Электронная почта как входная точка целевых атак::Журнал СА
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6224
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6931
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4212
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3004
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3806
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3818
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6314
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3166
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3459
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7275
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10644
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12363
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13998
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9122
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7077
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5386
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4613
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3426
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3153
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3399
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3024
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Электронная почта как входная точка целевых атак

Архив номеров / 2023 / Выпуск №1-2 (242-243) / Электронная почта как входная точка целевых атак

Рубрика: Безопасность /  Целевые атаки

 ВИЗИТКА 



Станислав Вершинин,
эксперт решений по защите инфраструктуры и конечных устройств, «Лаборатория Касперского»

 

Электронная почта
как входная точка целевых атак

Когда речь заходит об угрозах электронной почты, то первое, о чём думает специалист по информационной безопасности, – это спам и фишинг, классические угрозы, известные много лет. 

 

По данным «Лаборатории Касперского», в 2021 году[1] спамом было около 45% электронных писем, а система «Антифишинг» предотвратила более 250 миллионов попыток перехода по фишинговым ссылкам. У специалиста по информационной безопасности может возникнуть ощущение, что уж про почтовые-то угрозы он знает всё и тем более знает, как от них защищаться. «Достаточно установить антиспам-фильтр с антивирусным движком, дополнить антивирусом на рабочей станции для надёжности и можно ставить галочку, что почтовая инфраструктура защищена». Но нельзя упускать из виду то, что электронная почта используется в большом количестве целевых атак. Давайте рассмотрим этот сценарий поподробнее.


Жизненный цикл целевой атаки

Для начала разберемся, что такое целевая атака. Это вид кибератак, который направлен на компрометацию определённой системы или объекта. Обычно таргетированная атака состоит из нескольких стадий. Обнаружение такого типа угроз чрезвычайно затруднено из-за направленного характера действий злоумышленников[2].

Для понимания целевых атак необходимо разобраться, как они происходят. Существует несколько фрэймворков, описывающих классические целевые атаки. Яркий пример – это MITRE ATT&CK®[3], являющийся де-факто стандартом в индустрии. В этой базе детально описаны техники, тактики и процедуры, используемые на разных стадиях целевой атаки. Но для общего понимания жизненного цикла атаки более удобен Cyber Kill Chain®[4].

Разведка и сбор данных (Reconnaissance) – на этом этапе происходит сбор информации о компании-цели, в основном из общедоступных источников.

Выбор способа атаки (Weaponization) – на основе данных, полученных на предыдущем этапе, злоумышленник выбирает способ атаки, готовит вредоносное программное обеспечение (ПО). Это могут быть как уже имеющиеся наработки, используемые в других атаках, так и новое вредоносное ПО, эксплуатирующее уязвимости именно этой компании-цели.

Доставка (Delivery) – непосредственно сам этап доставки вредоносного ПО в атакуемую организацию. Могут использоваться вредоносные флешки, атаки вида watering hole («водопой»)[5], когда злоумышленник размещает вредоносное ПО на веб-ресурсе, часто посещаемом сотрудниками атакуемой организации, и ждёт, когда вредоносное ПО попадёт на компьютер жертвы. Но основным способом доставки можно смело считать электронную почту ввиду лёгкости исполнения такой атаки и минимизации обнаружения злоумышленника.

Эксплуатация (Exploitation) – эксплуатация уязвимости для получения доступа к скомпрометированному устройству.

Закрепление (Installation) – на этом этапе злоумышленнику необходимо обустроить плацдарм в сети атакуемого предприятия для дальнейшего распространения атаки по сети.

Исполнение команд (Command and Control) – получение команд с C&C-сервера. Используется шифрованный канал для минимизации обнаружения.

Достижение цели (Actions on Objectives) – достижение непосредственной цели взлома. Например, получение доступа к конфиденциальной информации или кража денег.

Электронная почта может использоваться на разных этапах жизненного цикла целевой атаки. В основном это ранние этапы, например, во время сбора данных, но, пожалуй, главный этап для использования электронной почты – это доставка вредоносного ПО.


Рисунок 1. Жизненный цикл атаки

Основные техники исполнения атаки

Методы, которые чаще всего используют злоумышленники, это:

  • Целевой фишинг (spearphishing) – вид фишинговой атаки, направленный на конкретную организацию или сотрудника. Может содержать фишинговую ссылку или вредоносное вложение. При открытии прикреплённого файла эксплуатируется какая-либо уязвимость на системе пользователя или напрямую выполняются вредоносные инструкции. Чтобы избежать обнаружения, вложения иногда упаковываются в зашифрованный архив. Зачастую используется спуфинг адреса отправителя.
  • Whaling – подвид целевого фишинга, когда целью становится лицо, занимающее высокое положение в компании, например кто-то из директоров.
  • Business Email Compromise (BEC-атаки) – популярный в последние годы тип атаки, который сложно обнаружить. Используются техники социальной инженерии, например, злоумышленник представляется директором организации или руководителем отдела и просит сотрудника в кратчайшие сроки оплатить счёт или переслать конфиденциальные данные. Этот тип атак при успешном исполнении обычно приводит к большим финансовым потерям.

Перечисленные выше атаки зачастую содержат фишинг в том или ином виде. Так почему же может быть недостаточно установить классический антифишинг-фильтр? Дело в том, что в случае целевой атаки злоумышленник будет писать вредоносное ПО с учётом особенностей вашей инфраструктуры, информацию о которой он получил на этапе разведки. Вполне вероятно, что он будет знать, какое антивирусное ПО установлено в вашей организации. То есть записи об этом вредоносном ПО не будет в антивирусных базах. В силу очевидных архитектурных ограничений решений для защиты электронной почты они не могут проводить глубокий динамический анализ вредоносного файла без отдельной песочницы. Прежде всего, это сделано из-за соображения производительности и потребления системных ресурсов. Так какие же техники обнаружения или технологии предотвращения почтовых угроз могут нам помочь?


Рисунок 2. Принцип эшелонированной защиты


Технологии для борьбы с целевыми атаками

Классические технологии защиты электронной почты необходимы в любом случае. Имеются в виду сигнатурный, эвристический и облачный анализ как для борьбы со спамом, так и с фишингом, и с вредоносными файлами в целом. Также очень желательна система фильтрации контента или предотвращения утечек данных (DLP). А ниже перечислим некоторые техники, которые будут особенно полезны для предотвращения целевых атак с использованием почтовой инфраструктуры. Хочется подчеркнуть, что это не исчерпывающий список, но возможности, на которые стоит обратить внимание:

  • Протокол DMARC (Domain-based Message Authentication, Reporting, and Conformance)[6]. Он использует механизмы аутентификации электронной почты DKIM (DomainKeys Identified Mail) [7] и SPF (Sender Policy Framework) [8]. DMARC позволяет определить, действительно ли письмо получено от легитимного отправителя. DMARC даёт уверенность, что домен защищен от спуфинга, а получатель знает, какие действия применить к письму, которое не прошло проверку DKIM и SPF. В то же время DMARC не защищает от использования злоумышленниками похожих (lookalike) доменов. Для такого случая необходимо использовать технологии машинного обучения, которые обычно проверяют репутацию поддельных доменов и сравнивают её с репутацией известного домена. Если о репутации такого похожего домена ничего неизвестно, то с высокой долей вероятности это письмо от злоумышленника. Протокол DMARC присутствует во многих классических решениях, но весьма полезен для защиты от целевых атак.
  • Машинное обучение/ Искусственный интеллект для борьбы с BEC-атаками. Антифишинговый движок должен использовать технологии машинного обучения для обнаружения аномалий и определённых коммуникационных паттернов при анализе письма.
  • Песочница (Sandbox). Позволяет глубоко проанализировать полученный файл или ссылку в безопасной среде. Обычно песочницы могут анализировать широкий список типов файлов, а некоторые могут позволить выбрать операционную систему, на которой должна производиться проверка. Так как некоторые вредоносные файлы для избежания обнаружения анализируют среду, в которой они запускаются, песочница должна уметь обнаруживать и такое ПО. Может поставляться как отдельный программный продукт или в составе решения для защиты от таргетированных атак, что приносит дополнительные преимущества для защиты сети организации, например за счёт анализа сетевого трафика.
  • Content Disarm and Reconstruction (CDR). Используется для удаления из вложенных файлов активных компонентов, которые могут исполняться при открытии файла. Вложенный файл разбивается на составные части, активные элементы удаляются и файл пересобирается вновь. В отличие от других методов, CDR не полагается на обнаружение угроз, а удаляет весь исполняемый контент, благодаря чему эта техника особенно эффективна против угроз нулевого дня (zero day threats).
  • Перезапись URL и веб-изоляция (URL Rewriting & Web Isolation). Эти методы у разных производителей могут быть реализованы по-разному, но суть их заключается в том, чтобы пользователю пришла безопасная ссылка. Например, можно заменить её на одобренный администратором текст, сделать некликабельной или перенаправить пользователя на веб-прокси, который будет отображать в браузере пользователя только безопасный контент.


Как построить безопасную систему электронной почты?

Выделим несколько базовых шагов, которые помогут вам в этом:

1.  Следуйте принципу эшелонированной защиты, то есть применяйте средства:

  1. Административного контроля. Следуйте требованиям законодательства в странах ведения бизнеса (HIPAA, №152-ФЗ, GDPR и др.), используйте фреймворки и стандарты в сфере ИБ, например ISO/IEC 27000 series или специальные рекомендации NIST SP 800–45 для безопасности электронной почты, активно применяйте лучшие практики.
  2. Физического контроля, то есть обеспечьте физическую защиту вашей организации с помощью охранников, систем видеонаблюдения, заборов, замков, пропускной системы.
  3. Технического контроля, то есть аппаратные и программные средства для защиты вашей инфраструктуры.

2.  Используйте решение для защиты электронной почты – желательно с одной или несколькими технологиями, указанными в предыдущем разделе.

3.  Помните о том, что степень защищённости системы определяется наименее слабым звеном, то есть недостаточно использовать только решение для защиты почты. Необходимо защищать все элементы сети.

4.  Используйте решения класса SIEM и XDR для получения всей информации об инцидентах ИБ в организации в одном месте и для мгновенного реагирования на угрозы на разных элементах сети предприятия (рабочих станциях, веб-, почтовых серверах).

5. Обучайте сотрудников киберграмотности. Такие курсы есть у разных поставщиков решений по ИБ. Не забывайте, что целевые атаки очень часто начинаются с методов социальной инженерии и пользователи должны проходить регулярное обучение. 

Ключевые слова:.

Ключевые слова: фреймворк, эшелонированная защита, фишинг, вредоносный контент, антивирусные базы, электронная почта, целевая атака.

 


[1]   https://securelist.ru/spam-and-phishing-in-2021/104407/

[2]   https://encyclopedia.kaspersky.ru/glossary/targeted-attack/

[3]   https://attack.mitre.org/

[4]   https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

[5]   https://encyclopedia.kaspersky.ru/glossary/watering-hole/

[6]   https://datatracker.ietf.org/doc/html/rfc7489

[7]   https://datatracker.ietf.org/doc/html/rfc5585

[8]   https://datatracker.ietf.org/doc/html/rfc7208

 


Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru