Фишинг: монстр из глубин электронной почты

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

Проблема фишинга продолжает оставаться одной из самых острых, когда речь заходит о корпоративной информационной безопасности. И самое сложное, что в вопросе противодействия фишингу ключевую роль играет человеческий фактор. Мы в Oxygen выработали двунаправленный подход к борьбе с вредоносными рассылками и стремлением сотрудников переходить на зараженные сайты-двойники. И именно этим подходом я поделюсь в этом посте сегодня.

Два моих предыдущих поста были посвящены облачным механизмам защиты в общем, а также подключению внешних сервисов для противодействия DDoS и веб-атак в частности. Разумеется, начались вопросы про фишинг. И это были правильные вопросы. Ведь даже если мы все предусмотрели, установили мощную систему сигнализации, повесили на двери электронные замки…а потом арендатор сам послал SMS с паролем грабителю, то противодействовать злодеянию будет крайне сложно. 

Такая же ситуация складывается с фишингом. По данным нашего партнера, компании Fishman, от 65 до 85% сотрудников, не проходивших спецподготовку, стабильно переходят по фальшивым ссылкам, заполняют фишинговые формы и сами отдают ключи от квартиры где деньги лежат корпоративных учетных записей злоумышленникам. Фишинг способен свести на нет и выбросить за борт все средства защиты, которые вы применяете.

Исследования показывают, что фишинга становится все больше. Поэтому для защиты от этой напасти нужно принимать какие-то меры. И мы убедились в том, что логично заходить сразу с двух сторон.

Автоматизированная защита

Первым делом можно и нужно установить фильтрующий шлюз для того, чтобы письма электронной почты проходили тщательную проверку перед тем, как попадать в почтовые ящики сотрудников. Современные решения позволяют в значительно степени отсечь как массовые рассылки, так и BEC-атаки (Business Email Compromise — целевая атака, когда злоумышленник инициирует почтовую переписку от имени другого сотрудника (в том числе вышестоящего) или представителя компании-партнера). Более того, на уровне шлюза возможна фильтрация контента и обезвреживание так называемых уязвимостей MailSploit, которые потенциально открывают доступ к компьютерам жертв, открывающих специально подготовленные сообщения.

Технологии обнаружения

Аутентификация отправителя и типичные признаки

SPF/DKIM/DMARC — такие механизмы аутентификации отправителя вместе десятками индикаторов, характерных для фишинговых сообщений, позволяют обнаруживать спуфинг и различные подмены при фишинговых атаках.

Анализ доменных имен

Злоумышленники используют доменные имена, похожие на домены известных компаний с хорошей репутацией или организаций, с которыми целевая компания поддерживает постоянную связь. На уровне шлюза можно отслеживать такие “похожести” и пристрастно анализировать подобные сообщения.

Репутация IP-адресов

Существует множество баз и систем репутации исходных доменов и IP-адресов отправителей. Мы подключаем их к системе защиты, чтобы избавить пользователей электронной почты от фишинга и, кстати, от спама тоже. 

Защита от MailSploit

Многие почтовые решения не считают уязвимости MailSploit багом. Они советуют разбираться с подобными безобразиями “на шлюзе”. Что же, мы это и делаем! Тем более, что наличие попыток использовать MailSploit в почте напрямую говорит о том, что письмо, вероятно, является частью фишинговой атаки. Так, если вы используете современный Mail Gateway, попытки майлсплойтить ваши системы играют против злоумышленников и помогают выявить фишинговую активность.

Машинное обучение

Увы, фишинговые рассылки не всегда бывают массовыми. В последнее время все чаще встречаются сложные кампаний, нацеленные на определенные группы пользователей и сотрудников в конкретных организациях. Для блокировки нестандартных и особенно направленных фишинговых атак применяются алгоритмы машинного обучения. И что особенно важно, синхронизация опознавания происходит на глобальном уровне — то есть выявленные признаки атак у одного пользователя применяются для всей клиентской базы. Так защита срабатывает быстрее

Обнаружение BEC-атак

Надо признать, что BEC-атаки – это наиболее опасный вид целевого фишинга, основанный на доверии коллег и деловых партнеров друг к другу. Мы используем защиту от BEC-атак на шлюзе, основанную на комплексном анализе поступающих сообщений. В том числе, для этого используются те же алгоритмы машинного обучения.

Как установить?

Шлюз можно установить различными способами. Но поскольку мы являемся облачным провайдером, то предлагаем либо SaaS-сервис, либо установку виртуального appliance непосредственно перед почтовым сервером клиента. Эти два варианта установки подходят для разных ситуаций. Облачный сервис хорош для тех, кто использует “почту из облака”. А виртуальный appliance гарантирует скорость работы для больших потоков сообщений и может быть интегрирован с уже внедренными средствами защиты и SIEM-системами для централизованного управления безопасностью. 

Каждый из вариантов может быть реализован по подписке. То есть вам не нужно оплачивать сразу стоимость годовой лицензии, а вместо этого провести оценку решения и платить за его эксплуатацию помесячно.

Автоматизированное обучение

Впрочем, даже 99,999% защита не исключает того, что несколько фишинговых сообщений могут проникнуть в вашу сеть, попасть в почтовый ящик именно того сотрудника, который как раз сидит и ждет, когда Wildberries пришлет письмо о самой выгодной распродаже на кресла-качалки. И не важно, что письмо пришло почему-то на корпоративный адрес, надо его скорее открыть!

Именно поэтому к такому вопросу как фишинг, где важен человеческий фактор, важно подходить одновременно со стороны обучения сотрудников. И здесь чаще всего возникает дилемма: как же его проводить?

Популярные варианты включают в себя:

  • Рассылка должностных инструкций и методичек, которые никто не будет читать, так что потратите время зря

  • Чтение вебинаров о том, как противостоять фишингу, которые сотрудники сворачивают, пока играют в пасьянс

  • Организация очных лекций, на которых можно отлично выспаться

  • Введение штрафов и наказаний, которых каждый начинает бояться только тогда, когда его уже оштрафуют.

На мой взгляд, единственное эффективное решение этого вопроса — автоматизация процесса обучения и тестирования инфраструктуры на предмет уязвимости фишинговым атакам.

Мы в Oxygen предоставляем платформу (в виде сервиса), с помощью которой можно организовать учебную фишинговую рассылку. По ее итогам можно оценить, насколько фишинг может поразить вашу компанию, проанализировать количество попавших на фишинговую рассылку и провести точечно работу над ошибками. Для особо одаренных доступны функции повторного обучения — для этого готов целый набор курсов с последующими тестами.

Приятно, что платформу тестирования и обучения можно брендировать и завернуть в корпоративный стиль так, чтобы сотрудники не думали, что их учит и аудирует кто-то внешний. Таким путем защита от фишинга становиться корпоративной нормой и частью корпоративной культуры.

Лучше подготовиться (чем разгребать последствия)

Двойной подход к борьбе с фишингом полностью оправдывает себя, учитывая, что сегодня нарастает интенсивность подобных атак, а методы социальной инженерии становятся все изощреннее.

Если говорить о цифрах, то статистика уже реализованных проектов показывает 70% снижение частоты фишинговых инцидентов после месяца работы с корпоративной платформой обучения сотрудников. А использование подобного решения вместе с правильно настроенным почтовым шлюзом безопасности практически сводит угрозу на нет. 

В принципе подобную схему можно реализовать и полностью в режиме on-prem. Но в последнее время клиентов на подобный комплект становится все больше, потому что облачная модель позволяет вывести и то, и другое в плоскость подписки и/или облачного сервиса, а значит — снизить нагрузку на бюджет и уменьшить затраты на сопровождение решений. 

Источник: https://habr.com/ru/company/oxygendc/blog/672590/


Интересные статьи

Интересные статьи

Информационная безопасность напрямую связана с безопасностью граждан и всего государства. Об этом не раз говорилось на международном форуме по практической безопасности Positive Hack Days 11. Живая де...
Появившиеся в 2006 году сервисы Google по работе с текстовыми документами (Google Docs) и таблицами (Google Sheets), дополненные 6 лет спустя возможностями работы с вирту...
SWAP (своп) — это механизм виртуальной памяти, при котором часть данных из оперативной памяти (ОЗУ) перемещается на хранение на HDD (жёсткий диск), SSD (твёрдотельный накоп...
Краткий обзор Иерархический буфер глубин — это многоуровневый буфер глуби (Z-буфер), используемый как ускоряющая структура (acceleration structure) для запросов глубин. Как и в случае mip-цепо...