В то время как крупные предприятия строят эшелонированные редуты от потенциальных внутренних злоумышленников и хакеров, фишинговые и спам-рассылки остаются головной болью для более простых компаний.
Если бы Марти МакФлай знал, что в 2015 году (а тем более в 2020 году) люди не только не изобретут ховерборды, но даже не научатся полностью избавляться от нежелательной почты, он, вероятно, потерял бы веру в человечество.
Более того, спам сегодня не только раздражает, но зачастую и вреден.
Примерно в 70% случаев реализации цепочки атак киберпреступники проникают в инфраструктуру, используя вредоносное ПО, содержащееся во вложениях, или через фишинговые ссылки в электронных письмах.
В последнее время наметилась явная тенденция к распространению социальной инженерии как способа проникновения в инфраструктуру организации.
Сравнивая статистику за 2017 и 2018 годы, мы видим почти 50-процентное увеличение количества случаев, когда вредоносное ПО попадало на компьютеры сотрудников через вложения или фишинговые ссылки в теле электронного письма.
В целом весь спектр угроз, которые могут осуществляться с помощью электронной почты, можно разделить на несколько категорий:
- входящий спам
- включение компьютеров организации в ботнет, рассылающий исходящий спам
- вредоносные вложения и вирусы в теле письма (от массовых атак типа Petya чаще всего страдают небольшие компании).
Мы готовы сказал о Единой платформе услуг кибербезопасности — ядре экосистемы управляемых услуг кибербезопасности Solar MSS. Помимо прочего, он включает в себя виртуализированную технологию Secure Email Gateway (SEG).
Как правило, подписку на данную услугу приобретают небольшие компании, в которых все функции ИТ и информационной безопасности возложены на одного человека – системного администратора.
Спам — это проблема, которая всегда видна пользователям и руководству, и ее нельзя игнорировать.
Однако со временем даже руководству становится понятно, что просто «сбросить» сисадмину невозможно — слишком много времени на это уходит. 
2 часа на разбор почты - это многовато
Один из продавцов обратился к нам с похожей ситуацией.Системы учета рабочего времени показали, что каждый день его сотрудники тратили около 25% своего рабочего времени (2 часа!) на разборку почтового ящика.
Подключив почтовый сервер клиента, мы настроили экземпляр SEG как двусторонний шлюз как для входящей, так и для исходящей почты.
Мы начали фильтровать по заранее установленным правилам.
Черный список мы составили на основе анализа данных, предоставленных заказчиком, и собственных списков потенциально опасных адресов, полученных экспертами Solar JSOC в рамках других сервисов — например, мониторинга инцидентов ИБ.
После этого вся почта доставлялась получателям только после очистки, а различные спам-рассылки о «грандиозных скидках» перестали сыпаться на почтовые сервера заказчика тоннами, освобождая место для других нужд. Но бывали ситуации, когда законное письмо ошибочно классифицировалось как спам, например, как полученное от ненадежного отправителя.
В данном случае мы предоставили право решения заказчику.
Вариантов, что делать, не так много: удалить сразу или отправить на карантин.
Мы выбрали второй путь, при котором такая нежелательная почта хранится на самом SEG. Мы предоставили системному администратору доступ к веб-консоли, в которой он мог в любой момент найти важное письмо, например, от контрагента, и переслать его пользователю.
Избавление от паразитов
Сервис защиты электронной почты включает в себя аналитические отчеты, целью которых является контроль безопасности инфраструктуры и эффективности используемых настроек.Кроме того, эти отчеты позволяют прогнозировать тенденции.
Например, находим в отчете соответствующий раздел «Спам по получателям» или «Спам по отправителям» и смотрим, на чей адрес поступает наибольшее количество заблокированных сообщений.
Именно при анализе такого отчета нам показалось подозрительным резко возросшее общее количество писем от одного из клиентов.
Инфраструктура у него небольшая, количество писем невелико.
И вдруг после рабочего дня количество заблокированного спама увеличилось почти вдвое.
Мы решили посмотреть поближе.
Мы видим, что количество исходящих писем увеличилось, и все они в поле «Отправитель» содержат адреса из домена, который подключен к сервису защиты почты.
Но есть один нюанс: среди вполне вменяемых, возможно, даже существующих адресов есть явно странные.
Мы посмотрели IP-адреса, с которых были отправлены письма, и, вполне ожидаемо, оказалось, что они не принадлежат к защищенному адресному пространству.
Очевидно, злоумышленник рассылал спам от имени клиента.
В данном случае мы дали заказчику рекомендации по правильной настройке DNS-записей, а именно SPF. Наш специалист посоветовал нам создать TXT-запись, содержащую правило «v=spf1 mx ip:1.2.3.4/23 -all», содержащую исчерпывающий список адресов, которым разрешено отправлять письма от имени защищаемого домена.
Собственно, почему это важно: спам от имени неизвестной небольшой компании — неприятно, но не критично.
Совершенно иная ситуация, например, в банковской сфере.
По нашим наблюдениям, уровень доверия жертвы к фишинговому письму многократно возрастает, если оно якобы отправлено с домена другого банка или известного жертве контрагента.
И это отличает не только сотрудников банка; в других отраслях – например, энергетике – мы сталкиваемся с той же тенденцией.
Уничтожение вирусов
Но спуфинг – не такая распространенная проблема, как, например, вирусные инфекции.Как вы чаще всего боретесь с вирусными эпидемиями? Ставят антивирус и надеются, что «враг не пройдёт».
Но если бы все было так просто, то, учитывая достаточно низкую стоимость антивирусов, о проблеме вредоносного ПО все давно бы забыли.
Тем временем к нам постоянно поступают запросы из серии «помогите восстановить файлы, мы все зашифровали, работа застопорилась, данные потеряны».
Мы не устаем повторять нашим клиентам, что антивирус – не панацея.
Помимо того, что антивирусные базы могут обновляться недостаточно быстро, мы часто сталкиваемся с вредоносным ПО, способным обходить не только антивирусы, но и песочницы.
К сожалению, немногие рядовые сотрудники организаций знают о фишинговых и вредоносных электронных письмах и способны отличить их от обычной корреспонденции.
В среднем каждый седьмой пользователь, не проходящий регулярную информационную работу, поддается социальной инженерии: открывает зараженный файл или отправляет свои данные злоумышленникам.
Хотя социальный вектор атак в целом постепенно усиливается, особенно заметна эта тенденция стала в прошлом году.
Фишинговые письма все больше становились похожими на обычные рассылки об акциях, предстоящих мероприятиях и т. д. Здесь можно вспомнить «Атаку Тишины» на финансовый сектор — сотрудники банка получили письмо якобы с промокодом для участия в популярной отраслевой конференции iFin, И процент тех, кто поддался на уловку, был очень высок, хотя, напомним, речь идет о банковской сфере – самой передовой в вопросах информационной безопасности.
Перед прошлым Новым годом мы также наблюдали несколько довольно курьезных ситуаций, когда сотрудники промышленных компаний получали очень качественные фишинговые письма со «списком» новогодних акций в популярных интернет-магазинах и с промокодами на скидки.
Сотрудники не только попытались перейти по ссылке сами, но и переслали письмо коллегам из смежных организаций.
Поскольку ресурс, на который вела ссылка в фишинговом письме, был заблокирован, сотрудники начали массово обращаться в ИТ-службу с запросами на предоставление доступа к нему.
В общем, успех рассылки, должно быть, превзошел все ожидания злоумышленников.
А недавно к нам за помощью обратилась компания, которую «зашифровали».
Все началось с того, что сотрудники бухгалтерии получили письмо якобы из ЦБ РФ.
Бухгалтер перешел по ссылке в письме и загрузил на свою машину майнер WannaMine, который, как и знаменитый WannaCry, эксплуатировал уязвимость EternalBlue. Самое интересное, что большинство антивирусов умеют обнаруживать его сигнатуры с начала 2018 года.
Но, либо антивирус был отключен, либо базы не обновлялись, либо его вообще не было - в любом случае майнер уже был на компьютере, и ничто не мешало ему распространиться дальше по сети, нагружая ЦП серверов и рабочие станции на 100%.
Этот клиент, получив отчет от нашей команды криминалистов, увидел, что вирус изначально проник к нему через электронную почту, и запустил пилотный проект по подключению службы защиты электронной почты.
Первым делом мы установили почтовый антивирус.
При этом сканирование на наличие вредоносного ПО осуществляется постоянно, а обновление сигнатур изначально осуществлялось каждый час, а затем заказчик перешел на два раза в день.
Полная защита от вирусных инфекций должна быть многоуровневой.
Если говорить о передаче вирусов через электронную почту, то такие письма необходимо фильтровать на входе, обучать пользователей распознавать социальную инженерию, а затем полагаться на антивирусы и песочницы.
в СЭГде на страже
Конечно, мы не утверждаем, что решения Secure Email Gateway являются панацеей.Целевые атаки, в том числе направленный фишинг, чрезвычайно сложно предотвратить, поскольку.
Каждая такая атака «заточена» под конкретного получателя (организацию или человека).
Но для компании, пытающейся обеспечить базовый уровень безопасности, это очень много, особенно при наличии необходимого опыта и знаний, применяемых для решения этой задачи.
Чаще всего при целевом фишинге вредоносные вложения в тело письма не включаются, иначе антиспам-система немедленно заблокирует такое письмо на пути к получателю.
А вот в текст письма включают ссылки на заранее подготовленный веб-ресурс, да и то дело за малым.
Пользователь переходит по ссылке, а затем после нескольких редиректов за считанные секунды попадает на последний во всей цепочке, открытие которого загрузит на его компьютер вредоносное ПО.
Еще более изощренно: в момент получения письма ссылка может быть безобидной и только по прошествии некоторого времени, когда она уже будет просканирована и пропущена, она начнет перенаправлять на вредоносное ПО.
К сожалению, специалисты Solar JSOC, даже с учетом их компетенций, не смогут настроить почтовый шлюз так, чтобы «видеть» вредоносное ПО по всей цепочке (хотя в качестве защиты можно использовать автоматическую замену всех ссылок в письмах).
на SEG, чтобы последний сканировал ссылку не только в момент доставки письма, а при каждом переходе).
Между тем, даже с типичным перенаправлением можно справиться, объединив несколько видов экспертизы, включая данные, полученные нашими JSOC CERT и OSINT. Это позволяет создавать расширенные черные списки, на основании которых будет заблокировано даже письмо с многократной пересылкой.
Использование SEG — это всего лишь маленький кирпичик в стене, которую хочет построить любая организация для защиты своих активов.
Но это звено тоже нужно правильно интегрировать в общую картину, ведь даже SEG при правильной настройке можно превратить в полноценное средство защиты.
Ксения Садунина, консультант экспертного отдела предпродажной продукции и услуг Solar JSOC Теги: #информационная безопасность #Сетевые технологии #фишинг #sd-wan #спам #seg #шлюз безопасности электронной почты #solar mss
-
Как Узнать Драйвер Устройства Производителя?
19 Oct, 24 -
Немного О Приватном Vlan
19 Oct, 24 -
Один Клон Digg Столкнулся С Другим Клоном
19 Oct, 24 -
Занимайся {Йогой}, Пока (Болит Спина)
19 Oct, 24 -
Парадокс Монти Холла И Excel
19 Oct, 24
