักงานของบริษัทอุตสาหกรรมได้รับอีเมลฟิชชิงที่ซับซ้อน ซึ่งมี "รายการ" โปรโมชั่นปีใหม่จากร้านค้าออนไลน์ยอดนิยมและรหัสส่วนลด พนักงานไม่เพียงแต่พยายามคลิกลิงก์ด้วยตนเอง แต่ยังส่งต่ออีเมลดังกล่าวไปยังเพื่อนร่วมงานในองค์กรที่เกี่ยวข้องอีกด้วย เนื่องจากทรัพยากรที่ลิงก์อยู่ในอีเมลฟิชชิงถูกบล็อก พนักงานจึงเริ่มส่งคำขอเข้าถึงไปยังฝ่ายไอทีเป็นจำนวนมาก โดยรวมแล้ว ความสำเร็จของแคมเปญอีเมลนี้ต้องเกินความคาดหมายของผู้โจมตีอย่างแน่นอน

เมื่อไม่นานมานี้ บริษัทแห่งหนึ่งที่ถูก "เข้ารหัส" ได้ติดต่อเราเพื่อขอความช่วยเหลือ เรื่องทั้งหมดเริ่มต้นขึ้นเมื่อพนักงานฝ่ายบัญชีได้รับจดหมายฉบับหนึ่งที่อ้างว่ามาจากธนาคารกลางแห่งสหพันธรัฐรัสเซีย พนักงานบัญชีคนนั้นคลิกที่ลิงก์ในจดหมายและดาวน์โหลดโปรแกรมขุดเหรียญ WannaMine ลงในเครื่องคอมพิวเตอร์ของตน เช่นเดียวกับ WannaCry ที่โด่งดัง โปรแกรมนี้ใช้ประโยชน์จากช่องโหว่ EternalBlue สิ่งที่น่าสนใจที่สุดคือ โปรแกรมป้องกันไวรัสส่วนใหญ่สามารถตรวจจับลายเซ็นของโปรแกรมนี้ได้ตั้งแต่ต้นปี 2018 แล้ว แต่ไม่ว่าโปรแกรมป้องกันไวรัสจะถูกปิดใช้งาน ฐานข้อมูลไม่ได้รับการอัปเดต หรือโปรแกรมขุดเหรียญไม่ได้อยู่ในเครื่องเลยก็ตาม ในกรณีใดๆ ก็ตาม โปรแกรมขุดเหรียญได้อยู่ในเครื่องคอมพิวเตอร์แล้ว และไม่มีอะไรหยุดยั้งมันจากการแพร่กระจายไปยังส่วนอื่นๆ ของเครือข่ายและใช้ทรัพยากร CPU เซิร์ฟเวอร์ และ ARM ที่ 100%

ลูกค้ารายนี้ได้รับรายงานจากทีมนิติวิทยาศาสตร์ของเราแล้ว และพบว่าไวรัสได้แทรกซึมเข้าสู่ระบบของพวกเขาผ่านทางอีเมลในตอนแรก จึงได้ริเริ่มโครงการนำร่องเพื่อผสานรวมบริการป้องกันอีเมล สิ่งแรกที่เรากำหนดค่าคือซอฟต์แวร์ป้องกันไวรัสอีเมล การสแกนมัลแวร์ยังคงดำเนินต่อไป และในช่วงแรกมีการอัปเดตลายเซ็นทุกชั่วโมง แต่ต่อมาลูกค้าได้เปลี่ยนไปใช้โหมดวันละสองครั้ง

การป้องกันไวรัสอย่างครอบคลุมต้องครอบคลุมหลายชั้น เมื่อพูดถึงไวรัสที่ส่งผ่านทางอีเมล สิ่งสำคัญคือต้องกรองอีเมลดังกล่าวตั้งแต่ต้นทาง ฝึกฝนผู้ใช้ให้รู้จักกลวิธีทางสังคม แล้วจึงค่อยพึ่งพาซอฟต์แวร์ป้องกันไวรัสและแซนด์บ็อกซ์

ระวังอยู่เสมอ

แน่นอนว่าเราไม่ได้อ้างว่าโซลูชัน Secure Email Gateway เป็นยาครอบจักรวาล การโจมตีแบบเจาะจงเป้าหมาย รวมถึงสเปียร์ฟิชชิง เป็นเรื่องยากมากที่จะป้องกัน เนื่องจากการโจมตีแต่ละครั้งจะถูกปรับแต่งให้เหมาะสมกับผู้รับเฉพาะ (องค์กรหรือบุคคล) แต่สำหรับบริษัทที่พยายามสร้างความมั่นใจในระดับความปลอดภัยขั้นพื้นฐาน นี่ถือเป็นก้าวสำคัญ โดยเฉพาะอย่างยิ่งเมื่อนำประสบการณ์และความเชี่ยวชาญที่เหมาะสมมาประยุกต์ใช้ในงานนั้นๆ

การโจมตีแบบสเปียร์ฟิชชิงส่วนใหญ่มักไม่มีไฟล์แนบที่เป็นอันตรายในเนื้อหาอีเมล มิฉะนั้น ระบบป้องกันสแปมจะบล็อกอีเมลทันทีก่อนที่จะถึงผู้รับ แต่ระบบจะใส่ลิงก์ไปยังแหล่งข้อมูลบนเว็บที่เตรียมไว้แล้วในเนื้อหาอีเมลแทน ซึ่งก็เป็นเรื่องง่ายๆ ผู้ใช้จะคลิกลิงก์นั้น และหลังจากเปลี่ยนเส้นทางหลายครั้ง ภายในไม่กี่วินาทีก็จะมาถึงลิงก์สุดท้ายในห่วงโซ่ ซึ่งเมื่อเปิดลิงก์ขึ้นมาจะดาวน์โหลดมัลแวร์ลงในคอมพิวเตอร์

ซับซ้อนยิ่งกว่านั้น: ลิงก์อาจไม่เป็นอันตรายเมื่อได้รับอีเมล และหลังจากผ่านไประยะหนึ่ง เมื่ออีเมลถูกสแกนและประมวลผลแล้ว จึงจะเริ่มเปลี่ยนเส้นทางไปยังมัลแวร์ น่าเสียดายที่ผู้เชี่ยวชาญของ Solar JSOC แม้จะมีความเชี่ยวชาญ แต่ก็ไม่สามารถกำหนดค่าเกตเวย์อีเมลให้ "มองเห็น" มัลแวร์ได้ตลอดทั้งเชน (แม้ว่าการแทนที่ลิงก์ทั้งหมดในอีเมลโดยอัตโนมัติด้วย SEG สามารถใช้เป็นแนวทางป้องกันได้ เพื่อให้ SEG สแกนลิงก์ไม่เพียงแต่เมื่อได้รับเท่านั้น แต่ทุกครั้งที่คลิก)

ในขณะเดียวกัน แม้แต่การเปลี่ยนเส้นทางแบบทั่วไปก็สามารถแก้ไขได้ด้วยการรวบรวมความเชี่ยวชาญหลายประเภท รวมถึงข้อมูลจาก JSOC CERT และ OSINT ของเรา วิธีนี้ช่วยให้เราสามารถสร้างบัญชีดำที่ครอบคลุม ซึ่งจะบล็อกอีเมลที่มีการเปลี่ยนเส้นทางหลายครั้งได้

การใช้ SEG เปรียบเสมือนอิฐก้อนเล็กๆ ที่องค์กรต่างๆ ต้องการสร้างขึ้นเพื่อปกป้องทรัพย์สินของตน แต่แม้แต่ส่วนประกอบนี้ก็ต้องผสานรวมเข้ากับภาพรวมอย่างเหมาะสม เพราะแม้แต่ SEG ที่มีการกำหนดค่าที่เหมาะสมก็สามารถกลายเป็นเครื่องมือรักษาความปลอดภัยที่สมบูรณ์แบบได้

Ksenia Sadunina ที่ปรึกษาฝ่ายขายผู้เชี่ยวชาญสำหรับผลิตภัณฑ์และบริการของ Solar JSOC

ที่มา: will.com