Izogibanje phishingu: Obvod varnosti e-pošte

E-posta ostaja primarni vektor zacetnega dostopa za vecino kibernetskih napadov, kampanje phishinga pa so se dramaticno razvile za izogibanje sodobnim kontrolam varnosti e-poste. Kot preizkusevalec vdorov, ki redno izvaja ocene phishinga, sem iz prve roke videl, kako sofisticirane tehnike izogibanja lahko zaobidejo tudi dobro konfigurirane sklade varnosti e-poste. Razumevanje teh tehnik ni namenjeno ucenju napadalcev novih trikov, temvec pomoci branilcem pri ocenjevanju in krepitvi njihove drze varnosti e-poste. Ta objava pokriva MITRE ATT&CK tehniko T1566 (phishing) in njene podtehnike ter zagotavlja izvedljive obrambne smernice.

Sodobni sklad varnosti e-poste

Preden preucimo tehnike izogibanja, je pomembno razumeti, s cim branilci razpolagajo. Zrel sklad varnosti e-poste obicajno vkljucuje vec plasti zascite. Varni postni prehodi izvajajo zacetno filtriranje na podlagi ugleda posiljatelja, analize vsebine in skeniranja prilog. Oblacne resitve varnosti e-poste dodajajo zaznavo na osnovi strojnega ucenja in zmoznosti peskovnika. Prepisovanje URL-jev in analiza ob kliku scitita pred zlonamernimi povezavami. SPF, DKIM in DMARC zagotavljajo overitev posiljatelja. Vsaka plast lovi razlicne groznje in kombinirana obramba je bistveno mocnejsa od katere koli posamezne komponente. Napadalci morajo zaobiti vse plasti hkrati, zato je razumevanje celotnega sklada pomembno za obe strani.

Tehnike izogibanja prilogam

Zlonamerne priloge ostajajo mocen mehanizem dostave, napadalci pa so razvili stevilne tehnike za tihotapljenje mimo skeniranja varnosti e-poste.

• Z geslom zasciteni arhivi (T1566.001) - Sifriranje zlonamernih datotek v z geslom zascitene arhive ZIP ali RAR preprecuje resitvam varnosti e-poste skeniranje vsebine. Geslo je obicajno vkljuceno v telesu e-poste. Branilci bi morali konfigurirati svoj postni prehod za karanteno ali oznacevanje z geslom zascitenih arhivov, zlasti ko se geslo pojavi v isti e-posti. Ceprav to lahko ustvari nekaj trenja za legitimne primere uporabe, je varnostna korist pomembna.
• Vdelani objekti OLE - Napadalci vdelajo zlonamerno kodo v objekte Object Linking and Embedding znotraj dokumentov Office. Ti objekti se lahko pojavijo kot ikone ali vdelane datoteke znotraj navidez benignega dokumenta. Branilci bi morali konfigurirati varnost e-poste za zaznavo in blokiranje dokumentov Office, ki vsebujejo objekte OLE od zunanjih posiljateljev, ter zagotoviti, da zascita koncnih tock spremlja aktivacijo objektov OLE.
• Tihotapljenje HTML (T1027.006) - Ta tehnika dostavi zlonamerne koristne vsebine s kodiranjem v vsebino ali priloge HTML e-poste. Ko uporabnik odpre datoteko HTML, JavaScript lokalno sestavi zlonamerno datoteko v brskalniku, pri cemer zaobide skeniranje varnosti e-poste, ker zlonamerna vsebina nikoli ne obstaja kot skenljiva priloga. Branilci bi morali blokirati priloge HTML od zunanjih posiljateljev, kjer je mogoce, in zagotoviti, da zascite na ravni brskalnika zaznajo vzorce tihotapljenja HTML.
• Zamegljevanje makrov - Ceprav mnoge organizacije zdaj privzeto blokirajo makroje, napadalci se vedno ciljajo okolja, kjer so makroji omogoceni, z mocnim zamegljevanjem kode VBA za izogibanje zaznavi na osnovi podpisov. Branilci bi morali uveljaviti blokiranje makrov prek skupinske politike za vse dokumente z interneta z uporabo mehanizma Mark of the Web ter implementirati skeniranje AMSI za morebitne makroje, ki jim je dovoljeno izvajanje.

Tehnike izogibanja povezavam

Zlonamerne povezave so pogosto prednostne pred prilogami, ker pustijo manj artefaktov in jih je mogoce posodobiti po dostavi. Napadalci uporabljajo vec tehnik za prikrivanje zlonamernih URL-jev.

• Krajsalniki URL in verige preusmeritev - Napadalci uporabljajo legitimne storitve za krajsanje URL-jev in vec preusmeritev za prikritje koncnega ciljnega URL-ja. Resitve varnosti e-poste, ki preverijo le zacetni URL, lahko zgresijo zlonamerno koncno tocko na koncu verige preusmeritev. Branilci bi morali razmestiti varnost e-poste, ki sledi verigam preusmeritev do njihovega koncnega cilja, ter implementirati analizo URL-jev ob kliku, ki ponovno preveri URL-je, ko uporabnik dejansko klikne nanje, ne le ob dostavi e-poste.
• Casovno zakasnjena vsebina - Napadalci konfigurirajo svoje pristajalne strani, da ob zacetnem skeniranju s strani resitev varnosti e-poste strezo benigno vsebino, nato pa po zamiku preklopijo na zlonamerno vsebino. To premaga skeniranje pred dostavo, ker je bil URL ob preverjanju cist. Zascita ob kliku, ki ponovno ovrednoti URL-je v trenutku uporabnikove interakcije, je primarna obramba proti tej tehniki.
• Geo-ciljane in profilno usmerjene strani - Sofisticirane strani phishinga preverijo IP naslov obiskovalca, uporabniski agent in druge znacilnosti. Ce se zdi, da je obiskovalec avtomatiziran skener ali se nahaja v regiji, kjer delujejo ponudniki varnosti e-poste, stran streze benigno vsebino. Le obiskovalci, ki ustrezajo ciljnemu profilu, vidijo stran phishinga. Branilci bi morali zagotoviti, da njihove resitve za analizo URL-jev uporabljajo rezidenčne IP naslove in realisticne prstne odtise brskalnikov, da se izognejo zaznavi kot skenerji.
• Phishing s kodami QR - Vedno pogostejsa tehnika, kjer je zlonamerni URL vdelan v kodo QR znotraj e-poste. Ker vecina resitev varnosti e-poste ne skenira kod QR v slikah, zlonamerni URL pride skozi neodkrit. Branilci bi morali razmestiti varnost e-poste, ki lahko dekodira in analizira kode QR, vdelane v slike e-poste, ter izobraziti uporabnike o tveganjih skeniranja kod QR iz e-poste.

Izogibanje ugledu posiljatelja

Varnost e-poste se mocno zanasa na ugled posiljatelja za filtriranje zlonamernih e-post. Napadalci so razvili tehnike za prikaz zaupanja vrednih posiljateljev.

• Kompromitirani legitimni racuni - Uporaba kompromitiranih e-postnih racunov legitimnih organizacij napadalcu zagotovi polni ugled posiljatelja te organizacije. SPF, DKIM in DMARC vsi preidejo, ker e-posta resnično izhaja iz legitimnega postnega streznika. Branilci bi morali implementirati zaznavo anomalij, ki identificira neobicajne vzorce posiljanja od znanih stikov, kot so nepricakovani tipi prilog, neobicajni casi posiljanja ali zahteve, ki odstopajo od normalnih komunikacijskih vzorcev.
• Starane domene s pravilno overitvijo - Napadalci registrirajo domene mesece vnaprej in postopoma gradijo njihov ugled s posiljanjem legitimnega prometa pred zagonom kampanj phishinga. Pravilno konfigurirajo SPF, DKIM in DMARC za uspesno preizdenje vseh preverjanj overitve. Branilci bi morali dopolniti preverjanja overitve z analizo starosti domen in spremljanjem novo registriranih domen. Domene, mlajse od 30 dni, ki se uporabljajo v dohodni e-posti, bi morale prejeti dodaten nadzor.
• Ugrabitev niti - Po kompromitiranju e-postnega racuna napadalci odgovorijo na obstojece e-postne niti z vsebino phishinga. Ker se odgovor pojavi znotraj legitimne pogovorne niti, je bolj verjetno, da mu bodo prejemniki zaupali, in varnost e-poste ga lahko oceni kot nizje tveganje. Branilci bi morali implementirati analizo vsebine, ki ovrednoti naravo odgovorov znotraj niti, pri cemer oznaci odgovore, ki vsebujejo nepricakovane priloge ali povezave znotraj sicer normalnih pogovorov.

Strategije zaznave in obrambe

Gradnja ucinkovite obrambe pred phishingom zahteva plastni pristop, ki zdruzuje tehnologijo, procese in ozavescenost uporabnikov. Tu so moja priporocila na podlagi obseznih izkusenj z ocenami phishinga.

• Razmestite celovito overitev e-poste - Implementirajte SPF, DKIM in DMARC za vase domene s politiko zavrnitve. To napadalcem preprecuje ponarejanje vase domene in sciti ugled vase blagovne znamke. Spremljajte porocila DMARC za identifikacijo nepooblascene uporabe vase domene.
• Omogocite zascito URL ob kliku - Zagotovite, da so URL-ji ponovno analizirani, ko uporabniki kliknejo nanje, ne le ob prihodu e-poste. To premaga casovno zakasnjeno menjavo vsebine in ujame URL-je, ki postanejo zlonamerni po dostavi.
• Implementirajte peskovnisko skeniranje prilog - Razmestite varnost e-poste, ki pred dostavo detonira priloge v peskovniskem okolju. To ujame zlonamerne makroje, vdelane objekte in druge tipe koristnih vsebin, ki bi jih staticna analiza morda zgresila. Zagotovite, da peskovnik zmore obravnavati z geslom zascitene arhive z ekstrakcijo gesel iz telesa e-poste.
• Izvajajte redne simulacije phishinga - Testiranje uporabnikov in vasega sklada varnosti e-poste hkrati. Med mojoimi ocenami phishinga dokumentiram, kaj zaobide tehnicne kontrole in kateri uporabniki nasedejo socialnemu inzenirstvu. Ta dvojna osredotocenost zagotavlja izvedljive podatke za izboljsanje tako tehnologije kot usposabljanja.
• Vzpostavite mehanizme porocanja - Uporabnikom olajsajte porocanje sumljivih e-post. Dobro zasnovan gumb za porocanje v e-postnem odjemalcu, v kombinaciji s hitro triažo varnostne ekipe, ustvari cloveski sloj zaznave, ki ujame, kar avtomatizirani sistemi zgresijo. Pohvalite in nagradite uporabnike, ki ucinkovito porocajo, za gradnjo varnostno zavedne kulture.

Testiranje vase drze varnosti e-poste

1. Testiranje proti dejanskemu skladu varnosti e-poste - Med preizkusi vdorov uporabite realisticne scenarije phishinga, ki ciljajo vaso specificno infrastrukturo e-poste. Generalni testi phishinga, ki ne upostevajo vasih varnostnih kontrol, zagotavljajo omejeno vrednost.
2. Vkljucite testiranje ozavescenosti uporabnikov - Merite stopnje klikov, stopnje predlozitve poverilnic in stopnje porocanja. Sledite tem metrikam skozi cas za prikazovanje ucinkovitosti vasega programa ozavescenosti o varnosti in identificirajte oddelke ali vloge, ki potrebujejo dodatno usposabljanje.
3. Dokumentirajte, kaj zaobide zaznavo - Vsaka tehnika, ki uspesno pride do uporabnikovega nabiralnika, je vrzel v zaznavi, ki jo je treba odpraviti. Sodelujte s ponudnikom varnosti e-poste za zaprtje teh vrzeli in preverite popravek s ponovnim testiranjem.
4. Izboljsajte kontrole na podlagi ugotovitev - Prevedite rezultate testiranja v konkretne spremembe konfiguracije, nova pravila zaznave in posodobljeno vsebino usposabljanja uporabnikov. Vrednost ocen phishinga ne izhaja iz samega testa, temvec iz izboljsav, ki sledijo.

Cloveški element v obrambi pred phishingom

Noben sklad varnosti e-poste ni popoln in nekatere e-poste phishinga bodo neizogibno prisle do uporabniskih nabiralnikov. Zato usposabljanje o ozavescenosti uporabnikov ostaja kljucna komponenta obrambe pred phishingom. Vendar mora biti usposabljanje realisticno in konstruktivno, ne kaznovalno. Uporabniki, ki porocajo sumljive e-poste, bi morali biti pohvaljeni, ne kritizirani, ko obcasno kliknejo. Cilj je ustvariti organizacijsko kulturo, kjer je porocanje sumljivih komunikacij naravno in pricakovano. Med mojimi ocenami dosledno ugotavljam, da organizacije z mocnimi kulturami porocanja zaznajo kampanje phishinga hitreje in bolj ucinkovito omejijo njihov vpliv kot organizacije, ki se zanasajo izkljucno na tehnicne kontrole. Kombinacija robustne tehnologije varnosti e-poste in angazirane, varnostno zavedne delovne sile zagotavlja najodpornejso obrambo pred razvijajocimi se groznjami phishinga.