Фишинг: монстр из глубин электронной почты
Автор: k_orlovПроблема фишинга продолжает оставаться одной из самых острых, когда речь заходит о корпоративной информационной безопасности. И самое сложное, что в вопросе противодействия фишингу ключевую роль играет человеческий фактор. Мы в Oxygen выработали двунаправленный подход к борьбе с вредоносными рассылками и стремлением сотрудников переходить на зараженные сайты-двойники. И именно этим подходом я поделюсь в этом посте сегодня.
Два моих предыдущих поста были посвящены облачным механизмам защиты в общем, а также подключению внешних сервисов для противодействия DDoS и веб-атак в частности. Разумеется, начались вопросы про фишинг. И это были правильные вопросы. Ведь даже если мы все предусмотрели, установили мощную систему сигнализации, повесили на двери электронные замки…а потом арендатор сам послал SMS с паролем грабителю, то противодействовать злодеянию будет крайне сложно.
Такая же ситуация складывается с фишингом. По данным нашего партнера, компании Fishman, от 65 до 85% сотрудников, не проходивших спецподготовку, стабильно переходят по фальшивым ссылкам, заполняют фишинговые формы и сами отдают ключи от квартиры где деньги лежат корпоративных учетных записей злоумышленникам. Фишинг способен свести на нет и выбросить за борт все средства защиты, которые вы применяете.
Исследования показывают, что фишинга становится все больше. Поэтому для защиты от этой напасти нужно принимать какие-то меры. И мы убедились в том, что логично заходить сразу с двух сторон.
Автоматизированная защита
Первым делом можно и нужно установить фильтрующий шлюз для того, чтобы письма электронной почты проходили тщательную проверку перед тем, как попадать в почтовые ящики сотрудников. Современные решения позволяют в значительно степени отсечь как массовые рассылки, так и BEC-атаки (Business Email Compromise — целевая атака, когда злоумышленник инициирует почтовую переписку от имени другого сотрудника (в том числе вышестоящего) или представителя компании-партнера). Более того, на уровне шлюза возможна фильтрация контента и обезвреживание так называемых уязвимостей MailSploit, которые потенциально открывают доступ к компьютерам жертв, открывающих специально подготовленные сообщения.
Технологии обнаружения
Аутентификация отправителя и типичные признаки
SPF/DKIM/DMARC — такие механизмы аутентификации отправителя вместе десятками индикаторов, характерных для фишинговых сообщений, позволяют обнаруживать спуфинг и различные подмены при фишинговых атаках.
Анализ доменных имен
Злоумышленники используют доменные имена, похожие на домены известных компаний с хорошей репутацией или организаций, с которыми целевая компания поддерживает постоянную связь. На уровне шлюза можно отслеживать такие “похожести” и пристрастно анализировать подобные сообщения.
Репутация IP-адресов
Существует множество баз и систем репутации исходных доменов и IP-адресов отправителей. Мы подключаем их к системе защиты, чтобы избавить пользователей электронной почты от фишинга и, кстати, от спама тоже.
Защита от MailSploit
Многие почтовые решения не считают уязвимости MailSploit багом. Они советуют разбираться с подобными безобразиями “на шлюзе”. Что же, мы это и делаем! Тем более, что наличие попыток использовать MailSploit в почте напрямую говорит о том, что письмо, вероятно, является частью фишинговой атаки. Так, если вы используете современный Mail Gateway, попытки майлсплойтить ваши системы играют против злоумышленников и помогают выявить фишинговую активность.
Машинное обучение
Увы, фишинговые рассылки не всегда бывают массовыми. В последнее время все чаще встречаются сложные кампаний, нацеленные на определенные группы пользователей и сотрудников в конкретных организациях. Для блокировки нестандартных и особенно направленных фишинговых атак применяются алгоритмы машинного обучения. И что особенно важно, синхронизация опознавания происходит на глобальном уровне — то есть выявленные признаки атак у одного пользователя применяются для всей клиентской базы. Так защита срабатывает быстрее
Обнаружение BEC-атак
Надо признать, что BEC-атаки – это наиболее опасный вид целевого фишинга, основанный на доверии коллег и деловых партнеров друг к другу. Мы используем защиту от BEC-атак на шлюзе, основанную на комплексном анализе поступающих сообщений. В том числе, для этого используются те же алгоритмы машинного обучения.
Как установить?
Шлюз можно установить различными способами. Но поскольку мы являемся облачным провайдером, то предлагаем либо SaaS-сервис, либо установку виртуального appliance непосредственно перед почтовым сервером клиента. Эти два варианта установки подходят для разных ситуаций. Облачный сервис хорош для тех, кто использует “почту из облака”. А виртуальный appliance гарантирует скорость работы для больших потоков сообщений и может быть интегрирован с уже внедренными средствами защиты и SIEM-системами для централизованного управления безопасностью.
Каждый из вариантов может быть реализован по подписке. То есть вам не нужно оплачивать сразу стоимость годовой лицензии, а вместо этого провести оценку решения и платить за его эксплуатацию помесячно.
Автоматизированное обучение
Впрочем, даже 99,999% защита не исключает того, что несколько фишинговых сообщений могут проникнуть в вашу сеть, попасть в почтовый ящик именно того сотрудника, который как раз сидит и ждет, когда Wildberries пришлет письмо о самой выгодной распродаже на кресла-качалки. И не важно, что письмо пришло почему-то на корпоративный адрес, надо его скорее открыть!
Именно поэтому к такому вопросу как фишинг, где важен человеческий фактор, важно подходить одновременно со стороны обучения сотрудников. И здесь чаще всего возникает дилемма: как же его проводить?
Популярные варианты включают в себя:
- Рассылка должностных инструкций и методичек, которые никто не будет читать, так что потратите время зря.
- Чтение вебинаров о том, как противостоять фишингу, которые сотрудники сворачивают, пока играют в пасьянс.
- Организация очных лекций, на которых можно отлично выспаться.
- Введение штрафов и наказаний, которых каждый начинает бояться только тогда, когда его уже оштрафуют.
На мой взгляд, единственное эффективное решение этого вопроса — автоматизация процесса обучения и тестирования инфраструктуры на предмет уязвимости фишинговым атакам.
Мы в Oxygen предоставляем платформу (в виде сервиса), с помощью которой можно организовать учебную фишинговую рассылку. По ее итогам можно оценить, насколько фишинг может поразить вашу компанию, проанализировать количество попавших на фишинговую рассылку и провести точечно работу над ошибками. Для особо одаренных доступны функции повторного обучения — для этого готов целый набор курсов с последующими тестами.
Приятно, что платформу тестирования и обучения можно брендировать и завернуть в корпоративный стиль так, чтобы сотрудники не думали, что их учит и аудирует кто-то внешний. Таким путем защита от фишинга становиться корпоративной нормой и частью корпоративной культуры.
Лучше подготовиться (чем разгребать последствия)
Двойной подход к борьбе с фишингом полностью оправдывает себя, учитывая, что сегодня нарастает интенсивность подобных атак, а методы социальной инженерии становятся все изощреннее.
Если говорить о цифрах, то статистика уже реализованных проектов показывает 70% снижение частоты фишинговых инцидентов после месяца работы с корпоративной платформой обучения сотрудников. А использование подобного решения вместе с правильно настроенным почтовым шлюзом безопасности практически сводит угрозу на нет.
В принципе подобную схему можно реализовать и полностью в режиме on-prem. Но в последнее время клиентов на подобный комплект становится все больше, потому что облачная модель позволяет вывести и то, и другое в плоскость подписки и/или облачного сервиса, а значит — снизить нагрузку на бюджет и уменьшить затраты на сопровождение решений.