Büyük Kuruluş, potansiyel dahili saldırganlara ve bilgisayar korsanlarına karşı kademeli tabyalar inşa ederken, kimlik avı ve spam postaları daha basit şirketler için baş ağrısı olmaya devam ediyor. Marty McFly, 2015'te (ve hatta 2020'de) insanların sadece uçan kaykayları icat etmekle kalmayıp, istenmeyen postalardan tamamen kurtulmayı bile öğrenemeyeceklerini bilseydi, muhtemelen insanlığa olan inancını kaybederdi. Üstelik günümüzde spam sadece sinir bozucu değil aynı zamanda çoğu zaman zararlıdır. Killchain uygulamalarının yaklaşık %70'inde siber suçlular, eklerdeki kötü amaçlı yazılımları veya e-postalardaki kimlik avı bağlantılarını kullanarak altyapıya sızıyor.
Son zamanlarda, bir kuruluşun altyapısına nüfuz etmenin bir yolu olarak sosyal mühendisliğin yayılmasına yönelik açık bir eğilim var. 2017 ve 2018 istatistiklerini karşılaştırdığımızda, kötü amaçlı yazılımların e-posta gövdesindeki ekler veya kimlik avı bağlantıları aracılığıyla çalışanların bilgisayarlarına dağıtıldığı vakaların sayısında neredeyse %50'lik bir artış olduğunu görüyoruz.
Genel olarak, e-posta kullanılarak gerçekleştirilebilecek tüm tehditler birkaç kategoriye ayrılabilir:
- gelen spam
- bir kuruluşun bilgisayarlarının giden spam gönderen bir botnet'e dahil edilmesi
- mektubun gövdesinde kötü amaçlı ekler ve virüsler (küçük şirketler çoğunlukla Petya gibi büyük saldırılardan muzdariptir).
Her türlü saldırıya karşı korunmak için birden fazla bilgi güvenliği sistemi dağıtabilir veya bir hizmet modelinin yolunu takip edebilirsiniz. Biz çoktan Solar MSS tarafından yönetilen siber güvenlik hizmetleri ekosisteminin çekirdeği olan Birleşik Siber Güvenlik Hizmetleri Platformu hakkında. Diğer şeylerin yanı sıra, sanallaştırılmış Güvenli E-posta Ağ Geçidi (SEG) teknolojisini içerir. Kural olarak, bu hizmete abonelik, tüm BT ve bilgi güvenliği işlevlerinin tek bir kişiye (sistem yöneticisi) atandığı küçük şirketler tarafından satın alınır. Spam, kullanıcılar ve yönetim tarafından her zaman görülebilen ve göz ardı edilemeyecek bir sorundur. Bununla birlikte, zamanla, yönetim bile bunu sistem yöneticisine basitçe "bırakmanın" imkansız olduğu anlaşılır - bu çok fazla zaman alır.
Postayı ayrıştırmak için 2 saat biraz fazla
Perakendecilerden biri de benzer bir durumla bize başvurdu. Zaman takip sistemleri, çalışanlarının her gün çalışma sürelerinin yaklaşık %25'ini (2 saat!) posta kutusunu düzenlemek için harcadığını gösterdi.
Müşterinin posta sunucusunu bağladıktan sonra SEG örneğini hem gelen hem de giden postalar için iki yönlü bir ağ geçidi olarak yapılandırdık. Önceden belirlenmiş politikalara göre filtrelemeye başladık. Kara Listeyi, müşteri tarafından sağlanan verilerin analizine ve Solar JSOC uzmanları tarafından diğer hizmetlerin (örneğin, bilgi güvenliği olaylarının izlenmesi) bir parçası olarak elde edilen potansiyel olarak tehlikeli adreslerden oluşan kendi listelerimize dayanarak derledik. Bundan sonra, tüm postalar yalnızca temizlendikten sonra alıcılara teslim edildi ve "büyük indirimler" ile ilgili çeşitli spam postalar, müşterinin posta sunucularına tonlarca dökülmeyi bırakarak diğer ihtiyaçlar için yer açtı.
Ancak meşru bir mektubun, örneğin güvenilmeyen bir göndericiden alınmış gibi yanlışlıkla spam olarak sınıflandırıldığı durumlar da olmuştur. Bu durumda karar hakkını müşteriye verdik. Ne yapılacağına dair çok fazla seçenek yok: hemen silin veya karantinaya gönderin. Bu tür önemsiz postaların SEG'de depolandığı ikinci yolu seçtik. Sistem yöneticisine, örneğin karşı taraftan gelen önemli bir mektubu istediği zaman bulabileceği ve kullanıcıya iletebileceği web konsoluna erişim sağladık.
Parazitlerden kurtulmak
E-posta koruma hizmeti, amacı altyapının güvenliğini ve kullanılan ayarların etkinliğini izlemek olan analitik raporları içerir. Ayrıca bu raporlar trendleri tahmin etmenize olanak sağlar. Örneğin, raporda ilgili "Alıcıya Göre Spam" veya "Göndere Göre Spam" bölümünü buluyoruz ve en fazla sayıda engellenen mesajın kimin adresini aldığına bakıyoruz.
Böyle bir raporu incelerken müşterilerden birinden gelen toplam mektup sayısının keskin bir şekilde artması bize şüpheli göründü. Altyapısı küçük, harf sayısı az. Ve bir iş gününün ardından aniden engellenen spam miktarı neredeyse iki katına çıktı. Daha yakından bakmaya karar verdik.
Giden mektup sayısının arttığını ve “Gönderen” alanındaki tüm mektupların, posta koruma hizmetine bağlı bir alan adına ait adresler içerdiğini görüyoruz. Ancak bir nüans var: Oldukça aklı başında, hatta belki de mevcut adresler arasında açıkça tuhaf olanlar var. Mektupların gönderildiği IP'lere baktık ve beklendiği gibi bunların korumalı adres alanına ait olmadığı ortaya çıktı. Saldırganın müşteri adına spam gönderdiği açıktır.
Bu durumda müşteriye DNS kayıtlarının, özellikle de SPF'nin nasıl doğru şekilde yapılandırılacağı konusunda önerilerde bulunduk. Uzmanımız, korunan alan adına mektup göndermesine izin verilen adreslerin kapsamlı bir listesini içeren “v=spf1 mx ip:1.2.3.4/23 -all” kuralını içeren bir TXT kaydı oluşturmamızı önerdi.
Aslında bu neden önemlidir: Bilinmeyen küçük bir şirket adına yapılan spam rahatsız edicidir ancak kritik değildir. Örneğin bankacılık sektöründe durum tamamen farklıdır. Gözlemlerimize göre, kurbanın bir kimlik avı e-postasına olan güven düzeyi, e-postanın başka bir bankanın etki alanından veya kurbanın tanıdığı bir karşı taraftan gönderildiği varsayılırsa kat kat artıyor. Ve bu sadece banka çalışanlarını farklılaştırmıyor; enerji gibi diğer sektörlerde de aynı eğilimle karşı karşıyayız.
Virüsleri öldürmek
Ancak sahtecilik, örneğin viral enfeksiyonlar kadar yaygın bir sorun değildir. Viral salgınlarla en sık nasıl savaşırsınız? Bir antivirüs kuruyorlar ve "düşmanın geçemeyeceğini" umuyorlar. Ancak her şey bu kadar basit olsaydı, antivirüslerin oldukça düşük maliyeti göz önüne alındığında, herkes kötü amaçlı yazılım sorununu çoktan unutmuş olurdu. Bu arada sürekli olarak “dosyaları geri yüklememize yardım edin, her şeyi şifreledik, iş durdu, veriler kayboldu” dizisinden talepler alıyoruz. Antivirüsün her derde deva olmadığını müşterilerimize tekrarlamaktan asla yorulmayız. Antivirüs veritabanlarının yeterince hızlı güncellenemeyebileceği gerçeğine ek olarak, yalnızca antivirüsleri değil aynı zamanda sanal alanları da atlayabilen kötü amaçlı yazılımlarla sıklıkla karşılaşıyoruz.
Ne yazık ki, kuruluşların çok az sayıda sıradan çalışanı kimlik avı ve kötü amaçlı e-postaların farkındadır ve bunları normal yazışmalardan ayırt edebilmektedir. Ortalama olarak, düzenli olarak bilinçlendirme çalışmalarına katılmayan her 7 kullanıcıdan biri sosyal mühendisliğe yenik düşüyor: virüslü bir dosyayı açıyor veya verilerini saldırganlara gönderiyor.
Saldırıların sosyal vektörü genel olarak giderek artıyor olsa da, bu eğilim özellikle geçen yıl dikkat çekici hale geldi. Kimlik avı e-postaları, promosyonlar, yaklaşan etkinlikler vb. hakkındaki normal postalara giderek daha fazla benzemeye başladı. Burada finans sektörüne yönelik Sessizlik saldırısını hatırlayabiliriz - banka çalışanları, popüler endüstri konferansı iFin'e katılım için promosyon kodu içeren bir mektup aldıkları iddia edildi ve hileye yenik düşenlerin yüzdesi çok yüksekti, ancak hatırlayalım bilgi güvenliği konularında en gelişmiş olan bankacılık sektöründen bahsediyoruz.
Geçen Yeni Yıldan önce, sanayi şirketlerinin çalışanlarının, popüler çevrimiçi mağazalardaki Yeni Yıl promosyonlarının bir "listesini" ve indirimler için promosyon kodlarını içeren çok yüksek kaliteli kimlik avı mektupları aldığında oldukça ilginç durumlar da gözlemledik. Çalışanlar yalnızca bağlantıyı kendileri takip etmekle kalmadı, aynı zamanda mektubu ilgili kuruluşlardaki meslektaşlarına da iletti. Kimlik avı e-postasındaki bağlantının yönlendirdiği kaynak engellendiğinden, çalışanlar toplu olarak BT hizmetine erişim sağlamak için talepler göndermeye başladı. Genel olarak postalamanın başarısı saldırganların tüm beklentilerini aşmış olmalı.
Ve yakın zamanda "şifrelenmiş" bir şirket yardım için bize başvurdu. Her şey muhasebe çalışanlarının Rusya Federasyonu Merkez Bankası'ndan olduğu iddia edilen bir mektup almasıyla başladı. Muhasebeci mektuptaki bağlantıya tıkladı ve ünlü WannaCry gibi EternalBlue güvenlik açığından yararlanan WannaMine madencisini makinesine indirdi. En ilginç olanı ise çoğu antivirüsün 2018'in başından bu yana imzalarını tespit edebilmesidir. Ancak, ya antivirüs devre dışı bırakıldı ya da veritabanları güncellenmedi ya da hiç orada değildi - her durumda, madenci zaten bilgisayardaydı ve hiçbir şey onun ağ üzerinde daha fazla yayılmasını, sunucuları yüklemesini engellemedi. CPU ve iş istasyonları %100'de.
Adli tıp ekibimizden bir rapor alan bu müşteri, virüsün kendisine ilk olarak e-posta yoluyla bulaştığını gördü ve bir e-posta koruma hizmetine bağlanmak için bir pilot proje başlattı. Kurduğumuz ilk şey bir e-posta antivirüs yazılımıydı. Aynı zamanda kötü amaçlı yazılımlara karşı tarama sürekli olarak yapılıyor ve imza güncellemeleri başlangıçta saat başı yapılıyordu, ardından müşteri günde iki kez güncellemeye geçti.
Viral enfeksiyonlara karşı tam koruma katmanlı olmalıdır. Virüslerin e-posta yoluyla bulaşmasından bahsedersek, girişte bu tür mektupları filtrelemek, kullanıcıları sosyal mühendisliği tanıma konusunda eğitmek ve ardından antivirüslere ve sanal alanlara güvenmek gerekir.
SEGda'da nöbet tutuyor
Elbette Güvenli E-posta Ağ Geçidi çözümlerinin her derde deva olduğunu iddia etmiyoruz. Hedef odaklı kimlik avı da dahil olmak üzere hedefli saldırıların önlenmesi son derece zordur çünkü... Bu tür saldırıların her biri belirli bir alıcıya (kurum veya kişiye) göre "özelleştirilir". Ancak temel düzeyde güvenlik sağlamaya çalışan bir şirket için bu çok fazla, özellikle de göreve doğru deneyim ve uzmanlık uygulandığında.
Çoğu zaman, hedef odaklı kimlik avı gerçekleştirildiğinde, kötü amaçlı ekler mektupların içeriğine dahil edilmez, aksi takdirde antispam sistemi böyle bir mektubu alıcıya giderken hemen engeller. Ancak mektubun metninde önceden hazırlanmış bir web kaynağına bağlantılar içeriyorlar ve bu da küçük bir mesele. Kullanıcı bağlantıyı takip ediyor ve birkaç saniye içinde birkaç yeniden yönlendirmeden sonra tüm zincirdeki sonuncuya ulaşıyor ve bu yönlendirmenin açılması, bilgisayarına kötü amaçlı yazılım indirecek.
Daha da karmaşık: Mektubu aldığınız anda bağlantı zararsız olabilir ve ancak bir süre geçtikten sonra, zaten taranıp atlandıktan sonra, kötü amaçlı yazılımlara yönlendirmeye başlayacaktır. Ne yazık ki, Solar JSOC uzmanları, yetkinliklerini hesaba katsalar bile, posta ağ geçidini tüm zincir boyunca kötü amaçlı yazılımları "görecek" şekilde yapılandıramayacaklar (ancak koruma olarak, tüm bağlantıların harflerle otomatik olarak değiştirilmesini kullanabilirsiniz) SEG'e, böylece ikincisi bağlantıyı yalnızca mektubun teslimi sırasında değil, her geçişte tarar).
Bu arada, JSOC CERT ve OSINT tarafından elde edilen veriler de dahil olmak üzere, çeşitli uzmanlık türlerinin bir araya getirilmesiyle tipik bir yönlendirmenin üstesinden gelinebilir. Bu, birden fazla yönlendirmeye sahip bir mektubun bile engelleneceği genişletilmiş kara listeler oluşturmanıza olanak tanır.
SEG'i kullanmak, herhangi bir kuruluşun varlıklarını korumak için inşa etmek istediği duvardaki küçük bir tuğladır. Ancak bu bağlantının aynı zamanda genel resme doğru bir şekilde entegre edilmesi gerekiyor, çünkü SEG bile uygun konfigürasyonla tam teşekküllü bir koruma aracına dönüştürülebilir.
Ksenia Sadunina, Solar JSOC ürün ve hizmetlerinin uzman satış öncesi departmanı danışmanı
Kaynak: habr.com