Blog

Kaj ko bi se lahko popolnoma zaščitili pred phishingom?

Kampanje phishing ali kampanje lažnega predstavljanja so v vseh organizacijah največje varnostno tveganje, elektronsko sporočilo pa je pri kraji podatkov in poverilnic glavni dejavnik ter predstavlja splošno grožnjo za varnost podjetja. Kaj ko bi lahko skoraj v celoti odstranili tveganje pred phishingom? Kaj ko bi bila vsaka tovrstna kampanja, poslana na vaš e-naslov, onemogočena že na samem začetku, tveganje pred izgubo podatkov, uporabniških računov ali finančnih sredstev pa drastično zmanjšano?

S temo o izolaciji groženj smo se ukvarjali že pred letom in pol, ko je podjetje Symantec kupilo izraelski start-up Fireglass, ki je razvil rešitev remote browser, namenjeno zmanjševanju varnostnih tveganj na način, da se uporabnika loči – izolira – od zlonamerne vsebine. Takrat smo se osredotočili na integracijo z rešitvijo Symantec ProxySG, ki zagotavlja varen dostop do spleta, tokrat pa bomo obravnavali varnost kanalov za pošiljanje e-sporočil. V prejšnjem članku boste našli podroben opis tega, kako izolacija deluje. Če samo na kratko povzamemo:

Kaj je izolacija groženj ali remote browsing?

Gre za zmanjšanje tveganja pred kompromitiranjem, tako da se uporabnika popolnoma loči od izvorne, potencialno zlonamerne spletne vsebine, do katere skuša dostopati. Najprej naslovimo dostop do sumljivih spletnih mest: če kategorizacija spletne (ProxySG) ali e-poštne storitve (Symantec Messaging Gateway ali Email Security.cloud) naslova URL ne prepozna niti kot varnega niti kot zlonamernega, se uporabnika usmeri k izolaciji. Z dostopom do vsebine prek izolacije prejme uporabnik samo varno predstavitev prvotnega spletnega mesta brez potencialno zlonamernih delov, kot so vtičniki JavaScript, Flash ali Java, različnih zlonamernih datotek itd. Najbolj pomembno je: prikazana vsebina je enaka izvorni, vendar ne predstavlja tveganja.

Zakaj izbrati izolacijo skupaj z rešitvijo za zaščito e-pošte?

Glavna težava pri splošnem preverjanju e-sporočil je, da se URL običajno preveri samo enkrat, in sicer ob prejemu na vstopni točki (gateway). Sporočilo gre nato v e-poštni nabiralnik uporabnika, kjer se nadzor zaključi. S spremembo prvotnega naslova URL, da se usmeri k rešitvi za izolacijo groženj, je mogoče varnost naslova URL preveriti pri vsakem poskusu dostopa – bodisi takoj po prejemu ali pa teden dni kasneje.

Na primer: napadalci e-poštno kampanjo phishing pogosto ustvarijo in pošljejo v petek popoldne po koncu delovnega časa. Takrat domena phishing ne vsebuje zlonamerne vsebine in je popolnoma neškodljiva. Samodejna kategorizacija ne uspe kategorizirati spletne strani oziroma URL v najboljšem primeru prepozna kot placeholder oziroma kot sumljivo vsebino, vendar e-sporočilo vseeno spusti do uporabnika. Med koncem tedna napadalci vsebino spletne strani spremenijo, tako da ji dodajo zlonamerno vsebino – obrazec za phishing, ki je podoben orodjem, kot so Office 365 in podobno. Zaposleni v ponedeljek zjutraj odpre e-pošto, dostopi do naslova URL, nato pa že sledi novo opravilo oddelka za informacijsko varnost.

Kako izgleda kampanja phishing, onemogočena z izolacijo?

Pokazali vam bomo dejanski primer kampanje phishing, katere cilj je bil kraja poverilnic za Office 365. Primer je za nas zelo specifičen in pomemben, saj uporablja blagovno znamko Veracomp in osebne podatke naše zaposlene, poslan pa je bil na e-naslove naših partnerjev v regiji. Dokaz, da se tovrstne stvari »ne dogajajo samo drugim«.Preprosto e-sporočilo je vsebovalo (lažen) PDF dokument, za odprtje dokumenta pa se je bilo treba na portal prijaviti s prijavnim obrazcem, ki je bil podoben tistemu orodij Microsoft Office 365, ki ga uporabljajo naši številni partnerji. Seveda so bil končni rezultat kraja uporabniških računov in nadaljnji vdori, vendar, kako bi lahko to preprosto preprečili?

Spodaj je primer prejetega e-sporočila:

Tako pa je videti e-sporočilo ob uporabi rešitve za zaščito in izolacijo e-sporočil Symantec Email Security.cloud:

Izvorni URL je bil zamenjan z novim, ki usmerja k rešitvi za izolacijo groženj. Uporabnik dostopa do izvornega spletnega mesta, vendar je zlonamerna vsebina odstranjena, obrazec za vnos podatkov pa onemogočen. Uporabnik ne more vnesti svojega e-naslova in gesla.

 

Tarče phishinga so pogosto hrvaške državne institucije, za nedaven in verjetno zelo uspešno izveden usmerjeni napad pa se ni vedelo nekaj mesecev. Poslano e-sporočilo je vsebovalo preglednico Excel s skripto makra, ki je sprožila verigo okužb, končni rezultat pa je bil popoln nadzor nad okuženim računalnikom prek orodja Empire Backdoor. Tudi to kaže na potrebo po kakovostni zaščiti kanalov za pošiljanje e-sporočil, napredni analizi priponk, izolaciji sumljivih vsebin in zaščiti pred lažnim predstavljanjem.Viri: ZSISPT Security blog.

Rešitev Symantec za zaščito e-sporočil

Threat Isolation je ločen izdelek, ki ga je mogoče integrirati z nameščenimi orodji, kot sta ProxySG ali Symantec Messaging Gateway, ali rešitvijo v oblaku, kot sta Web Security Services ali Email Security.cloud. Integracija je možna tudi z rešitvami drugih proizvajalcev za splet ali e-sporočila.

Zaščita e-sporočil podjetja Symantec zajema več metod:

  • Ob začetni povezavi se preveri ugled strežnika pošiljatelja e-sporočila.
  • Zajete so standardne tehnologije zaznavanja, kot so pregledovalni stroj, strojno učenje in zaščita proti vsiljeni pošti.
  • Zaščita pred zlonamernimi povezavami prek spreminjanja naslova URL in izolacije.
  • Zaščita pred zlorabami BEC (Business Email Compromise), phishingom in ponarejanjem izvornega naslova (anti-spoofing).
  • Napredna analiza datotek v priponki prek peskovnika (z rešitvijo v oblaku ali nameščenim orodjem).
  • Možna integracija z rešitvijo Symantec Data Loss Prevention.
  • Izobraževanje zaposlenih z orodjem Phishing Readiness, ki simulira napad phishing.

Vse to je uporabnikom na voljo kot varnostna rešitev v oblaku, ki ne zahteva dodatnih namestitev s strani uporabnika, ali kot izdelek za namestitev v obliki virtualizacijskega ali strojnega programa.

Rešitve Symantec za zaščito e-sporočil so se v nedavni raziskavi Forrester (Q2 2019), kjer so ocenjevali enajst sodelujočih proizvajalcev, uvrstila na prvo mesto v kategoriji.

Za več informacij in informativno ponudbo se obrnite na nas.

Več informacij:

Potrebujete ponudbo ali pomoč pri konfiguraciji rešitve? Iščete partnerja za implementacijo?

Kontaktirajte nas!