Журнал "Information Security/ Информационная безопасность" #1, 2021

• 33 УПРАВЛЕНИЕ www.itsec.ru E-mail – один из основ- ных каналов взаимодей- ствия для компаний. Это означает, что требуется построить защиту таким образом, чтобы она не повлияла на работу органи- зации, то есть нормальная "белая" почта не должна блокироваться без веских оснований. Мошенники понимают, что персонализированная атака более эффективна, у нее боль- ше шансов найти жертву, чем у "ковровой бомбардировки" спа- мом. В этой статье рассмотрим основные виды атак на элек- тронную почту, стратегию борь- бы с киберпреступниками и тех- нологии, которые при этом используются. Анализ проблемы Важная задача при построении системы защиты информации – контроль каналов передачи информации, которые исполь- зуются сотрудниками в рамках своей профессиональной дея- тельности. Электронная почта как один из главных каналов обла- дает важными для потенциаль- ного злоумышленника особенно- стями: l как правило, получатель пись- ма открывает его на своем рабочем месте, которое доволь- но часто располагается внутри сети предприятия. С наступле- нием пандемии ситуация несколько изменилась, но все же не кардинально; l через этот канал часто посту- пает важная информация от коллег, начальства, партнеров, поэтому доверие к нему со сто- роны пользователей велико; l многие ключевые почтовые адреса в компаниях имеют оди- наковые имена: order, zakupki, kassa, secretar и т.п., что позво- ляет проводить атаки с исполь- зованием массовых рассылок, подставляя только доменные имена в почтовый адрес. Согласно Mitre ATT&CK, у фишинговых атак имеется три техники реализации: 1. Spearphishing Attachment (T1566.001). В рамках этой тех- ники атаки злоумышленники распространяют вложение в различных форматах, при запуске которого происходит активация вредоносного ПО, в том числе с использованием уязвимостей. 2. Spearphishing Link (T1566.002). В рамках этой тех- ники в почтовое сообщение встраивается ссылка, при пере- ходе по которой выполняется действие, выгодное злоумыш- леннику: запуск и загрузка ПО, переход на заранее подготов- ленный для фишинга ресурс и т.п. 3. Spearphishing via Service (T1566.003). В рамках этой тех- ники используются сервисы, не контролируемые корпоративной политикой безопасности, напри- мер LinkedIn, Whatsapp, личная почта и т.п. Кстати, фишинг также используется в техниках так называемого бокового переме- щения (Lateral Movement), что отмечено в Mitre ATT&CK под термином Internal Phishing 2 . Этот прием заключается в том, что злоумышленники могут исполь- зовать фишинг для распростра- нения "полезной нагрузки" внутри организации, например при помощи рассылки с ском- прометированного почтового адреса. Меры повышения уровня безопасности Если говорить о технических мерах защиты от фишинга, то в рамках Mitre ATT&CK выде- ляют следующие меры борьбы с целевым фишингом: l Antivirus/Antimalware: антивирусные решения могут заблокировать вредоносные вложения; l Network Intrusion Pre- vention: система пред- отвращения вторжений также может предотвратить передачу вложения или ссылки, заблоки- ровав данные; l Restrict Web-Based Content: можно заблокировать доступ к контенту или отдельный файл –.exe, .scr, .pif, .cpl и т. п. в том случае, если этого требует политика безопасности; l User Training: пользователей надо обучать тому, как распо- знать те или иные техники фишинга. Есть большое количество факторов, которые нужно учи- тывать при планировании мер по защите электронной почты: 1. Выше уже говорилось, что e-mail – один из основных кана- лов взаимодействия для ком- паний. Это означает, что требу- ется построить защиту таким образом, чтобы она не повлияла на работу организации, то есть нормальная "белая" почта не должна блокироваться без вес- ких оснований. 2. Явные атаки можно отсечь сразу. Это означает, что грубые виды фишинга должны быть заблокированы еще до того, как они попадут к пользовате- лям организации. 3. Использование антивирусных систем зависит от многих факто- ров и особенностей ИТ-инфра- структуры на предприятии. Но это важный инструмент защиты. 4. Чем меньше злоумышлен- ники знают о конкретной цели, тем лучше. То есть нужно Опыт борьбы с атаками через электронную почту: проблемы, стратегия борьбы и технологии лектронная почта появилась несколько десятков лет назад, но остается одной из основ корпоративных коммуникаций: по статистике 1 , ежегодно отправляется около миллиарда деловых писем. Но популярность этого инструмента привела и к росту интереса к нему злоумышленников. Причем спам, в отличие от середины 2000-х, уже не является главной проблемой. Кибератаки на электронную почту стали более специфическими, мощными и одновременно точечными. Э Владимир Душкевич, преподаватель факультета информационной безопасности в GeekUniversity, образовательная платформа GeekBrains 1 https://www.hybrid-analysis.com/sample/5daf2d7810dd11918744b2d357a35015ef491fdd5c0365d4b83efdb6404a0bb8 2 https://www.virustotal.com/gui/file/5daf2d7810dd11918744b2d357a35015ef491fdd5c0365d4b83efdb6404a0bb8/detection 3 https://bazaar.abuse.ch/sample/5daf2d7810dd11918744b2d357a35015ef491fdd5c0365d4b83efdb6404a0bb8