• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья «СёрчИнформ КИБ» научился распознавать фишинг – зачем это в DLP?

searchinform

Green Team
08.09.2020
26
12
BIT
42
Продолжаем практику рассказывать об отдельных фичах нашего КИБ подробнее. На этот раз разберем, как «прикрутили» к DLP, по сути, функционал отдельных антифишинговых решений (который анонсировали вам ранее). Леонид Чуриков, ведущий аналитик «СёрчИнформ», рассказывает, для чего мы за это взялись.

Зачем в DLP – решении для контроля внутренних рисков – нужен нетипичный функционал по обнаружению, по сути, внешних угроз? Ну, во-первых, нас попросили. Как всегда, мы разрабатываем новые возможности продуктов по прямым запросам клиентов.

Во-вторых, потому что фишинг – до сих пор «удочка» мошенников номер один, самый дешевый и действенный способ взломать пользователя. Угроза актуальна как для обычных юзеров, так и для бизнеса – через скомпрометированные учетки сотрудников злоумышленники крадут данные компаний, заражают вирусами корпоративную инфраструктуру и, в общем, могут устроить отделам ИБ много неприятностей. В разных исследованиях насчитали, что фишинговые рассылки открывают до 30% сотрудников компаний. А по данным нашего опроса, с внешними атаками через персонал сталкивается каждая пятая организация в России и СНГ.

fishing-ka.png


Проблема тем серьезней, что фишинг эволюционирует, а любые спам-фильтры в почте несовершенны. Мы решили рассмотреть случаи, когда подозрительные письма по тем или иным причинам все-таки попадают в ящики сотрудников. Нужно было уведомить безопасников об угрозе и тем самым дать возможность вмешаться – в идеале до того, как пользователи откроют такие письма, перейдут по вредоносным ссылкам или скачают зараженные вложения.

Задачу решали в два действия.

Первое – найти в почте потенциально фишинговые письма. Для этого мы сравниваем во всех входящих в почте сотрудников два атрибута: Message ID и From. На «простом», это:
а) идентификатор письма – он индивидуальный для каждого сообщения и обычно состоит из уникальной части и «домена». «Домен»-то нам и нужен.​
б) поле «отправитель», которое содержит имя отправителя в том виде, в каком отображается для пользователя в почте.​

Оба атрибута можно просмотреть и «невооруженным глазом», если открыть свойства любого письма. Вот, как это выглядит:

2-skrin-posta.png


Суть в том, что у «легитимного» письма «домены» (это все, что после @) в обоих атрибутах совпадают. Если есть различия, то имеет место подмена, маскировка домена, использование сервиса для веерных рассылок и пр. – все это потенциально могут использовать мошенники. КИБ выявляет все несовпадения и определяет их как похожие на фишинг. Возможно, слишком широко, но тут лучше перебдеть.

Действие второе: как использовать эту информацию с толком? Мы решили отдавать это на откуп ИБ-специалистам в компаниях, главное – дать им на руки все данные. На сработку «несовпадение атрибутов в письме» настроили фильтр в AnalyticConsole – то есть все такие случаи можно детально изучить в ручном режиме. А также создали политику безопасности в AlertCenter, она автоматически выловит такие письма, сформирует инцидент, уведомит о нем безопасника по почте или в Telegram (это, кстати, еще одна наша свежая фича) и затем даст возможность кратко просмотреть письмо, его вложения и предысторию.

fishing-alert.png


Можно зайти дальше и дописать внешние скрипты, например, которые автоматически вычистили бы от подобной почты ящики сотрудников. Но это не универсальное решение, которое подойдет не всем компаниям: однозначно пускать все подходящие письма «под нож» грозит тем, что встанут бизнес-процессы.

Итого – разбираться со сработками по фишингу в КИБ придется вручную. Дополнительная работенка отделу ИБ? Да, возможно. Дополнительная уверенность, что сотрудник не скачает «новый налоговый кодекс с поправками срочно!!!» и не положит корпоративную сетку? Да, 100%. Чтобы безопаснику спать спокойно, еще один способ узнать об угрозе точно не помешает. Так что пользуйтесь!
 
Последнее редактирование модератором:
  • Нравится
Реакции: Сергей Попов
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!