Электронная почта (ЭП) по-прежнему является основным объектом кибератак на корпоративную ИКТ-инфраструктуру. Так, в недавно опубликованном отчете отдела IC3 Федерального бюро расследований США о преступности в Интернете за 2017 год говорится о 15 690 случаях компрометации корпоративной ЭП. А согласно данным компании Verizon, именно ЭП оказалась в 2018 г. наиболее распространенным каналом успешного внедрения вредоносных программ — по нему за периметр корпоративной защиты проникает около двух третей вредоносов. ЭП остается основным способом распространения фишинга и вредоносного кода; через построенные на ее основе многовекторные атаки, в которых используются методы социальной инженерии, доставляется основная часть программ-вымогателей.
Современные способы кибератак на ЭП
Фишинг. Фишинг-атаки — это электронные письма, которые поступают из, казалось бы, заслуживающих доверия, авторитетных источников. Они подталкивают получателей на посещение вредоносных веб-сайтов, открытие зараженных файлов, исполнение опасных макросов, передачу личной информации и данных для входа в частную или корпоративную ЭП.
В целевом фишинге (Spearphishing) используют тот же подход, но он более точно ориентирован на цель. Киберпреступники предварительно собирают подробные данные о будущей жертве (человеке или организации), и в результате фишинговое письмо выглядит так, как будто бы поступило от известного жертве лица — конкретного друга или сотрудника. Цель этих писем часто заключается в распространении вредоносных программ и вымогательстве.
В марте 2018 года Министерство юстиции США предъявило обвинения преступной кибергруппе за фишинговую кампанию, которая, в частности, похитила более чем у 300 университетов в 21 стране около 31 Тб данных общей стоимостью около 3,4 млрд. долл.
Образ «доверенного лица». Особенную тревогу вызывает то, что киберпреступники могут с помощью ЭП и изощренных методов социальной инженерии создавать образы «доверенных лиц», использование которых усложняет службе ИБ контроль ЭП; при этом злоумышленники могут обходиться без вредоносных вложений и ссылок.
Отсутствие в атаках вредоносных файлов или встроенного кода (для исследований в песочнице) или URL (для проверки по «черным» спискам) требует иных подходов к обнаружению попыток использования метода «доверенного лица». Эти подходы включают в себя различные способы аутентификации отправителей, поиск несоответствий в сообщениях (например, несоответствия отображаемого имени отправителя и его фактического адреса), оценку возраста и характера отправителя, его домена и т. д.
Общая сумма ущерба от подобных атак в 2017 г. составила 675 млн. долл., или около 52 тыс. долл. на каждый подобный инцидент.
Человек посередине. Используя эту технику, преступники, обычно через вредоносные программы, поставляемые по ЭП, могут получить доступ к веб-браузеру, приложениям, включая ЭП жертвы. Это дает им возможность отслеживать и изменять входящие и исходящие сообщения, что особенно опасно при рассылке конфиденциальной информации в виде обычного текста.
Уязвимости «нулевого дня». Атакующие часто отправляют электронные письма, содержащие ссылки или вложения, которые используют необнаруженные ошибки кодирования для заражения компьютеров вредоносными программами и тем самым нарушают конфиденциальность данных атакованных. Из-за новизны таких уязвимостей их трудно обнаружить, что дает преступникам больше времени для исследования атакованной инфраструктуры. Угрозы с использованием уязвимостей «нулевого дня» более распространены, чем может показаться: только сотрудники структуры FortiGuard Labs за первые четыре месяца этого года обнаружили 19 таких уязвимостей.
Уникальность и быстрая модификация вредоносов. Компания Verizon отмечает, что по крайней мере 37% вредоносных программ используется злоумышленниками только один раз (и в большинстве случаев они передаются по ЭП), что затрудняет сигнатурный анализ и репутационные проверки. Кроме того, активно обновляются известные вредоносы, причем настолько, что становятся нераспознаваемыми для многих ИБ-технологий. Чтобы справиться с таргетированными атаками и часто изменяемыми вредоносами, необходимы технологии, основанные на анализе поведения (например, песочницы).
Встраиваемые скрипты. Нужно учитывать, что вредоносная программа сегодня представляет собой не просто исполняемый файл, размещенный во вложении. По оценкам компании Verizon, 58% вредоносных программ передаются в виде скриптов (в то время как исполняемые файлы составляют менее 15% от общего числа вредоносов).
Злоумышленники все чаще встраивают Java- и Visual Basic-скрипты и даже активные флэш-файлы в наиболее распространенные (для конечного пользователя) типы файлов, такие как файлы Microsoft Office или Adobe PDF. Как правило, это очень простой код, предназначенный для связи с сервером управления атакой или прямой загрузчик дополнительных вредоносных компонентов; этот код легко и недорого изменить так, чтобы обходить традиционную защиту ЭП. Кроме того, встроенный код часто использует уязвимости системы для установки вредоносов, причем без какого-либо участия в этом процессе конечных пользователей.
Для выявления таких встроенных кодов активно используются песочницы. Растет интерес и к технологии, называемой «обезвреживание и восстановление контента» (content disarm and reconstruction), которая удаляет встроенные компоненты кода, сохраняя формат исходного файла (например, удаляются макросы из файлов Excel, при этом формат xls остается неизменным). Это позволяет отправлять электронные послания получателям, не дожидаясь полного завершения проверок. Но использовать эту технологию эксперты Fortinet рекомендуют аккуратно, так, в отношении некоторых типов трафика (в частности, внутренней ЭП) и для некоторых групп корпоративных пользователей (например, финансовых отделов) ее применять не советуют.
Как выбрать решение для защиты ЭП
При выборе современного решения для защиты ЭП компания Fortinet рекомендует учитывать три ключевых фактора:
· способность решения защищать ЭП с учетом быстро меняющегося ландшафта киберугроз;
· способность поддержки перехода корпоративной ИБ от реактивного режима к проактивному;
· возможность проведения количественной оценки возврата инвестиций в решение.
Способность решения защищать ЭП с учетом быстро меняющегося ландшафта киберугроз подразумевает наличие у вендора сильной группы высококлассных специалистов, занимающихся исследованием в области киберугроз. Эта команда имеет решающее значение для выявления новых технологий кибератак и выбора адекватных им современных механизмов и средств защиты. С позиции компании Fortinet в случае ЭП эти средства защиты включают сегодня песочницу, обезвреживание и восстановление контента, средства выявления «доверенных лиц» и др.
Указанное решение рекомендуется протестировать непосредственно в инфраструктуре заказчика, что обычно занимает от 30 до 90 дней. Наряду с этим заказчику следует иметь в виду, что решение, прошедшее еще и независимое тестирование (например, через участие в сертификации ICSA Labs Advanced Threat Defense Certification for Email), поможет защищать ЭП гораздо надежнее.
Поддержка перехода корпоративной ИБ от реактивного режима к проактивному. Реактивная защита приводит к постоянной обороне и лишает возможности эффективно использовать большое количество информации, которую получают современные средства ИБ. Если традиционный шлюз защиты ЭП остается для пользователей «черным ящиком», способным на удаление нежелательных и злонамеренных электронных сообщений и действий только на основе заложенных в него правил, то современные средства защиты ЭП (например, песочница) действуют гораздо надёжнее.
Зачастую полученное электронное письмо является лишь первым этапом в многоступенчатой попытке добраться до конечного пользователя, заставить его перейти по какой-либо вредоносной URL-ссылке, посетить зараженный сайт, загрузить дополнительный вредоносный компонент... Последствия этих действий анализируются в песочнице, позволяя аналитикам понять инфраструктуру, используемую в кибератаке, и организовать ее блокировку при повторном применении.
Полученная информация об атаке также может быть использована другими средствами ИБ. Для централизованного управления корпоративной ИБ было бы идеально автоматическое распространение такой информации по всей корпоративной ИБ-инфраструктуре, включая сетевую, средства защиты конечных точек и все другие ИБ-компоненты.
Fortinet рекомендует выбирать решения, которые позволяют заказчику разбираться в структуре атаки, получать информацию о ее жизненном цикле и автоматически распространять полученные данные по всей корпоративной ИБ-инфраструктуре.
Возможность количественной оценки возврата инвестиций в решение. Обосновать расходы на ИБ, по меньшей мере на средства, ориентированные на обнаружение взломов, бывает непросто. Подтвердить необходимость этих расходов, считают в компании Fortinet, помогут следующие сведения:
‒ аналитики признают: современные кибератаки легко обходят традиционные технологии, используемые в ИБ-шлюзах для ЭП;
‒ по оценкам ФБР США компрометация корпоративной ЭП в период с 2013 по 2016 гг. стоила компаниям 5,3 млрд. долл., а на выкуп после атак только программами-вымогателями и только в 2017 г. было израсходовано 5 млрд. долл.;
‒ в отличие от сети или конечных точек, где любая задержка остро ощущается конечными пользователями, незначительные задержки, связанные с обеспечением ИБ ЭП (задержать, проверить, а затем решить, доставлять почту или нет) часто остаются незамеченными.
Fortinet рекомендует обосновывать необходимость обновления решения по защите ЭП на оценке рисков и инцидентов, которые могут случиться без такой модернизации. Для расчета возврата инвестиций (в дополнение к описаниям общих преимуществ повышения ИБ) можно использовать данные о затратах на покрытие ущербов от программ вымогателей (выплата выкупов), от компрометации деловой переписки по ЭП и др.
СПЕЦПРОЕКТ КОМПАНИИ FORTINET