Фишинг: монстр из глубин электронной почты

Фишинг: монстр из глубин электронной почты

Автор: k_orlov

Проблема фишинга продолжает оставаться одной из самых острых, когда речь заходит о корпоративной информационной безопасности. И самое сложное, что в вопросе противодействия фишингу ключевую роль играет человеческий фактор. Мы в Oxygen выработали двунаправленный подход к борьбе с вредоносными рассылками и стремлением сотрудников переходить на зараженные сайты-двойники. И именно этим подходом я поделюсь в этом посте сегодня.

Два моих предыдущих поста были посвящены облачным механизмам защиты в общем, а также подключению внешних сервисов для противодействия DDoS и веб-атак в частности. Разумеется, начались вопросы про фишинг. И это были правильные вопросы. Ведь даже если мы все предусмотрели, установили мощную систему сигнализации, повесили на двери электронные замки…а потом арендатор сам послал SMS с паролем грабителю, то противодействовать злодеянию будет крайне сложно. 

Такая же ситуация складывается с фишингом. По данным нашего партнера, компании Fishman, от 65 до 85% сотрудников, не проходивших спецподготовку, стабильно переходят по фальшивым ссылкам, заполняют фишинговые формы и сами отдают ключи от квартиры где деньги лежат корпоративных учетных записей злоумышленникам. Фишинг способен свести на нет и выбросить за борт все средства защиты, которые вы применяете.

Исследования показывают, что фишинга становится все больше. Поэтому для защиты от этой напасти нужно принимать какие-то меры. И мы убедились в том, что логично заходить сразу с двух сторон.

Автоматизированная защита

Первым делом можно и нужно установить фильтрующий шлюз для того, чтобы письма электронной почты проходили тщательную проверку перед тем, как попадать в почтовые ящики сотрудников. Современные решения позволяют в значительно степени отсечь как массовые рассылки, так и BEC-атаки (Business Email Compromise — целевая атака, когда злоумышленник инициирует почтовую переписку от имени другого сотрудника (в том числе вышестоящего) или представителя компании-партнера). Более того, на уровне шлюза возможна фильтрация контента и обезвреживание так называемых уязвимостей MailSploit, которые потенциально открывают доступ к компьютерам жертв, открывающих специально подготовленные сообщения.


Технологии обнаружения

Аутентификация отправителя и типичные признаки

SPF/DKIM/DMARC — такие механизмы аутентификации отправителя вместе десятками индикаторов, характерных для фишинговых сообщений, позволяют обнаруживать спуфинг и различные подмены при фишинговых атаках.


Анализ доменных имен

Злоумышленники используют доменные имена, похожие на домены известных компаний с хорошей репутацией или организаций, с которыми целевая компания поддерживает постоянную связь. На уровне шлюза можно отслеживать такие “похожести” и пристрастно анализировать подобные сообщения.


Репутация IP-адресов

Существует множество баз и систем репутации исходных доменов и IP-адресов отправителей. Мы подключаем их к системе защиты, чтобы избавить пользователей электронной почты от фишинга и, кстати, от спама тоже. 


Защита от MailSploit

Многие почтовые решения не считают уязвимости MailSploit багом. Они советуют разбираться с подобными безобразиями “на шлюзе”. Что же, мы это и делаем! Тем более, что наличие попыток использовать MailSploit в почте напрямую говорит о том, что письмо, вероятно, является частью фишинговой атаки. Так, если вы используете современный Mail Gateway, попытки майлсплойтить ваши системы играют против злоумышленников и помогают выявить фишинговую активность.


Машинное обучение

Увы, фишинговые рассылки не всегда бывают массовыми. В последнее время все чаще встречаются сложные кампаний, нацеленные на определенные группы пользователей и сотрудников в конкретных организациях. Для блокировки нестандартных и особенно направленных фишинговых атак применяются алгоритмы машинного обучения. И что особенно важно, синхронизация опознавания происходит на глобальном уровне — то есть выявленные признаки атак у одного пользователя применяются для всей клиентской базы. Так защита срабатывает быстрее


Обнаружение BEC-атак

Надо признать, что BEC-атаки – это наиболее опасный вид целевого фишинга, основанный на доверии коллег и деловых партнеров друг к другу. Мы используем защиту от BEC-атак на шлюзе, основанную на комплексном анализе поступающих сообщений. В том числе, для этого используются те же алгоритмы машинного обучения.


Как установить?

Шлюз можно установить различными способами. Но поскольку мы являемся облачным провайдером, то предлагаем либо SaaS-сервис, либо установку виртуального appliance непосредственно перед почтовым сервером клиента. Эти два варианта установки подходят для разных ситуаций. Облачный сервис хорош для тех, кто использует “почту из облака”. А виртуальный appliance гарантирует скорость работы для больших потоков сообщений и может быть интегрирован с уже внедренными средствами защиты и SIEM-системами для централизованного управления безопасностью. 


Каждый из вариантов может быть реализован по подписке. То есть вам не нужно оплачивать сразу стоимость годовой лицензии, а вместо этого провести оценку решения и платить за его эксплуатацию помесячно.

Автоматизированное обучение

Впрочем, даже 99,999% защита не исключает того, что несколько фишинговых сообщений могут проникнуть в вашу сеть, попасть в почтовый ящик именно того сотрудника, который как раз сидит и ждет, когда Wildberries пришлет письмо о самой выгодной распродаже на кресла-качалки. И не важно, что письмо пришло почему-то на корпоративный адрес, надо его скорее открыть!


Именно поэтому к такому вопросу как фишинг, где важен человеческий фактор, важно подходить одновременно со стороны обучения сотрудников. И здесь чаще всего возникает дилемма: как же его проводить?

Популярные варианты включают в себя:

  • Рассылка должностных инструкций и методичек, которые никто не будет читать, так что потратите время зря.
  • Чтение вебинаров о том, как противостоять фишингу, которые сотрудники сворачивают, пока играют в пасьянс.
  • Организация очных лекций, на которых можно отлично выспаться.
  • Введение штрафов и наказаний, которых каждый начинает бояться только тогда, когда его уже оштрафуют.

На мой взгляд, единственное эффективное решение этого вопроса — автоматизация процесса обучения и тестирования инфраструктуры на предмет уязвимости фишинговым атакам.


Мы в Oxygen предоставляем платформу (в виде сервиса), с помощью которой можно организовать учебную фишинговую рассылку. По ее итогам можно оценить, насколько фишинг может поразить вашу компанию, проанализировать количество попавших на фишинговую рассылку и провести точечно работу над ошибками. Для особо одаренных доступны функции повторного обучения — для этого готов целый набор курсов с последующими тестами.

Приятно, что платформу тестирования и обучения можно брендировать и завернуть в корпоративный стиль так, чтобы сотрудники не думали, что их учит и аудирует кто-то внешний. Таким путем защита от фишинга становиться корпоративной нормой и частью корпоративной культуры.

Лучше подготовиться (чем разгребать последствия)

Двойной подход к борьбе с фишингом полностью оправдывает себя, учитывая, что сегодня нарастает интенсивность подобных атак, а методы социальной инженерии становятся все изощреннее.


Если говорить о цифрах, то статистика уже реализованных проектов показывает 70% снижение частоты фишинговых инцидентов после месяца работы с корпоративной платформой обучения сотрудников. А использование подобного решения вместе с правильно настроенным почтовым шлюзом безопасности практически сводит угрозу на нет. 

В принципе подобную схему можно реализовать и полностью в режиме on-prem. Но в последнее время клиентов на подобный комплект становится все больше, потому что облачная модель позволяет вывести и то, и другое в плоскость подписки и/или облачного сервиса, а значит — снизить нагрузку на бюджет и уменьшить затраты на сопровождение решений. 




Report Page