Blog

Šta ako biste mogli u potpunosti da se izolujete od phishinga?

Phishing kampanje su jedne od najvećih sigurnosnih rizika u bilo kojoj organizaciji, a sam e-mail je vektor broj jedan za krađu podataka, kredencijala i uopšte kompromitovanje sigurnosti neke kompanije. Šta ako biste mogli praktično u potpunosti da eliminišete rizik od phishinga? Šta ako bi svaka slična kampanja upućena na vašu adresu bila neutralizovana u startu, a vaš rizik od gubitka podataka, korisničkih računa ili finansijskih sredstava bio drastično smanjen?

Temom izolacije pretnji bavili smo se pre godinu i po, nakon što je Symantec akvizirao Fireglass, izraelski start-up koji je razvio “remote browser” rešenje koje smanjuje sigurnosni rizik na način da se korisnik odvoji – izoluje – od malicioznog sadržaja. Tada smo fokus stavili na integraciju sa Symantecovim ProxySG-om, rešenjem za osiguranje sigurnog pristupa internetu, a ovog puta ćemo se fokusirati na sigurnost mail kanala. U prethodnom članku naći ćete detaljniji opis kako izolacija funkcioniše, ovog puta spomenimo ukratko:

Šta je izolacija pretnji ili remote browsing?

Radi se o smanjenju rizika od kompromitovanja na način da korisnika potpuno odvoji od originalnog, potencijalno malicioznog web sadržaja kojem pokušava da pristupi. Primarno adresiramo pristup sumnjivim web stranicama – ako kategorizacija na web (ProxySG) ili email rešenju (Symantec Messaging Gatewayili Email Security.cloud) URL ne prepoznaje kao siguran, ili maliciozan, korisnik se upućuje na izolaciju. Pristupajući sadržaju kroz izolaciju, korisnik dobija samo sigurnu reprezentaciju originalnog web sajta bez potencijalno malicioznih komponenti poput JavaScripta, Flash ili Java pluginova, različitih malicioznih datoteka itd. Najbitnije: generisani sadržaj je istovetan originalu i ne predstavlja rizik.

Zašto izolacija u kombinaciji sa email sigurnosnim rešenjem?

Glavni problem klasične email provere je da se URL obično proverava samo jednom – prilikom prijema na ulaznoj tački (perimetru, gatewayju), a nakon toga spušta se u inbox korisnika i tu kontrola završava. Izmenom originalnog URL-a da pokazuje prema izolacionom servisu dobija se mogućnost provere sigurnosti URL-a kod svakog pokušaja prustupa – bilo to odmah nakon prijema ili nedelju dana kasnije.

Na primer: napadači neretko email phishing kampanju kreiraju i šalju u petak posle podne nakon radnog vremena. U to vreme, phishing domen ne sadrži maliciozni sadržaj i u potpunosti je bezazlen. Automatska kategorizacija ne uspeva da kategorizuje site, u najboljem slučaju ocenjuje URL kao ‘placeholder’ ili eventualno sumnjiv sadržaj, ali propušta mail do korisnika. Krajem vikenda, napadači menjaju sadržaj web stranice dodajući maliciozan sadržaj, phishing formular koji je sličan popularnim servisima kao Office 365 ili slično. Zaposleni u ponedeljak ujutro otvara mail, pristupa URL-u, a ono što sledi je novi zadatak za odeljenje informacione bezbednosti.

Kako izgleda neutralizovana phishing kampanja korišćenjem izolacije?

Prikazaćemo vam stvaran primer phishing kampanje kreirane sa ciljem krađe Office 365 kredencijala, za nas vrlo specifičan i relevantan – jer koristi Veracompov brand te lične podatke naše zaposlene, a poslat je na adrese naših partnera u regionu. Dokaz da se ovakve stvari “ne događaju samo drugima”. Jednostavan mail sadržao je (lažni) PDF dokument za čije je “otvaranje” bilo potrebno prijavljivanje na portal koji imitira login formular za Microsoftov Office 365 servis kojeg koriste mnogi naši partneri. Naravno, krajnji rezultat bio bi krađa korisničkih računa i dalji proboj organizacije – ali, šta ako biste to mogli jednostavno da sprečite?

Ispod je primer dobijenog maila:

Ovako, pak, izgleda mail uz korišćenje Symantecovog Email Security.cloud servisa za zaštitu maila i email izolacije:

Originalni URL zamenjen je novim koji upućuje na izolacioni servis. Korisnik dobija originalnu web stranicu, ali maliciozni sadržaj je uklonjen, a formular za unos podataka je onemogućen. Korisnik neće moći da unese svoj email i lozinku.

Phishingom su redovno pogođene i državne institucije u Hrvatskoj, a za nedavni vrlo verovatno uspešno realizovani ciljani napad se nije znalo par meseci. E-mail koji je poslan sadržao je Excel tablicu sa macroskriptom koja okida lanac zaraze, a krajnji rezultat je potpuna kontrola nad zaraženim računarom kroz Empire Backdoor alat. Ovo takođe ukazuje na potrebu za kvalitetnom zaštitom mail kanala, naprednom analizom priloga, izolacijom sumnjivog sadržaja i zaštitom od imitiranja. Izvori: ZSISPT Security blog.

Symantecova rešenja za zaštitu emaila

Threat Isolation je zaseban proizvod koji se može integrirati sa on-premise rešenjima kao što su ProxySG ili Symantec Messaging Gateway, ili cloud servisima kao Web Security Services ili Email Security.cloud. Integracija je moguća i sa web ili email rešenjima drugih proizvođača.

Symantecova email zaštita obuhvata različite metode:

  • Na nivou inicijalne konekcije proverava se reputacija mail servera pošiljaoca
  • Uključene su standardne tehnologije detekcije kao što su antivirusni engine, machine learning i zaštita od spama
  • Zaštitite se od zlonamernih linkova putem rewritinga URL-ova i izolacije
  • Business Email Compromise zaštita, kontrola krađe identiteta i kontrole nad lažiranjem (impersonation)
  • Napredna analiza datoteka kroz sandboxing (cloud ili on-premise)
  • Opciona integracija sa rešenjem za sprečavanje gubitka podataka (Data Loss Prevention)
  • Obuka zaposlenika kroz uslugu „Phishing Readiness“ za simulaciju phishing napada

Sve ovo se može ponuditi korisnicima kao cloud security as a service rešenje koje ne zahteva dodatne korisničke instalacije, ili kao on-premise produkt u virtualnoj ili hardverskoj varijanti.

Na kraju, Symantecova rešenja za bezbednost emaila su rangirana kao vodeća među jedanaest drugih proizvođača u nedavnom Forresterovom istraživanju (Q2 2019).

Za više informacija, kao i informativnu ponudu, slobodno nas kontaktirajte.

Više informacija:

Share on LinkedInShare on FacebookTweet about this on Twitter
Treba Vam ponuda ili pomoć pri izradi rešenja? Tražite partnera za implementaciju?
Kontaktirajte nas!