Blog

Šta kada biste se mogli u potpunosti izolovati od phishinga?

Phishing kampanje su ponajveći sigurnosni rizik u bilo kojoj organizaciji, a sam email je vektor broj jedan za krađu podataka, kredencijala i uopšteno kompromitaciju sigurnosti neke kompanije. Šta kad biste mogli praktički u potpunosti eliminisati rizik od phishinga? Šta kad bi svaka slična kampanja upućena na vašu adresu bila neutralizovana u startu, a vaš rizik od gubitka potataka, korisničkih računa ili finansijskih sredstava drastično smanjen?

Temom izolacije prijetnji bavili smo se prije godinu i po, nakon što je Symantec akvizirao Fireglass, izraelski start-up koji je razvio “remote browser” rješenje koje smanjuje sigurnosni rizik na način da se korisnik odvoji – izoluje – od malicioznog sadržaja. Tada smo fokus stavili na integraciju sa Symantecovim ProxySG-om, rješenjem za osiguranje sigurnog pristupa internetu, a ovog puta ćemo se fokusirati na sigurnost mail kanala. U prethodnom članku naći ćete detaljniji opis kako izolacija funkcioniše, ovaj put spomenimo ukratko:

Šta je izolacija prijetnji ili remote browsing?

Radi se o smanjenju rizika od kompromitacije na način da korisnika potpuno odvoji od originalnog, potencijalno malicioznog web sadržaja kojem pokušava da pristupi. Primarno adresiramo pristup sumnjivim web stranicama – ako kategorizacija na web (ProxySG) ili email rješenju (Symantec Messaging Gateway ili Email Security.cloud) URL ne prepoznaje kao siguran, ni maliciozan, korisnik se upućuje na izolaciju. Pristupajući sadržaju kroz izolaciju, korisnik dobija samo siguranu reprezentaciju originalnog web sitea, bez potencijalno malicioznih komponenti poput JavaScript-a, Flash ili Java pluginova, različitih malicioznih datoteka itd. Najbitnije: generisani sadržaj je istovetan originalu, a ne predstavlja rizik.

Zašto izolacija u kombinaciji sa email sigurnosnim rješenjem?

Glavni problem klasične email provjere jest da se URL obično provjerava samo jednom – prilikom primanja na ulaznoj tački (perimetru, gatewayju), a nakon toga spušta se u inbox korisnika i tu kontrola završava. Izmjenom originalnog URL-a da pokazuje prema izolacijskom servisu dobija se mogućnost provjere sigurnosti URL-a kod svakog pokušaja pristupanja – bilo to odmah nakon primitka ili sedmicu dana kasnije.

Na primjer: napadači nerijetko email phishing kampanju kreiraju i šalju u petak poslijepodne, nakon radnog vremena. U to vrijeme, phishing domena ne sadrži maliciozni sadržaj i u potpunosti je bezazlena. Automatska kategorizacija ne uspijeva kategorizirati site, u najboljem slučaju ocjenjuje URL kao ‘placeholder’ ili eventualno sumnjiv sadržaj, ali propušta mail do korisnika. Krajem vikenda, napadači mijenjaju sadržaj web stranice dodajući maliciozan sadržaj, phishing formular koji je sličan popularnim servisima kao Office 365 ili slično. Zaposlenik u ponedjeljak ujutro otvara mail, pristupa URL-u, a ono što slijedi je novi zadatak za odjel informacione sigurnosti.

Kako izgleda neutralizovana phishing kampanja korištenjem izolacije?

Prikazaćemo vam stvaran primjer phishing kampanje kreirane sa ciljem krađe Office 365 kredencijala, za nas vrlo specifičan i relevantan – jer iskorištava Veracompov brand, te lične podatke naše zaposlenice, a poslan je na adrese naših partnera u regiji. Dokaz da se ovakve stvari “ne događaju samo drugima”. Jednostavan mail sadržavao je (lažni) PDF dokument za čije je “otvaranje” bilo potrebno prijaviti se na portal koji imitira login formular za Microsoftov Office 365 servis, koji koriste mnogi naši partneri. Naravno, krajnji rezultat bio bi krađa korisničkih računa i dalji proboj organizacije –ali šta ako biste to mogli jednostavno spriječiti?

Ispod je primjer dobijenog maila:

Ovako, pak, izgleda mail uz korištenje Symantecovog Email Security.cloud servisa za zaštitu maila te email izolacije:

Originalni URL zamijenjen je novim, koji upućuje na izolacijski servis. Korisnik dobija originalnu web stranicu, no maliciozni sadržaj je uklonjen, a formular za unos podataka je onemogućen. Korisnik neće moći unijeti svoj email i lozinku.

Phishingom su redovno pogođene i državne institucije u Hrvatskoj, a za nedavni vrlo vjerovatno uspješno realizovan ciljani napad se nije znalo nekoliko mjeseci. Poslani email sadržavao je Excel tablicu sa macro skriptom koja okida lanac zaraze, a krajnji rezultat je potpuna kontrola nad zaraženim računarom kroz Empire Backdoor alat. Ovo takođe ukazuje na potrebu za kvalitetnom zaštitom mail kanala, naprednom analizom privitaka, izolacijom sumnjivog sadržaja i zaštitom od impersonizacije. Izvori: ZSIS, PT Security blog.

Symantecova rješenja za zaštitu emaila

Threat Isolation je zaseban proizvod koji se može integrisati sa on-premise rješenjima kao što su ProxySG ili Symantec Messaging Gateway, ili cloud servisima kao Web Security Services ili Email Security.cloud. Integracija je moguća i sa web ili email rješenjima drugih proizvođača.

Symantecova email zaštita obuhvata niz metoda:

  • Na nivou inicijalne konekcije provjerava se reputacija mail servera pošiljaoca
  • Uključene su standardne detekcijske tehnologije poput antivirusnog enginea, machine learninga i anti-spam zaštite
  • Zaštita od malicioznih linkova kroz URL rewriteing i izolaciju
  • Business Email Compromise zaštita, phishing i anti-spoofing kontrole (impersonacija)
  • Napredna analiza datoteka u privitku kroz sandboxing (cloud ili on-premise)
  • Opcionalna integracija sa Data Loss Prevention rješenjem
  • Edukacija zaposlenika kroz “Phishing Readiness” servis za simulaciju phishing napada

Sve ovo korisnicima možemo ponuditi kao cloud security as a service rješenje koje ne zahtjeva dodatne instalacije kod korisnika, ili kao on-premise proizvod u virtualnoj ili hardverskoj varijanti.

Na kraju, Symantecova rješenja za zaštitu emaila su u nedavnom Forresterovom istraživanju (Q2 2019) pozicionirana kao vodeća u klasi među jedanaest drugih evaluiranih proizvođača.

Za više informacija, kao i informativnu ponudu, slobodno nas kontaktirajte.

Više informacija:

Share on LinkedInShare on FacebookTweet about this on Twitter
Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?
Kontaktirajte nas!