Ochroń firmę zabezpieczając e-mail
Poczta elektroniczna od początku była najpowszechniejszą formą komunikacji biurowej, ale także wektorem w ukierunkowanych atakach na przedsiębiorstwa. Według firmy Proofpoint, aż 94% celowych ataków na firmy rozpoczyna się od e-maila. E-mail to również główne narzędzie tzw. rozprzestrzeniania wewnętrznego – napastnik „dystrybuuje się” do innych wykorzystując skrzynkę mailową (a co za tym idzie – tożsamość) zainfekowanego komputera. W niniejszym artykule pomijamy kwestię spamu i skupiamy się na atakach.
Ataki z wykorzystaniem poczty elektronicznej zazwyczaj zaczynają się od spoof. Zwykle jest to po prostu e-mail z załącznikiem – excel, pdf czy docx. ingu – próby podszycia się pod zaufanego nadawcę. Możemy je podzielić na 3 grupy.
Ataki mające na celu instalację malware na komputerze.
Zwykle jest to po prostu e-mail z załącznikiem – excel, pdf czy docx.
Wśród payloadu takich e-maili warto wyróżnić:
- Ransomware – ograniczający dostęp do komputera (zwykle przez zaszyfrowanie zawartości dysku), celem jest najczęściej wyłudzenie okupu za przywrócenie dostępu. Prócz tego utrata danych i przerwanie procesów biznesowych ostatecznie może skutkować utratą zaufania klientów i stratą pozycji na rynku.
- Device Take-Over Malware – celem jest ustanowienie połączenia typu command & control z komputerem atakującego, aby mógł on wykonywać dalsze akcje (kradzież danych, transfer środków, rozprzestrzenianie wewnętrzne w sieci firmy).
- Spyware –śledzi akcje użytkownika na komputerze. Jego celem jest najczęściej zbieranie danych dostępowych – ale mogą to być każde informacje.
Ataki zawierające odnośnik do strony, na której może dojść do przejęcia danych lub pobrania malware
Typowo celem przekierowania jest sfałszowana domena – przestępca fałszuje adres nadawcy („WIADOMOŚĆ OD”/„ścieżka zwrotna”), wykorzystując zaufaną domenę. Odbiorca widzi sfałszowany adres, a nie rzeczywistą domenę nadawcy. Domeny przypominające inne domeny. Aby przedostać się przez środki przeciwdziałające fałszowaniu domen, przestępcy często rejestrują domeny, które przypominają domeny, pod które próbują się podszyć. W nazwie takich domen może na przykład znajdować się cyfra „0” zamiast litery „O” – („0net.pl”) czy podstawianie liter np. małego „l” zamiast wielkiej „I” („lvesBank.com”).
Trzy główne scenariusze to:
- Credential Theft-Phishing – kradzież danych dostępowych przy próbie logowania do fałszywej strony. Szczególnym przypadkiem jest spear-phishing
- Wire-transfer Theft –przez fałszywą stronę pozwalającą przekazywać środki pieniężne nieświadomy użytkownik lub napastnik przekazuje pieniądze na konto wskazane przez atakującego.
- File-less Malware –po kliknięciu w link, uruchomiony program np. Java czy Flash, konfiguruje makra Office, WMI czy PowerShella by wykonywał akcje skierowane przeciwko sobie – użytkownikowi i systemowi. Taktyka nazywana „living-off-land”.
Ataki mające na celu przejęcie skrzynki atakującego
To ataki, które zmierzają do przejęcia skrzynki ofiary i wykorzystanie jej do:
- Business Email Compromise –przejęcie komunikacji z danej skrzynki poprzez dostęp do całego archiwum jak i aktywną komunikację z klientami i partnerami biznesowymi. Gartner przewiduje, że ilość ataków BEC będzie się zwiększać dwukrotnie rok do roku, powodując do 2023 r. rzeczywiste straty warte 5 mld USD.
- Lateral movement –atakujący „rozsyła się” na inne komputery w sieci wykorzystując tożsamość przejętej skrzynki.
- Eksfiltracji danych – wychodząca poczta e-mail może służyć do eksfiltracji poczty elektronicznej, baz danych, kalendarzy, dokumentów finansowych bądź prawnych, obrazów i prawie każdego obiektu istniejącego w systemie czy stanowiącego dane wrażliwe. Dane te mogą zostać przekazane stronie trzeciej jako e-mail, wiadomość tekstowa lub jako załącznik do pliku.
Warto pamiętać!
Projektując ochronę kanału e-mail należy pamiętać, że niezależnie od celu ataku i typu oprogramowania, koncentrują się one zarówno na niedoskonałościach technicznych jak i ludzkich słabościach. Dlatego do obrony przed nimi potrzebne są środki zabezpieczające nastawione na użytkowników i prócz metod analizy parametrów połączenia i payloadu, „zwrócą uwagę” na anomalie zachowania użytkowników.
Obecnie ochrona kanału e-mail to wyzwanie podzielone na 5 obszarów:
- Ochronę przed zagrożeniami.
- Ochronę informacji.
- Ochronę użytkownika.
- Ochronę dostępu.
- Ochronę zgodności z regulacjami.
Nowoczesne rozwiązania typu E-mail Security Gateway, zakładają wiele etapów weryfikacji – w myśl zasady defense-in-depth:
Uwierzytelnianie
Neutralizuje ataki z użyciem maila podszywającego się pod danego nadawcę (spoofing), na której może dojść do przejęcia danych lub pobrania malware. Robi to poprzez uniemożliwienie sfałszowania domeny w ścieżce zwrotnej, w nagłówku e-maila.
- Sender Policy Framework (SPF) –mechanizm weryfikuje czy dany serwer pocztowy (nadawca) jest uprawniony do wysyłania poczty (czyt. uwzględniony w rekordzie DNS) z danej domeny. Jeżeli domena (przez – ENVELOPE FROM) i adres nadawcy (nagłówek – FROM) nie są zgodne (FROM =/ ENVELOPE FROM) – email jest odrzucany.
- Domains-Key Identified Mail (DKIM)–może potwierdzić zarówno domenę nadawcy „kopertowego” jak i „nagłówkowego”. Mechanizm szyfruje zawartość́ wiadomości kluczem prywatnym, do którego pasuje klucz publiczny znajdujący się w domenie – tej samej z której wysyłany jest mail od nadawcy. W momencie otrzymania następuje „odpytanie” DNS domeny o klucz publiczny i weryfikacja.
- Domain-based Message Authentication, Reporting and Conformance (DMARC)– weryfikuje zastosowanie SPF i DKIM. Co najmniej jeden z tych mechanizmów musi potwierdzić domenę nadawcy nagłówkowego (FROM=ENVELOPE FROM) by DMARC przepuścił wiadomość.
Do tego celu wykorzystuje:
Na tym etapie kluczowe jest by uzyskać poprawną werfikację za pomocą DMARC. Najlepsze rozwiązania automatycznie zachowają i dodadzą do globalnej bazy adresów zidentyfikowane sfałszowane domeny typu „zero-day”. Dostęp do globalnej wiedzy jest kluczowy, ze względu na rozbieżność zastosowania danych technik w różnych strefach geograficznych.
Skanowanie
Neutralizuje złośliwe oprogramowanie i linki. Celem jest walidacja zawartości przesyłanej treści, załączników i stron, do których prowadzą linki.
Mechanizmy skanowane wykorzystują analizy:
- Plików–opartą o analizę kodu, sygnaturową i heurystyczną (korelacja zachowań).
- Reptuacji– poprzez weryfikację certyfikatu domeny i reputacji – domeny i dodatkowo adresu IP (ruch opcjonalny – IP można zmienić). Obecnie producenci oprogramowania prowadzą również ogromne jeziora danych analizujące zachowania domen w czasie i dodają kontekst danych historycznych do swoich rozwiązań.
- Behawioralną –polegającą na korelacji ze zidentyfikowanymi trendami zachowań:Czy wiadomość zawiera podejrzany temat w stosunku do pozostałych zidentyfikowanych parametrów – czy jest on dla nich „typowy”? Czy nadawca i odbiorca mieli już kontakt e-mailowy? Czy treść e-maila wygląda podejrzanie, jeżeli chodzi o użyte słowa i zwroty?
- Sandboxing-chroniący przed podejrzanymi ale nie sklasyfikowanymi plikami i e-mailami. Sandboxing pozwala „zdetonować” plik w testowym środowisku (zwykle w najdrobniejszych detalach przypominającym normalny system). To obecnie najlepsza ochrona przed atakami typu zero-day.
Analiza dostępu – cloud access
Wraz z rosnącą adopcją chmury dlatego rodzaju dostępu do konta pocztowego (np. poprzez aplikację mobile czy dostęp przez przeglądarkę) możemy dodatkowo sprawdzić:
- aktywność na koncie – nietypowe operacje, takie jak dodawanie wielu kopii ukrytych w e-mailach lub ustawianie zasad dotyczących przekierowania kalendarzy,
- kontekst – nietypowe logowania z miejsc zbyt odległych, aby mogły pochodzić od jednego użytkownika lub z nowych urządzeń, przez nieznane sieci i o nietypowych porach,
- korelację ze znanymi trendami ataku – pozwala przy pomocy globalnej analizy aktywności wymierzonych w określone stanowiska lub grupy – do grupy i stanowiska użytkownika i uwzględnić to w ocenie ryzyka.
Po zastosowaniu powyższych kroków rozwiązanie przedstawia skorelowany poziom ryzyka oparty o powyższe czynniki i stosuje odpowiednią akcję np. blokuj. Ze względu na liczbę ataków poprzez e-mail, bezcenne stają się funkcje automatycznego reagowania na zagrożenia automatyzując kluczowe części procesu reagowania na incydenty.
Poniżej przykłady działań, które można ustawić jako wykonywane automatycznie, jeśli w skrzynce odbiorczej użytkownika została rozpoznana próba ataku:
- wyciąganie e-maili phishingowych zawierających adresy URL, które stały się niebezpieczne po dostarczeniu łącznie ze wszelkimi kopiami, które zostały przekazane innym użytkownikom,
- usuwanie niepożądanych wiadomości z kont wewnętrznych, które zostały zainfekowane,
- poddawanie kwarantannie e-maili zgłoszonych przez użytkowników jako potencjalnie wysłane przez oszustów,
- wymuszanie zresetowania hasła,
- zawieszanie zainfekowanych kont,
- odwołanie dowolnej aktywnej sesji użytkownika,
- wymuszanie uwierzytelniania wielopoziomowego ze względu na zidentyfikowany stopień ryzyka.
Obecnie tylko zastosowanie wszystkich powyższych metod pozwala skutecznie uniknąć ataków. Skanowanie i uwierzytelnianie oparte o znane algorytmy to wciąż podstawa weryfikacji przychodzących e-maili. Jednak atakujący sprawnie posługują się narzędziami takimi jak Google i LinkedIn, prowadząc skuteczny rekonesans i tak personalizując wiadomości, by nieświadomy użytkownik działał na niekorzyść systemu bezpieczeństwa. Wdrożenia chmurowe wprowadzają nowe sposoby dostępu i postrzeganie komunikacji e-mail poprzez pryzmat sieci komputerowych jest nieskuteczne. Wymaga to uwzględnienia technologii skoncentrowanych na użytkownika – pozwalających wykryć anomalnie i dodatkowo reagować.
Nadal e-mail pozostaje najbardziej eksploatowanym źródłem ataków.