Trong khi Doanh nghiệp lớn đang xây dựng các khoản nợ lớn từ những kẻ tấn công và tin tặc nội bộ tiềm năng, thì việc gửi thư rác và lừa đảo vẫn là vấn đề đau đầu đối với các công ty đơn giản hơn. Nếu Marty McFly biết rằng vào năm 2015 (và thậm chí còn hơn thế nữa vào năm 2020), mọi người sẽ không những không phát minh ra ván trượt mà thậm chí còn không học cách loại bỏ hoàn toàn thư rác, có lẽ anh ấy sẽ mất niềm tin vào nhân loại. Hơn nữa, thư rác ngày nay không chỉ gây khó chịu mà còn thường có hại. Trong khoảng 70% quá trình triển khai killchain, tội phạm mạng xâm nhập cơ sở hạ tầng bằng cách sử dụng phần mềm độc hại có trong tệp đính kèm hoặc thông qua các liên kết lừa đảo trong email.
Gần đây, đã có một xu hướng rõ ràng hướng tới việc phổ biến kỹ thuật xã hội như một cách để thâm nhập vào cơ sở hạ tầng của tổ chức. So sánh số liệu thống kê từ năm 2017 và 2018, chúng tôi thấy số trường hợp phần mềm độc hại được gửi đến máy tính của nhân viên tăng gần 50% thông qua tệp đính kèm hoặc liên kết lừa đảo trong nội dung email.
Nói chung, toàn bộ các mối đe dọa có thể được thực hiện bằng email có thể được chia thành nhiều loại:
- thư rác đến
- đưa máy tính của một tổ chức vào mạng botnet gửi thư rác
- các tệp đính kèm độc hại và vi-rút trong nội dung bức thư (các công ty nhỏ thường hứng chịu các cuộc tấn công lớn như Petya).
Để bảo vệ chống lại tất cả các loại tấn công, bạn có thể triển khai một số hệ thống bảo mật thông tin hoặc đi theo đường dẫn của mô hình dịch vụ. Chúng tôi đã về Nền tảng dịch vụ an ninh mạng hợp nhất - cốt lõi của hệ sinh thái dịch vụ an ninh mạng do Solar MSS quản lý. Trong số những thứ khác, nó bao gồm công nghệ Cổng Email Bảo mật (SEG) ảo hóa. Theo quy định, các công ty nhỏ mua đăng ký dịch vụ này, trong đó tất cả các chức năng bảo mật thông tin và CNTT được giao cho một người - quản trị viên hệ thống. Thư rác là một vấn đề mà người dùng và người quản lý luôn nhìn thấy và không thể bỏ qua. Tuy nhiên, theo thời gian, ngay cả ban quản lý cũng nhận thấy rõ rằng không thể đơn giản “giao” nó cho quản trị viên hệ thống - việc này tốn quá nhiều thời gian.
2 tiếng để phân tích thư thì hơi nhiều
Một trong những nhà bán lẻ đã tiếp cận chúng tôi với tình huống tương tự. Hệ thống theo dõi thời gian cho thấy mỗi ngày nhân viên của ông dành khoảng 25% thời gian làm việc (2 giờ!) để phân loại hộp thư.
Sau khi kết nối máy chủ thư của khách hàng, chúng tôi đã đặt cấu hình phiên bản SEG làm cổng hai chiều cho cả thư đến và thư đi. Chúng tôi bắt đầu lọc theo các chính sách được thiết lập trước. Chúng tôi đã biên soạn Danh sách đen dựa trên phân tích dữ liệu do khách hàng cung cấp và danh sách các địa chỉ nguy hiểm tiềm tàng của chính chúng tôi mà các chuyên gia Solar JSOC thu được như một phần của các dịch vụ khác - ví dụ: giám sát các sự cố bảo mật thông tin. Sau đó, tất cả thư chỉ được gửi đến người nhận sau khi được làm sạch và nhiều thư rác khác nhau về "giảm giá lớn" đã ngừng đổ hàng tấn vào máy chủ thư của khách hàng, giải phóng dung lượng cho các nhu cầu khác.
Nhưng đã có những tình huống khi một lá thư hợp pháp bị phân loại nhầm là thư rác, chẳng hạn như được nhận từ một người gửi không đáng tin cậy. Trong trường hợp này, chúng tôi đã trao quyền quyết định cho khách hàng. Không có nhiều lựa chọn về việc cần làm: xóa nó ngay lập tức hoặc gửi nó đi kiểm dịch. Chúng tôi đã chọn con đường thứ hai, trong đó thư rác như vậy được lưu trữ trên chính SEG. Chúng tôi đã cung cấp cho quản trị viên hệ thống quyền truy cập vào bảng điều khiển web, trong đó anh ta có thể tìm thấy một lá thư quan trọng bất kỳ lúc nào, chẳng hạn như từ đối tác và chuyển tiếp nó đến người dùng.
Loại bỏ ký sinh trùng
Dịch vụ bảo vệ email bao gồm các báo cáo phân tích, mục đích của nó là giám sát tính bảo mật của cơ sở hạ tầng và tính hiệu quả của các cài đặt được sử dụng. Ngoài ra, những báo cáo này cho phép bạn dự đoán xu hướng. Ví dụ: chúng tôi tìm thấy phần tương ứng “Thư rác của người nhận” hoặc “Thư rác của người gửi” trong báo cáo và xem địa chỉ của ai nhận được số lượng tin nhắn bị chặn nhiều nhất.
Trong khi phân tích một báo cáo như vậy, tổng số thư tăng mạnh từ một trong những khách hàng có vẻ đáng nghi ngờ đối với chúng tôi. Cơ sở hạ tầng của nó còn nhỏ, số lượng chữ cái ít. Và đột nhiên, sau một ngày làm việc, lượng thư rác bị chặn gần như tăng gấp đôi. Chúng tôi quyết định xem xét kỹ hơn.
Chúng tôi thấy rằng số lượng thư gửi đi đã tăng lên và tất cả chúng trong trường “Người gửi” đều chứa địa chỉ từ một miền được kết nối với dịch vụ bảo vệ thư. Nhưng có một sắc thái: trong số những địa chỉ khá lành mạnh, thậm chí có thể tồn tại, rõ ràng có những địa chỉ lạ. Chúng tôi đã xem xét các IP mà các bức thư được gửi từ đó và thật bất ngờ, hóa ra chúng không thuộc về không gian địa chỉ được bảo vệ. Rõ ràng, kẻ tấn công đã gửi thư rác thay mặt cho khách hàng.
Trong trường hợp này, chúng tôi đã đưa ra khuyến nghị cho khách hàng về cách định cấu hình chính xác bản ghi DNS, cụ thể là SPF. Chuyên gia của chúng tôi khuyên chúng tôi nên tạo một bản ghi TXT chứa quy tắc “v=spf1 mx ip:1.2.3.4/23 -all”, chứa danh sách đầy đủ các địa chỉ được phép gửi thư thay mặt cho miền được bảo vệ.
Trên thực tế, tại sao điều này lại quan trọng: thư rác thay mặt cho một công ty nhỏ không xác định là điều khó chịu nhưng không nghiêm trọng. Tình hình hoàn toàn khác, chẳng hạn như trong ngành ngân hàng. Theo quan sát của chúng tôi, mức độ tin cậy của nạn nhân đối với email lừa đảo tăng lên gấp nhiều lần nếu nó được cho là được gửi từ miền của ngân hàng khác hoặc đối tác mà nạn nhân biết. Và điều này không chỉ phân biệt nhân viên ngân hàng; trong các ngành công nghiệp khác - ví dụ như lĩnh vực năng lượng - chúng ta cũng phải đối mặt với xu hướng tương tự.
Diệt virus
Nhưng giả mạo không phải là một vấn đề phổ biến như nhiễm virus chẳng hạn. Bạn thường chống lại dịch bệnh do virus bằng cách nào? Họ cài đặt một phần mềm chống vi-rút và hy vọng rằng “kẻ thù sẽ không vượt qua được”. Nhưng nếu mọi thứ đều đơn giản như vậy, thì với chi phí khá thấp của phần mềm chống vi-rút, mọi người đã quên mất vấn đề phần mềm độc hại từ lâu. Trong khi đó, chúng tôi liên tục nhận được yêu cầu từ loạt bài “giúp chúng tôi khôi phục tập tin, chúng tôi đã mã hóa mọi thứ, công việc bị đình trệ, dữ liệu bị mất”. Chúng tôi không bao giờ mệt mỏi khi nhắc lại với khách hàng của mình rằng phần mềm chống vi-rút không phải là thuốc chữa bách bệnh. Ngoài thực tế là cơ sở dữ liệu chống vi-rút có thể không được cập nhật đủ nhanh, chúng ta thường gặp phải phần mềm độc hại có thể vượt qua không chỉ các chương trình chống vi-rút mà còn cả hộp cát.
Thật không may, rất ít nhân viên bình thường của các tổ chức nhận thức được các email lừa đảo và độc hại và có thể phân biệt chúng với thư từ thông thường. Trung bình, cứ 7 người dùng không trải qua quá trình nâng cao nhận thức thường xuyên sẽ bị tấn công bởi kỹ thuật xã hội: mở một tệp bị nhiễm hoặc gửi dữ liệu của họ cho những kẻ tấn công.
Mặc dù vectơ tấn công xã hội nói chung đang dần gia tăng, nhưng xu hướng này đã trở nên đặc biệt đáng chú ý vào năm ngoái. Email lừa đảo ngày càng giống với các thư thông thường về các chương trình khuyến mãi, sự kiện sắp tới, v.v. Ở đây chúng ta có thể nhớ lại cuộc tấn công Im lặng vào lĩnh vực tài chính - nhân viên ngân hàng đã nhận được một lá thư được cho là có mã khuyến mại để tham gia hội nghị ngành nổi tiếng iFin và tỷ lệ những người không chịu nổi thủ thuật này là rất cao, tuy nhiên, chúng ta hãy nhớ , chúng ta đang nói về ngành ngân hàng - ngành tiên tiến nhất về vấn đề bảo mật thông tin.
Trước Tết vừa qua, chúng tôi cũng đã quan sát thấy một số tình huống khá tò mò khi nhân viên của các công ty công nghiệp nhận được những lá thư lừa đảo chất lượng rất cao kèm theo “danh sách” các chương trình khuyến mãi Năm mới tại các cửa hàng trực tuyến phổ biến và kèm theo mã khuyến mại giảm giá. Nhân viên không chỉ cố gắng tự mình theo liên kết mà còn chuyển tiếp thư cho đồng nghiệp từ các tổ chức liên quan. Vì tài nguyên mà liên kết trong email lừa đảo dẫn đến đã bị chặn nên nhân viên bắt đầu gửi hàng loạt yêu cầu đến dịch vụ CNTT để được cấp quyền truy cập vào tài nguyên đó. Nhìn chung, sự thành công của việc gửi thư chắc hẳn đã vượt quá mọi mong đợi của những kẻ tấn công.
Và gần đây một công ty đã được “mã hóa” đã nhờ chúng tôi giúp đỡ. Mọi chuyện bắt đầu khi nhân viên kế toán nhận được một lá thư được cho là từ Ngân hàng Trung ương Liên bang Nga. Kế toán viên đã nhấp vào liên kết trong thư và tải công cụ khai thác WannaMine về máy của anh ta, giống như WannaCry nổi tiếng, đã khai thác lỗ hổng EternalBlue. Điều thú vị nhất là hầu hết các phần mềm diệt virus đều có thể phát hiện ra dấu hiệu của nó kể từ đầu năm 2018. Tuy nhiên, phần mềm chống vi-rút đã bị vô hiệu hóa hoặc cơ sở dữ liệu không được cập nhật hoặc hoàn toàn không có ở đó - trong mọi trường hợp, công cụ khai thác đã có trên máy tính và không có gì ngăn cản nó lan rộng hơn nữa trên mạng, tải máy chủ' CPU và máy trạm ở mức 100%.
Khách hàng này, sau khi nhận được báo cáo từ nhóm pháp y của chúng tôi, đã thấy rằng ban đầu vi-rút xâm nhập vào anh ấy qua email và đã khởi động một dự án thí điểm để kết nối dịch vụ bảo vệ email. Điều đầu tiên chúng tôi thiết lập là phần mềm chống vi-rút email. Đồng thời, việc quét phần mềm độc hại được thực hiện liên tục và cập nhật chữ ký ban đầu được thực hiện mỗi giờ, sau đó khách hàng chuyển sang hai lần một ngày.
Việc bảo vệ đầy đủ chống lại nhiễm virus phải được thực hiện theo từng lớp. Nếu chúng ta nói về việc lây truyền vi-rút qua email, thì cần phải lọc những ký tự như vậy ở đầu vào, huấn luyện người dùng cách nhận biết kỹ thuật xã hội, sau đó dựa vào phần mềm chống vi-rút và hộp cát.
ở SEGda đề phòng
Tất nhiên, chúng tôi không khẳng định rằng các giải pháp Cổng Email Bảo mật là thuốc chữa bách bệnh. Các cuộc tấn công có chủ đích, bao gồm cả lừa đảo trực tuyến, cực kỳ khó ngăn chặn vì... Mỗi cuộc tấn công như vậy được “điều chỉnh” cho một người nhận (tổ chức hoặc cá nhân) cụ thể. Nhưng đối với một công ty đang cố gắng cung cấp mức độ bảo mật cơ bản thì con số này là rất nhiều, đặc biệt là khi có kinh nghiệm và kiến thức chuyên môn phù hợp được áp dụng cho nhiệm vụ đó.
Thông thường, khi lừa đảo trực tuyến được thực hiện, các tệp đính kèm độc hại không được đưa vào nội dung của các bức thư, nếu không hệ thống chống thư rác sẽ ngay lập tức chặn một bức thư như vậy trên đường đến người nhận. Nhưng chúng bao gồm các liên kết đến tài nguyên web được chuẩn bị trước trong văn bản của bức thư, và đó chỉ là một vấn đề nhỏ. Người dùng nhấp vào liên kết và sau một số chuyển hướng trong vài giây sẽ đến liên kết cuối cùng trong toàn bộ chuỗi, việc mở liên kết này sẽ tải phần mềm độc hại xuống máy tính của anh ta.
Thậm chí phức tạp hơn: tại thời điểm bạn nhận được thư, liên kết có thể vô hại và chỉ sau một thời gian trôi qua, khi nó đã được quét và bỏ qua, nó mới bắt đầu chuyển hướng đến phần mềm độc hại. Thật không may, các chuyên gia của Solar JSOC, ngay cả khi tính đến năng lực của họ, sẽ không thể định cấu hình cổng thư để “nhìn thấy” phần mềm độc hại trong toàn bộ chuỗi (mặc dù, để bảo vệ, bạn có thể sử dụng tính năng tự động thay thế tất cả các liên kết bằng chữ cái). tới SEG, để SEG sau này quét liên kết không chỉ tại thời điểm gửi thư mà còn tại mỗi lần chuyển đổi).
Trong khi đó, ngay cả một chuyển hướng điển hình cũng có thể được xử lý bằng cách tổng hợp một số loại kiến thức chuyên môn, bao gồm cả dữ liệu do JSOC CERT và OSINT của chúng tôi thu được. Điều này cho phép bạn tạo danh sách đen mở rộng, dựa vào đó, ngay cả một lá thư được chuyển tiếp nhiều lần cũng sẽ bị chặn.
Sử dụng SEG chỉ là một viên gạch nhỏ trên bức tường mà bất kỳ tổ chức nào cũng muốn xây dựng để bảo vệ tài sản của mình. Nhưng liên kết này cũng cần phải được tích hợp một cách chính xác vào bức tranh tổng thể, bởi vì ngay cả SEG, với cấu hình phù hợp, cũng có thể trở thành một phương tiện bảo vệ chính thức.
Ksenia Sadunina, cố vấn của bộ phận bán trước chuyên gia về các sản phẩm và dịch vụ của Solar JSOC
Nguồn: www.habr.com