Katta Korxona potentsial ichki tajovuzkorlar va xakerlardan echeloned reduts qurayotgan bo'lsa-da, fishing va spam jo'natmalari oddiy kompaniyalar uchun bosh og'rig'i bo'lib qolmoqda. Agar Marti Makflay 2015 yilda (va undan ham ko'proq 2020 yilda) odamlar nafaqat hoverbordlarni ixtiro qilishlarini, balki keraksiz xatlardan butunlay xalos bo'lishni ham o'rganmasliklarini bilsa, ehtimol u insoniyatga ishonchini yo'qotadi. Bundan tashqari, bugungi kunda spam nafaqat zerikarli, balki ko'pincha zararli. Kilchain ilovalarining taxminan 70 foizida kiberjinoyatchilar qo'shimchalardagi zararli dasturlardan yoki elektron pochta xabarlaridagi fishing havolalari orqali infratuzilmaga kirib boradilar.
So'nggi paytlarda tashkilot infratuzilmasiga kirib borish usuli sifatida ijtimoiy injeneriyaning tarqalishiga nisbatan aniq tendentsiya kuzatildi. 2017 va 2018 yillardagi statistik maʼlumotlarni solishtirsak, zararli dasturlarning elektron xatning asosiy qismidagi qoʻshimchalar yoki fishing havolalari orqali xodimlar kompyuterlariga yetkazilgan holatlar soni deyarli 50 foizga oshganini koʻramiz.
Umuman olganda, elektron pochta orqali amalga oshirilishi mumkin bo'lgan barcha tahdidlarni bir necha toifalarga bo'lish mumkin:
- kiruvchi spam
- chiquvchi spam yuboruvchi botnetga tashkilot kompyuterlarini kiritish
- xatning tanasida zararli qo'shimchalar va viruslar (kichik kompaniyalar ko'pincha Petya kabi ommaviy hujumlardan aziyat chekishadi).
Barcha turdagi hujumlardan himoyalanish uchun siz bir nechta axborot xavfsizligi tizimlarini o'rnatishingiz yoki xizmat modeli yo'lidan yurishingiz mumkin. Biz allaqachon Yagona kiberxavfsizlik xizmatlari platformasi haqida - Solar MSS boshqariladigan kiberxavfsizlik xizmatlari ekotizimining yadrosi. Boshqa narsalar qatorida, u virtualizatsiyalangan Secure Email Gateway (SEG) texnologiyasini o'z ichiga oladi. Qoida tariqasida, ushbu xizmatga obunani barcha IT va axborot xavfsizligi funktsiyalari bir shaxsga - tizim ma'muriga yuklangan kichik kompaniyalar sotib oladi. Spam har doim foydalanuvchilar va boshqaruvga ko'rinadigan muammo bo'lib, uni e'tiborsiz qoldirib bo'lmaydi. Biroq, vaqt o'tishi bilan, hatto rahbariyat ham uni tizim ma'muriga shunchaki "tashlab qo'yish" mumkin emasligi aniq bo'ladi - bu juda ko'p vaqtni oladi.
Pochtani tahlil qilish uchun 2 soat biroz ko'p
Chakana sotuvchilardan biri bizga xuddi shunday vaziyat bilan murojaat qildi. Vaqtni kuzatish tizimlari shuni ko'rsatdiki, uning xodimlari har kuni ish vaqtining taxminan 25 foizini (2 soat!) pochta qutisini saralashga sarflashgan.
Mijozning pochta serverini ulab, biz SEG nusxasini kiruvchi va chiquvchi xatlar uchun ikki tomonlama shlyuz sifatida sozladik. Biz oldindan o'rnatilgan siyosatlarga muvofiq filtrlashni boshladik. Biz “Qora roʻyxat”ni mijoz tomonidan taqdim etilgan maʼlumotlar tahlili va “Solar” JSOC mutaxassislari tomonidan boshqa xizmatlarning bir qismi sifatida olingan potentsial xavfli manzillar roʻyxati, masalan, axborot xavfsizligi hodisalarini kuzatish asosida tuzdik. Shundan so'ng, barcha xatlar qabul qiluvchilarga faqat tozalangandan so'ng yetkazildi va "katta chegirmalar" haqidagi turli xil spam-xabarlar mijozning pochta serverlariga tonnalab tushishni to'xtatdi va boshqa ehtiyojlar uchun joy bo'shatdi.
Biroq, qonuniy xat noto'g'ri spam sifatida tasniflangan, masalan, ishonchsiz jo'natuvchidan olingan holatlar mavjud. Bunday holda, biz mijozga qaror qilish huquqini berdik. Nima qilish kerakligi haqida ko'p variantlar mavjud emas: uni darhol o'chirib tashlang yoki karantinga yuboring. Biz ikkinchi yo'lni tanladik, unda bunday keraksiz xatlar SEGning o'zida saqlanadi. Biz tizim ma'muriga istalgan vaqtda, masalan, kontragentdan muhim xatni topishi va uni foydalanuvchiga yuborishi mumkin bo'lgan veb-konsolga kirishni taqdim etdik.
Parazitlardan xalos bo'lish
Elektron pochtani himoya qilish xizmati tahliliy hisobotlarni o'z ichiga oladi, uning maqsadi infratuzilma xavfsizligi va foydalanilgan sozlamalar samaradorligini nazorat qilishdir. Bundan tashqari, ushbu hisobotlar tendentsiyalarni bashorat qilish imkonini beradi. Masalan, biz hisobotda tegishli bo'limni topamiz "Qabul qiluvchi tomonidan spam" yoki "Yuborgan tomonidan spam" va kimning manzili eng ko'p bloklangan xabarlarni qabul qilishini ko'rib chiqamiz.
Aynan shunday xabarni tahlil qilar ekanmiz, mijozlardan birining maktublarining umumiy soni keskin oshgani bizga shubhali tuyuldi. Uning infratuzilmasi kichik, harflar soni kam. Va to'satdan, ish kunidan so'ng, bloklangan spam miqdori deyarli ikki baravar ko'paydi. Biz batafsilroq ko'rib chiqishga qaror qildik.
Biz chiquvchi xatlar soni ko'payganini ko'rmoqdamiz va ularning barchasi "Yuborish" maydonida pochtani himoya qilish xizmatiga ulangan domen manzillarini o'z ichiga oladi. Ammo bitta nuance bor: juda aqlli, ehtimol mavjud manzillar orasida g'alati manzillar bor. Biz xatlar yuborilgan IP-larni ko'rib chiqdik va kutilgandek, ular himoyalangan manzil maydoniga tegishli emasligi ma'lum bo'ldi. Shubhasiz, tajovuzkor mijoz nomidan spam yuborgan.
Bunday holda, biz mijozga DNS yozuvlarini, xususan, SPF ni to'g'ri sozlash bo'yicha tavsiyalar berdik. Mutaxassisimiz bizga “v=spf1 mx ip:1.2.3.4/23 -all” qoidasini o‘z ichiga olgan TXT yozuvini yaratishni maslahat berdi, unda himoyalangan domen nomidan xat yuborishga ruxsat berilgan manzillarning to‘liq ro‘yxati mavjud.
Aslida, bu nima uchun muhim: noma'lum kichik kompaniya nomidan spam yoqimsiz, ammo muhim emas. Vaziyat butunlay boshqacha, masalan, bank sohasida. Bizning kuzatishlarimizga ko'ra, jabrlanuvchining fishing elektron pochtasiga bo'lgan ishonch darajasi, agar u boshqa bank yoki jabrlanuvchiga ma'lum bo'lgan kontragent domenidan yuborilgan bo'lsa, bir necha baravar ortadi. Bu nafaqat bank xodimlarini, balki boshqa sohalarda, masalan, energetika sohasida ham xuddi shunday tendentsiyaga duch kelmoqdamiz.
Viruslarni o'ldirish
Ammo aldash, masalan, virusli infektsiyalar kabi keng tarqalgan muammo emas. Virusli epidemiyalar bilan qanday kurashasiz? Ular antivirusni o'rnatadilar va "dushman o'tib ketmaydi" deb umid qiladilar. Ammo agar hamma narsa juda oddiy bo'lsa, antiviruslarning arzonligi hisobga olinsa, hamma zararli dasturlar muammosini allaqachon unutgan bo'lar edi. Shu bilan birga, biz doimiy ravishda "fayllarni tiklashga yordam bering, biz hamma narsani shifrladik, ish to'xtab qoldi, ma'lumotlar yo'qoladi" so'rovlarini olamiz. Biz mijozlarimizga antivirus panatseya emasligini takrorlashdan charchamaymiz. Antivirus ma'lumotlar bazalari etarlicha tez yangilanmasligiga qo'shimcha ravishda, biz ko'pincha nafaqat antiviruslarni, balki qum qutilarini ham chetlab o'tadigan zararli dasturlarga duch kelamiz.
Afsuski, bir nechta oddiy tashkilotlar xodimlari fishing va zararli elektron pochta xabarlarini bilishadi va ularni oddiy yozishmalardan ajrata oladilar. O'rtacha, muntazam xabardorlikni oshirishdan o'tmaydigan har 7-foydalanuvchi ijtimoiy injeneriyaga bo'ysunadi: zararlangan faylni ochish yoki o'z ma'lumotlarini tajovuzkorlarga yuborish.
Hujumlarning ijtimoiy vektori, umuman olganda, asta-sekin o'sib borayotgan bo'lsa-da, bu tendentsiya o'tgan yili ayniqsa sezilarli bo'ldi. Fishing elektron pochta xabarlari reklama aktsiyalari, bo'lajak voqealar va hokazolar haqidagi oddiy xabarlarga ko'proq o'xshab borardi. Bu erda biz moliya sektoriga sukunat hujumini eslashimiz mumkin - bank xodimlari mashhur iFin sanoat konferentsiyasida ishtirok etish uchun reklama kodi bo'lgan xat oldilar va hiylaga berilib ketganlarning foizi juda yuqori edi, ammo eslaylik , biz bank sanoati haqida gapiramiz - axborot xavfsizligi masalalarida eng ilg'or.
O'tgan Yangi yil oldidan biz sanoat kompaniyalari xodimlari mashhur onlayn-do'konlarda yangi yil aktsiyalarining "ro'yxati" va chegirmalar uchun reklama kodlari bilan juda yuqori sifatli fishing xatlarini olganlarida bir nechta qiziq vaziyatlarni kuzatdik. Xodimlar nafaqat havolani o'zlari kuzatishga harakat qilishdi, balki xatni tegishli tashkilotlardagi hamkasblariga yuborishdi. Fishing elektron pochtasidagi havola olib boradigan resurs bloklanganligi sababli, xodimlar ommaviy ravishda IT xizmatiga kirishni ta'minlash uchun so'rovlar yuborishni boshladilar. Umuman olganda, pochta jo'natmalarining muvaffaqiyati hujumchilarning barcha kutganlaridan oshib ketgan bo'lishi kerak.
Va yaqinda "shifrlangan" kompaniya yordam so'rab bizga murojaat qildi. Hammasi buxgalteriya xodimlari Rossiya Federatsiyasi Markaziy bankidan maktub olganlarida boshlandi. Buxgalter xatdagi havolani bosdi va mashhur WannaCry kabi EternalBlue zaifligidan foydalangan WannaMine konchini o'z mashinasiga yuklab oldi. Eng qizig'i shundaki, ko'pchilik antiviruslar 2018 yil boshidan buyon uning imzolarini aniqlay oldi. Ammo, antivirus o'chirilgan yoki ma'lumotlar bazalari yangilanmagan yoki u umuman yo'q - har qanday holatda, konchi allaqachon kompyuterda edi va hech narsa uning tarmoq bo'ylab tarqalishiga, serverlarni yuklashiga to'sqinlik qilmadi. CPU va ish stantsiyalari 100%.
Ushbu mijoz bizning sud-tibbiyot ekspertizasi guruhimizdan hisobot olib, virus dastlab unga elektron pochta orqali kirganini ko'rdi va elektron pochtani himoya qilish xizmatini ulash bo'yicha pilot loyihani ishga tushirdi. Biz o'rnatgan birinchi narsa elektron pochta antivirusi edi. Shu bilan birga, zararli dasturlarni skanerlash doimiy ravishda amalga oshiriladi va imzo yangilanishlari dastlab har soatda amalga oshirildi, keyin esa mijoz kuniga ikki marta o'tdi.
Virusli infektsiyalarga qarshi to'liq himoya qatlamli bo'lishi kerak. Agar viruslarning elektron pochta orqali uzatilishi haqida gapiradigan bo'lsak, unda kirish joyida bunday harflarni filtrlash, foydalanuvchilarni ijtimoiy muhandislikni tan olishga o'rgatish, keyin esa antiviruslar va qum qutilariga tayanish kerak.
SEGda qorovulda
Albatta, biz Secure Email Gateway yechimlari panatseya deb da'vo qilmaymiz. Maqsadli hujumlarni, shu jumladan nayzali fishingni oldini olish juda qiyin, chunki... Har bir bunday hujum ma'lum bir oluvchi (tashkilot yoki shaxs) uchun "moslashtirilgan". Ammo xavfsizlikning asosiy darajasini ta'minlashga harakat qilayotgan kompaniya uchun bu juda ko'p, ayniqsa vazifaga qo'llaniladigan to'g'ri tajriba va tajriba bilan.
Ko'pincha, nayzali fishing amalga oshirilganda, zararli qo'shimchalar xatlar tarkibiga kiritilmaydi, aks holda antispam tizimi bunday xatni qabul qiluvchiga yo'lda darhol bloklaydi. Lekin ular xat matnida oldindan tayyorlangan veb-resursga havolalarni o'z ichiga oladi, keyin esa bu kichik masala. Foydalanuvchi havolani kuzatib boradi va bir necha soniya ichida bir necha yo'naltirishdan so'ng butun zanjirning oxirgisida tugaydi, uning ochilishi uning kompyuteriga zararli dasturni yuklab oladi.
Bundan ham murakkabroq: siz xat olganingizda, havola zararsiz bo'lishi mumkin va bir muncha vaqt o'tgach, u allaqachon skanerlangan va o'tkazib yuborilgandan so'ng, u zararli dasturlarga yo'naltirishni boshlaydi. Afsuski, Solar JSOC mutaxassislari, hatto o'zlarining vakolatlarini hisobga olgan holda, butun zanjir bo'ylab zararli dasturlarni "ko'rish" uchun pochta shlyuzini sozlay olmaydilar (garchi himoya sifatida siz harflardagi barcha havolalarni avtomatik ravishda almashtirishdan foydalanishingiz mumkin). SEG ga, shuning uchun ikkinchisi havolani nafaqat xatni etkazib berish vaqtida, balki har bir o'tishda skanerlaydi).
Ayni paytda, hatto odatiy qayta yo'naltirishni ham bir necha turdagi ekspertizalarni, shu jumladan JSOC CERT va OSINT tomonidan olingan ma'lumotlarni yig'ish orqali hal qilish mumkin. Bu sizga kengaytirilgan qora ro'yxatlarni yaratishga imkon beradi, ularning asosida hatto bir nechta yo'naltirilgan xat ham bloklanadi.
SEG-dan foydalanish har qanday tashkilot o'z aktivlarini himoya qilish uchun qurmoqchi bo'lgan devordagi kichik g'ishtdir. Ammo bu havola ham umumiy rasmga to'g'ri kiritilishi kerak, chunki hatto to'g'ri konfiguratsiyaga ega SEG ham to'liq himoya vositasiga aylanishi mumkin.
Kseniya Sadunina, Solar JSOC mahsulot va xizmatlarini sotish bo'yicha ekspert bo'limi maslahatchisi
Manba: www.habr.com