Blog

Što kada biste se mogli u potpunosti izolirati od phishinga?

Phishing kampanje ponajveći su sigurnosni rizik u bilo kojoj organizaciji, a sam email je vektor broj jedan za krađu podataka, kredencijala i općenito kompromitaciju sigurnosti neke kompanije. Što kad biste mogli praktički u potpunosti eliminirati rizik od phishinga? Što kad bi svaka slična kampanja upućena na vašu adresu bila neutralizirana u startu, a vaš rizik od gubitka potataka, korisničkih računa ili financijskih sredstava drastično smanjen?

Temom izolacije prijetnji bavili smo se pred godinu i pol, nakon što je Symantec akvizirao Fireglass, izraelski start-up koji je razvio “remote browser” rješenje koje smanjuje sigurnosni rizik na način da se korisnik odvoji – izolira – od malicioznog sadržaja. Tada smo fokus stavili na integraciju sa Symantecovim ProxySG-om, rješenjem za osiguranje sigurnog pristupa internetu, a ovog puta ćemo se fokusirati na sigurnost mail kanala. U prethodnom članku naći ćete detaljniji opis kako izolacija funkcionira, ovog puta spomenimo ukratko:

Što je izolacija prijetnji ili remote browsing?

Radi se o smanjenju rizika od kompromitacije na način da je korisnika potpuno odvoji od originalnog, potencijalno malicioznog web sadržaja kojem pokušava pristupiti. Primarno adresiramo pristup sumnjivim web stranicama – ako kategorizacija na web (ProxySG) ili email rješenju (Symantec Messaging Gateway ili Email Security.cloud) URL ne prepoznaje kao siguran, ni maliciozan, korisnika se upućuje na izolaciju. Pristupajući sadržaju kroz izolaciju, korisnik dobiva samo siguranu reprezentaciju originalnog web sitea, bez potencijalno malicioznih komponenti poput JavaScripta, Flash ili Java pluginova, različitih malicioznih datoteka itd. Najbitnije: generirani sadržaj je istovjetan originalu, a ne predstavlja rizik.

Zašto izolacija u kombinaciji sa email sigurnosnim rješenjem?

Glavni problem klasične email provjere jest da se URL obično provjerava samo jednom – prilikom primitka na ulaznoj točki (perimetru, gatewayju), a nakon toga spušta se u inbox korisnika i tu kontrola završava. Izmjenom originalnog URL-a da pokazuje prema izolacijskom servisu dobiva se mogućnost provjere sigurnosti URL-a kod svakog pokušaja prustupanja – bilo to odmah nakon primitka ili tjedan dana kasnije.

Primjerice: napadači nerijetko email phishing kampanju kreiraju i šalju u petak poslijepodne, nakon radnog vremena. U to vrijeme, phishing domena ne sadrži maliciozni sadržaj i u potpunosti je bezazlena. Automatska kategorizacija ne uspijeva kategorizirati site, u najboljem slučaju ocjenjuje URL kao ‘placeholder’ ili eventualno sumnjiv sadržaj, ali propušta mail do korisnika. Krajem vikenda, napadači mijenjaju sadržaj web stranice dodajući maliciozan sadržaj, phishing formular koji sliči popularnim servisima kao Office 365 ili slično. Zaposlenik u ponedjeljak ujutro otvara mail, pristupa URL-u, a ono što slijedi je novi zadatak za odjel informacijske sigurnosti.

Kako izgleda neutralizirana phishing kampanja korištenjem izolacije?

Prikazat ćemo vam stvaran primjer phishing kampanje kreirane sa ciljem krađe Office 365 kredencijala, za nas vrlo specifičan i relevantan – jer iskorištava Veracompov brand te osobne podatke naše zaposlenice, a poslan je na adrese naših partnera u regiji. Dokaz da se ovakve stvari “ne događaju samo drugima”. Jednostavan mail sadržavao je (lažni) PDF dokument za čije je “otvaranje” bilo potrebno prijaviti se na portal koji imitira login formular za Microsoftov Office 365 servis, kojeg koriste mnogi naši partneri. Naravno, krajnji rezultat bio bi krađa korisničkih računa i daljnji proboj organizacije – no što ako bi ste to mogli jednostavno spriječiti?

Ispod je primjer dobivenog maila:

Ovako, pak, izgleda mail uz korištenje Symantecovog Email Security.cloud servisa za zaštitu maila te email izolacije:

Originalni URL zamijenjen je novim, koji upućuje na izolacijski servis. Korisnik dobiva originalnu web stranicu, no maliciozni sadržaj je uklonjen, a formular za unos podataka je onemogućen. Korisnik neće moći unijeti svoj email i lozinku.

Phishingom su redovito pogođene i državne institucije u Hrvatskoj, a za nedavni vrlo vjerojatno uspješno realiziran ciljani napad se nije znalo par mjeseci. Poslani email sadržavao je Excel tablicu sa macro skriptom koja okida lanac zaraze, a krajnji rezultat je potpuna kontrola nad zaraženim računalom kroz Empire Backdoor alat. Ovo također ukazuje na potrebu za kvalitetnom zaštitom mail kanala, naprednom analizom privitaka, izolacijom sumnjivog sadržaja i zaštitom od impersonizacije. Izvori: ZSIS, PT Security blog.

Symantecova rješenja za zaštitu emaila

Threat Isolation je zaseban proizvod koji se može integrirati sa on-premise rješenjima kao što su ProxySG ili Symantec Messaging Gateway, ili cloud servisima kao Web Security Services ili Email Security.cloud. Integracija je moguća i sa web ili email rješenjima drugih proizvođača.

Symantecova email zaštita obuhvaća niz metoda:

  • Na nivou inicijalne konekcije provjerava se reputacija mail servera pošiljatelja
  • Uključene su standardne detekcijske tehnologije poput antivirusnog enginea, machine learninga i anti-spam zaštite
  • Zaštita od malicioznih linkova kroz URL rewriteing i izolaciju
  • Business Email Compromise zaštita, phishing i anti-spoofing kontrole (impersonacija)
  • Napredna analiza datoteka u privitku kroz sandboxing (cloud ili on-premise)
  • Opcionalna integracija sa Data Loss Prevention rješenjem
  • Edukacija zaposlenika kroz “Phishing Readiness” servis za simulaciju phishing napada

Sve ovo korisnicima možemo ponuditi kao cloud security as a service rješenje koje ne zahtjeva dodatne instalacije kod korisnika, ili kao on-premise proizvod u virtualnoj ili hardverskoj varijanti.

Na kraju, Symantecova rješenja za zaštitu emaila su u nedavnom Forresterovom istraživanju (Q2 2019) pozicionirana kao vodeća u klasi među jedanaest drugih evaluiranih proizvođača.

Za više informacija, kao i informativnu ponudu, slobodno nas kontaktirajte.

Više informacija:

Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?

Kontaktirajte nas!