Введение
Атаки через почту являются наиболее популярным и эффективным методом для получения первоначального доступа.
Основная сложность защиты от подобных атак заключается в том, что автоматизированные методы анализа не гарантируют её обнаружения, поскольку современные киберпреступники используют новые текстовые формулировки, уязвимости нулевого дня, средства автоматизации для внедрения эксплойтов в файлы — все это снижает эффективность сигнатурного анализа антивирусных программ. Каждая из существующих технологий обнаружения по отдельности не обеспечивает защиту от фишинга, особенно от целенаправленных атак. Но сочетание технологии (фильтрация спама, брандмауэры, антивирусы) с организационными мерами, например обучение и тестирование персонала, позволяет комплексно защитить внешний информационный периметр организации от фишинга.
1. Программно-технические меры защиты
1.1 Системы фильтрации спама
Фильтрация нежелательных писем является первой ступенью защиты в борьбе с фишингом.
Анализ IP-адреса сервера отправителя
Данный вид анализа направлен на установление репутации IP отправителя, которая осуществляется путем его поиска в «черных списках». Подобная защита эффективна против массового фишинга, но бесполезна при целенаправленной атаке.
Анализ тела письма
Спам-фильтр может проверять содержимое письма: заголовок, тему, текст, ссылки и вложения. В текстовом содержании проверяется наличие словосочетаний, которые наиболее часто применяются при фишинговых методиках. Указанные ссылки при помощи алгоритмов анализируются на предмет схожести с известными ресурсами, а также, как и в случае с IP-адресами, осуществляется поиск доменных имен в списках нежелательных или имеющих подозрительную активность. Соответственно у вложений проверяются имена и расширения.
SPF/DKIM-анализ
SPF является расширением для протокола отправки электронной почты, который позволяет получателям проверять IP-адрес отправителя с помощью просмотра списка авторизованных шлюзов для определенного домена в DNS-записях. То есть благодаря SPF можно проверить, не подделано ли доменное имя отправителя и является ли оно легитимным. Агенты передачи почты, получающие почтовые сообщения, могут запрашивать SPF информацию с помощью DNS-запроса, верифицируя таким образом сервер отправителя.
DKIM является методом e-mail аутентификации, дающим возможность получателю проверить, что письмо действительно было отправлено с заявленного домена. Вместо традиционного IP-адреса для определения отправителя сообщения DKIM добавляет в него цифровую подпись, связанную с именем домена организации. Подпись автоматически проверяется на стороне получателя, после чего для определения репутации отправителя применяются «белые списки» и «чёрные списки».
Использование данных технологий защищает от IP-спуфинга и подмены имен, что в эффективно препятствует массовому фишингу, но не защищает от целевого.
1.2 Межсетевые экраны
Межсетевой экран осуществляет контроль и фильтрацию проходящего через него сетевого трафика с использованием ряда правил. Работа экрана может осуществляться как на сетевом, так и на транспортном уровне и заключается в анализе заголовков пакетов.
При анализе заголовка сетевого пакета могут использоваться следующие параметры:
• IP-адреса источника и получателя;
• тип транспортного протокола;
• поля служебных заголовков протоколов сетевого и транспортного уровней;
• порт источника и получателя.
Межсетевой экран обычно используется в совокупности с другими средствами защиты информации, где его практическая значимость возрастает. Но в отдельности он не способен противостоять сложным и заранее продуманным атакам.
1.3 Антивирусные решения
Современные антивирусные решения — это сетевые экраны и спам-фильтры, работающие по тем же принципам, которые были описаны ранее. Они же проводят анализ загружаемого или работающего ПО с использованием следующих методов:
• сигнатурный анализ;
• эвристический анализ;
• песочница.
Сигнатурный анализ детектирует только ранее известное вредоносное ПО. При этом файлы даже со старой системой внедрения могут быть не идентифицированы, особенно при внедрении в новый файл. Эвристический анализ может выявить новое вредоносное ПО, однако при этом высок процент ошибки и может потребоваться время на дополнительный анализ. Песочница позволяет более эффективно идентифицировать программное обеспечение, в том числе вредоносные загрузчики, не только путём перемещения во времени и симуляции загрузки разных систем и браузеров, но и благодаря другим возможностям.
1.4 IDS/IPS
Система обнаружения вторжений (IDS), как и система предотвращения вторжений (IPS), является программным или программно-аппаратным средством защиты информации. Данные системы предназначены для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими, и одним из требований к данным системам является обнаружение активности вредоносного ПО.
IDS производит поиск злонамеренных файлов сигнатурным анализом, а значит эксплуатация уязвимостей нулевого дня скорее всего останется незамеченной. Отличие IPS заключается в том, что данная система ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника, а значит более полезна в обеспечении безопасности.
1.5 UTM-системы
Система UTM является комплексным решением и содержит:
• межсетевой экран;
• фильтр URL;
• антивирусное решение;
• спам-фильтры;
• IDS/IPS.
Все составляющие системы работают по ранее описанным принципам, но оптимизация их взаимодействия способна улучшить показатели по детектированию угроз.
1.6 EDR – системы защиты конечных точек
Данное защитное решение способно классифицировать практически все приложения, по которым поступает информация, в том числе программы с вредоносным кодом и без него.
Основным компонентом подобных решений является система обнаружения таргетированных атак, которая состоит из:
• сетевые/почтовые сенсоры, позволяющие осуществлять сбор информации с различных контрольных точек;
• сенсоры рабочих станций, позволяющие увеличить охват и детализацию анализируемой информации;
• компонент динамического анализа объектов;
• центр по анализу аномалий – создание типовых шаблонов поведения и контроль отклонений от них;
• облачный репутационный сервис – обновляемая в реальном времени база знаний об угрозах, в том числе и по компонентам таргетированных атак.
Важным звеном EDR является анализатор аномалий, работа которого основывается на статистическом анализе информации, учитывающем частоту событий и их последовательность. Каналами сбора информации являются сетевые сенсоры и сенсоры рабочих станций. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности.
2. Организационные меры
Фишинг как способ атаки успешен по большей части из-за человеческого фактора. Защита, сосредоточенная только на технических средствах защиты, является ошибкой. Осведомленность пользователя может существенно повысить уровень защищенности организации.
Первое, что нужно сделать — сократить размещение электронных адресов на открытых ресурсах (сайте компании, открытых торговых площадках, личных страницах пользователей и т.п.) и ограничить доступ сотрудников к общей базе данных корпоративных адресов.
Во-вторых, для снижения уровня влияния человеческого фактора необходимо предпринять следующие меры:
• определить правила работы с корпоративной почтой;
• обучить персонал правилам работы с электронной почтой;
• провести тестирование персонала на предмет усвоения правил работы.
Обучение и тестирование должно быть организовано в циклический процесс для поддержания высокого уровня осведомлённости сотрудников.
2.1 Политика использования email
Выделим основные принципы такой политики:
• электронная почта предоставляется сотрудникам организации только для выполнения своих служебных обязанностей, а не для личных целей;
• все электронные письма являются собственностью организации и не считаются персональными;
• организация может получить доступ к электронной почте сотрудников;
• запрещается предоставлять доступ к своему почтовому аккаунту другим сотрудникам;
• запрет на использование сторонних почтовых клиентов;
• справочники электронных адресов сотрудников доступны только внутри компании;
• в случае получения подозрительного письма, его не нужно открывать и необходимо направить на почтовый ящик службы информационной безопасности.
Порядок обращения с письмами:
1. Не переходить по ссылкам и не скачивать файлы, содержащиеся в письмах электронной почты от неизвестных адресантов.
2. Уточнять у известных адресантов с помощью других доступных каналов связи действительно ли они отправляли электронное письмо.
3. Проверять реальные адреса гиперссылок, содержащихся в письме, наводя на них курсор.
4. Удалять подозрительные письма, содержащие вложения. Особенно если это документы с макросами, архивы с паролями, а также файлы с расширениями .rtf, .lnk, .chm, .vhd.
5. Считать подозрительными письма, в тексте которых содержатся орфографические ошибки, письма на иностранном языке, письма с большим количеством получателей. В случае массовых корпоративных рассылок, стоит проверить письмо на другие подозрительные элементы. Но также не стоит считать его заведомо безопасным.
6. При подозрениях отправлять письмо на проверку на выделенный почтовый ящик для службы ИБ компании, для подтверждения безопасности.
2.2 Обучение и тестирование персонала
Под обучением понимается повышение осведомленности пользователей. Персонал должен понимать возможности злоумышленников и способы атак, а также постоянно сохранять бдительность. Поэтому необходимо проводить соответствующие семинары и тренинги по темам:
• основные принципы фишинга;
• методы социальной инженерии;
• важность использования последних версий ПО;
• анализ расширений файлов и текста ссылок.
Администратору необходимо постоянно следить за обновлением ПО. Для оценки подготовленности персонала к целевой атаке, организация может проводить тестирование. Тестирование осуществляется с использованием стандартных имеющихся программ, или со специально созданных почтовых ящиков. Тестирование должно происходить без информирования пользователей о проведении учений.
3. Методы защиты от фишинга, интегрированные с ИИ
Далее будут кратко рассмотрены методы защиты от фишинга, в которых применяется ИИ:
3.1 Обнаружение фишинговых URL-адресов
Цель:
Классифицировать URL как фишинговые или безопасные, основываясь на характеристиках.
Особенности:
— Длина URL, наличие подозрительных символов (например, символы @, // и т.п.).
— Использование подозрительных доменов, поддоменов, IP-адресов вместо доменов.
— Проверка сроков действия сертификатов HTTPS.
Используемые методы:
Логистическая регрессия, дерево решений, случайный лес, градиентный бустинг и нейронные сети.
3.2 Анализ содержимого веб-страниц
Цель:
Выявить подозрительное содержимое, указывающее на фишинг.
Особенности:
— Анализ текста на веб-страницах: фишинговые сайты часто содержат ошибки или необычные формулировки.
— Сравнение содержимого с известными сайтами и проверка на плагиат, чтобы выявить сайты, копирующие легитимные ресурсы.
Используемые методы:
Модели на основе Natural Language Processing (NLP), такие как BERT, LSTM, и TF-IDF.
3.3 Анализ шаблонов электронной почты
Цель:
Определить на основании характеристик содержания, является ли письмо фишинговым.
Особенности:
— Часто используется информация из заголовков и тела писем, таких как имя отправителя, домен отправителя, длина сообщения и структура ссылок.
— Проверка на подозрительные вложения и ссылки.
Используемые методы:
Сжатие признаков с помощью PCA, классификация методом опорных векторов (SVM), случайный лес и градиентный бустинг.
3.4 Обнаружение аномалий
Цель:
Обнаружение отклонений от нормы, которые могут быть признаками фишинговых атак.
Используемые методы:
Методы машинного обучения для обнаружения аномалий, такие как автоэнкодеры и изолирующий лес (Isolation Forest).
Особенности:
— Анализ шаблонов поведения пользователей (например, количество запросов к неизвестным доменам).
— Выявление необычных паттернов в использовании учетных записей и сетевого трафика.
3.5 Использование графовых нейронных сетей (Graph Neural Networks, GNN)
Цель:
Использовать информацию о связях и взаимосвязях, чтобы повысить точность обнаружения фишинга.
Особенности:
— Построение графов взаимодействий между пользователями, ссылками и сайтами для выявления подозрительных узлов (фишинговых сайтов).
— Анализ взаимосвязей между доменами и IP-адресами для выявления схожих фишинговых сетей.
Методы:
GNN, включая Graph Convolutional Networks (GCN).
Заключение
По отдельности средства защиты практически малоэффективны в борьбе с фишингом. Поэтому построение системы безопасности требует комплексного использования различных устройств и техник.
Также не стоит забывать про влияние искусственного интеллекта (ИИ).
ИИ дополняет традиционные методы обнаружения фишинга, используя передовые технологии.
Необходимо интегрировать передовые методы на основе ИИ с классическими стратегиями защиты для создания многоуровневой стратегии защиты, которая объединяет различные меры безопасности для комплексной защиты.
Автор: Святослав Волков, аналитик первой линии USSC-SOC, УЦСБ.
Оригинал публикации на сайте CISOCLUB: "Эффективные стратегии защиты электронной почты от современных фишинговых атак".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
