«СёрчИнформ КИБ» научился распознавать фишинг – зачем это в DLP?

«СёрчИнформ КИБ» научился распознавать фишинг – зачем это в DLP?

Продолжаем практику рассказывать об отдельных фичах нашего КИБ подробнее. На этот раз разберем, как «прикрутили» к DLP, по сути, функционал отдельных антифишинговых решений (который анонсировали вам ранее ). Леонид Чуриков, ведущий аналитик «СёрчИнформ», рассказывает, для чего мы за это взялись.

Зачем в DLP – решении для контроля внутренних рисков – нужен нетипичный функционал по обнаружению, по сути, внешних угроз? Ну, во-первых, нас попросили. Как всегда, мы разрабатываем новые возможности продуктов по прямым запросам клиентов.

Во-вторых, потому что фишинг – до сих пор «удочка» мошенников номер один, самый дешевый и действенный способ взломать пользователя. Угроза актуальна как для обычных юзеров, так и для бизнеса – через скомпрометированные учетки сотрудников злоумышленники крадут данные компаний, заражают вирусами корпоративную инфраструктуру и, в общем, могут устроить отделам ИБ много неприятностей. В разных исследованиях насчитали, что фишинговые рассылки открывают до 30% сотрудников компаний. А по данным нашего опроса, с внешними атаками через персонал сталкивается каждая пятая организация в России и СНГ.

Проблема тем серьезней, что фишинг эволюционирует, а любые спам-фильтры в почте несовершенны. Мы решили рассмотреть случаи, когда подозрительные письма по тем или иным причинам все-таки попадают в ящики сотрудников. Нужно было уведомить безопасников об угрозе и тем самым дать возможность вмешаться – в идеале до того, как пользователи откроют такие письма, перейдут по вредоносным ссылкам или скачают зараженные вложения.

Задачу решали в два действия.

Первое – найти в почте потенциально фишинговые письма. Для этого мы сравниваем во всех входящих в почте сотрудников два атрибута: Message ID и From. На «простом», это:

  • идентификатор письма – он индивидуальный для каждого сообщения и обычно состоит из уникальной части и «домена». «Домен»-то нам и нужен.

  • поле «отправитель», которое содержит имя отправителя в том виде, в каком отображается для пользователя в почте.

Оба атрибута можно просмотреть и «невооруженным глазом», если открыть свойства любого письма. Вот, как это выглядит:


Суть в том, что у «легитимного» письма «домены» (это все, что после @) в обоих атрибутах совпадают. Если есть различия, то имеет место подмена, маскировка домена, использование сервиса для веерных рассылок и пр. – все это потенциально могут использовать мошенники.

КИБ выявляет все несовпадения и определяет их как похожие на фишинг. Возможно, слишком широко, но тут лучше перебдеть.

Действие второе: как использовать эту информацию с толком? Мы решили отдавать это на откуп ИБ-специалистам в компаниях, главное – дать им на руки все данные. На сработку «несовпадение атрибутов в письме» настроили фильтр в AnalyticConsole – то есть все такие случаи можно детально изучить в ручном режиме. А также создали политику безопасности в AlertCenter, она автоматически выловит такие письма, сформирует инцидент, уведомит о нем безопасника по почте или в Telegram (это, кстати, еще одна наша свежая фича) и затем даст возможность кратко просмотреть письмо, его вложения и предысторию.


Можно зайти дальше и дописать внешние скрипты, например, которые автоматически вычистили бы от подобной почты ящики сотрудников. Но это не универсальное решение, которое подойдет не всем компаниям: однозначно пускать все подходящие письма «под нож» грозит тем, что встанут бизнес-процессы.

Итого – разбираться со сработками по фишингу в КИБ придется вручную. Дополнительная работенка отделу ИБ? Да, возможно. Дополнительная уверенность, что сотрудник не скачает «новый налоговый кодекс с поправками срочно!!!» и не положит корпоративную сетку? Да, 100%. Чтобы безопаснику спать спокойно, еще один способ узнать об угрозе точно не помешает. Так что пользуйтесь!

КИБ Леонид Чуриков обновление СёрчИнформ фишинг фишинговая атака
Alt text

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.