Ochroń firmę zabezpieczając e-mail

Home / Aktualności / Ochroń firmę zabezpieczając e-mail

Poczta elektroniczna od początku była najpowszechniejszą formą komunikacji biurowej, ale także wektorem w ukierunkowanych atakach na przedsiębiorstwa. Według firmy Proofpoint, aż 94% celowych ataków na firmy rozpoczyna się od e-maila. E-mail to również główne narzędzie tzw. rozprzestrzeniania wewnętrznego – napastnik „dystrybuuje się” do innych wykorzystując skrzynkę mailową (a co za tym idzie – tożsamość) zainfekowanego komputera. W niniejszym artykule pomijamy kwestię spamu i skupiamy się na atakach.


Ataki z wykorzystaniem poczty elektronicznej zazwyczaj zaczynają się od spoof. Zwykle jest to po prostu e-mail z załącznikiem – excel, pdf czy docx. ingu – próby podszycia się pod zaufanego nadawcę. Możemy je podzielić na 3 grupy.


Ataki mające na celu instalację malware na komputerze.

Zwykle jest to po prostu e-mail z załącznikiem – excel, pdf czy docx.


Wśród payloadu takich e-maili warto wyróżnić:
  • Ransomware – ograniczający dostęp do komputera (zwykle przez zaszyfrowanie zawartości dysku), celem jest najczęściej wyłudzenie okupu za przywrócenie dostępu. Prócz tego utrata danych i przerwanie procesów biznesowych ostatecznie może skutkować utratą zaufania klientów i stratą pozycji na rynku.

  • Device Take-Over Malware ­–  celem jest ustanowienie połączenia typu command & control z komputerem atakującego, aby mógł on wykonywać dalsze akcje (kradzież danych, transfer środków, rozprzestrzenianie wewnętrzne w sieci firmy).

  • Spyware –śledzi akcje użytkownika na komputerze. Jego celem jest najczęściej zbieranie danych dostępowych – ale mogą to być każde informacje.


Ataki zawierające odnośnik do strony, na której może dojść do przejęcia danych lub pobrania malware

Typowo celem przekierowania jest sfałszowana domena – przestępca fałszuje adres nadawcy („WIADOMOŚĆ OD”/„ścieżka zwrotna”), wykorzystując zaufaną domenę. Odbiorca widzi sfałszowany adres, a nie rzeczywistą domenę nadawcy. Domeny przypominające inne domeny. Aby przedostać się przez środki przeciwdziałające fałszowaniu domen, przestępcy często rejestrują domeny, które przypominają domeny, pod które próbują się podszyć. W nazwie takich domen może na przykład znajdować się cyfra „0” zamiast litery „O” – („0net.pl”) czy podstawianie liter np. małego „l” zamiast wielkiej „I” („lvesBank.com”).


Trzy główne scenariusze to:
  • Credential Theft-Phishing – kradzież danych dostępowych przy próbie logowania do fałszywej strony. Szczególnym przypadkiem jest spear-phishing

  • Wire-transfer Theft –przez fałszywą stronę pozwalającą przekazywać środki pieniężne nieświadomy użytkownik lub napastnik przekazuje pieniądze na konto wskazane przez atakującego.

  • File-less Malware –po kliknięciu w link, uruchomiony program np. Java czy Flash, konfiguruje makra Office, WMI czy PowerShella by wykonywał akcje skierowane przeciwko sobie – użytkownikowi i systemowi. Taktyka nazywana „living-off-land”.


Ataki mające na celu przejęcie skrzynki atakującego

 

To ataki, które zmierzają do przejęcia skrzynki ofiary i wykorzystanie jej do:
  • Business Email Compromise –przejęcie komunikacji z danej skrzynki poprzez dostęp do całego archiwum jak i aktywną komunikację z klientami i partnerami biznesowymi. Gartner przewiduje, że ilość ataków BEC będzie się zwiększać dwukrotnie rok do roku, powodując do 2023 r. rzeczywiste straty warte 5 mld USD.

  • Lateral movement –atakujący „rozsyła się” na inne komputery w sieci wykorzystując tożsamość przejętej skrzynki.

  •  Eksfiltracji danych – wychodząca poczta e-mail może służyć do eksfiltracji poczty elektronicznej, baz danych, kalendarzy, dokumentów finansowych bądź prawnych, obrazów i prawie każdego obiektu istniejącego w systemie czy stanowiącego dane wrażliwe. Dane te mogą zostać przekazane stronie trzeciej jako e-mail, wiadomość tekstowa lub jako załącznik do pliku.



Warto pamiętać!

Projektując ochronę kanału e-mail należy pamiętać, że niezależnie od celu ataku i typu oprogramowania, koncentrują się one zarówno na niedoskonałościach technicznych jak i ludzkich słabościach. Dlatego do obrony przed nimi potrzebne są środki zabezpieczające nastawione na użytkowników i prócz metod analizy parametrów połączenia i payloadu, „zwrócą uwagę” na anomalie zachowania użytkowników.


Obecnie ochrona kanału e-mail to wyzwanie podzielone na 5 obszarów:
  • Ochronę przed zagrożeniami.
  • Ochronę informacji.
  • Ochronę użytkownika.
  • Ochronę dostępu.
  • Ochronę zgodności z regulacjami.


Nowoczesne rozwiązania typu E-mail Security Gateway, zakładają wiele etapów weryfikacji – w myśl zasady defense-in-depth:


Uwierzytelnianie

Neutralizuje ataki z użyciem maila podszywającego się pod danego nadawcę (spoofing), na której może dojść do przejęcia danych lub pobrania malware. Robi to poprzez uniemożliwienie sfałszowania domeny w ścieżce zwrotnej, w nagłówku e-maila.

  • Sender Policy Framework (SPF) –mechanizm weryfikuje czy dany serwer pocztowy (nadawca) jest uprawniony do wysyłania poczty (czyt. uwzględniony w rekordzie DNS) z danej domeny. Jeżeli domena (przez – ENVELOPE FROM) i adres nadawcy (nagłówek – FROM) nie są zgodne (FROM =/ ENVELOPE FROM) – email jest odrzucany.
  • Domains-Key Identified Mail (DKIM)–może potwierdzić zarówno domenę nadawcy „kopertowego” jak i „nagłówkowego”. Mechanizm szyfruje zawartość́ wiadomości kluczem prywatnym, do którego pasuje klucz publiczny znajdujący się w domenie – tej samej z której wysyłany jest mail od nadawcy. W momencie otrzymania następuje „odpytanie” DNS domeny o klucz publiczny i weryfikacja.
  •  Domain-based Message Authentication, Reporting and Conformance (DMARC)– weryfikuje zastosowanie SPF i DKIM. Co najmniej jeden z tych mechanizmów musi potwierdzić domenę nadawcy nagłówkowego (FROM=ENVELOPE FROM) by DMARC przepuścił wiadomość.


Do tego celu wykorzystuje:

Na tym etapie kluczowe jest by uzyskać poprawną werfikację za pomocą DMARC. Najlepsze rozwiązania automatycznie zachowają i dodadzą do globalnej bazy adresów zidentyfikowane sfałszowane domeny typu „zero-day”. Dostęp do globalnej wiedzy jest kluczowy, ze względu na rozbieżność zastosowania danych technik w różnych strefach geograficznych.


Skanowanie

Neutralizuje złośliwe oprogramowanie i linki. Celem jest walidacja zawartości przesyłanej treści, załączników i stron, do których prowadzą linki.


Mechanizmy skanowane wykorzystują analizy:
  • Plików–opartą o analizę kodu, sygnaturową i heurystyczną (korelacja zachowań).
  • Reptuacji– poprzez weryfikację certyfikatu domeny i reputacji – domeny i dodatkowo adresu IP (ruch opcjonalny – IP można zmienić). Obecnie producenci oprogramowania prowadzą również ogromne jeziora danych analizujące zachowania domen w czasie i dodają kontekst danych historycznych do swoich rozwiązań.
  • Behawioralną –polegającą na korelacji ze zidentyfikowanymi trendami zachowań:Czy wiadomość zawiera podejrzany temat w stosunku do pozostałych zidentyfikowanych parametrów – czy jest on dla nich „typowy”? Czy nadawca i odbiorca mieli już kontakt e-mailowy? Czy treść e-maila wygląda podejrzanie, jeżeli chodzi o użyte słowa i zwroty?
  • Sandboxing-chroniący przed podejrzanymi ale nie sklasyfikowanymi plikami i e-mailami. Sandboxing pozwala „zdetonować” plik w testowym środowisku (zwykle w najdrobniejszych detalach przypominającym normalny system). To obecnie najlepsza ochrona przed atakami typu zero-day.


Analiza dostępu – cloud access

Wraz z rosnącą adopcją chmury dlatego rodzaju dostępu do konta pocztowego (np. poprzez aplikację mobile czy dostęp przez przeglądarkę) możemy dodatkowo sprawdzić:

  • aktywność na koncie – nietypowe operacje, takie jak dodawanie wielu kopii ukrytych w e-mailach lub ustawianie zasad dotyczących przekierowania kalendarzy,
  • kontekst – nietypowe logowania z miejsc zbyt odległych, aby mogły pochodzić od jednego użytkownika lub z nowych urządzeń, przez nieznane sieci i o nietypowych porach,
  •  korelację ze znanymi trendami ataku – pozwala przy pomocy globalnej analizy aktywności wymierzonych w określone stanowiska lub grupy – do grupy i stanowiska użytkownika i uwzględnić to w ocenie ryzyka.



Po zastosowaniu powyższych kroków rozwiązanie przedstawia skorelowany poziom ryzyka oparty o powyższe czynniki i stosuje odpowiednią akcję np. blokuj. Ze względu na liczbę ataków poprzez e-mail, bezcenne stają się funkcje automatycznego reagowania na zagrożenia automatyzując kluczowe części procesu reagowania na incydenty.



Poniżej przykłady działań, które można ustawić jako wykonywane automatycznie, jeśli w skrzynce odbiorczej użytkownika została rozpoznana próba ataku:

  • wyciąganie e-maili phishingowych zawierających adresy URL, które stały się niebezpieczne po dostarczeniu łącznie ze wszelkimi kopiami, które zostały przekazane innym użytkownikom,
  • usuwanie niepożądanych wiadomości z kont wewnętrznych, które zostały zainfekowane,
  • poddawanie kwarantannie e-maili zgłoszonych przez użytkowników jako potencjalnie wysłane przez oszustów,
  • wymuszanie zresetowania hasła,
  • zawieszanie zainfekowanych kont,
  • odwołanie dowolnej aktywnej sesji użytkownika,
  • wymuszanie uwierzytelniania wielopoziomowego ze względu na zidentyfikowany stopień ryzyka.

Obecnie tylko zastosowanie wszystkich powyższych metod pozwala skutecznie uniknąć ataków. Skanowanie i uwierzytelnianie oparte o znane algorytmy to wciąż podstawa weryfikacji przychodzących e-maili. Jednak atakujący sprawnie posługują się narzędziami takimi jak Google i LinkedIn, prowadząc skuteczny rekonesans i tak personalizując wiadomości, by nieświadomy użytkownik działał na niekorzyść systemu bezpieczeństwa. Wdrożenia chmurowe wprowadzają nowe sposoby dostępu i postrzeganie komunikacji e-mail poprzez pryzmat sieci komputerowych jest nieskuteczne. Wymaga to uwzględnienia technologii skoncentrowanych na użytkownika – pozwalających wykryć anomalnie i dodatkowo reagować.


Nadal e-mail pozostaje najbardziej eksploatowanym źródłem ataków.



Powiązane posty

Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.