Зачем в DLP – решении для контроля внутренних рисков – нужен нетипичный функционал по обнаружению, по сути, внешних угроз? Ну, во-первых, нас попросили. Как всегда, мы разрабатываем новые возможности продуктов по прямым запросам клиентов.
Во-вторых, потому что фишинг – до сих пор «удочка» мошенников номер один, самый дешевый и действенный способ взломать пользователя. Угроза актуальна как для обычных юзеров, так и для бизнеса – через скомпрометированные учетки сотрудников злоумышленники крадут данные компаний, заражают вирусами корпоративную инфраструктуру и, в общем, могут устроить отделам ИБ много неприятностей. В разных исследованиях насчитали, что фишинговые рассылки открывают до 30% сотрудников компаний. А по данным нашего опроса, с внешними атаками через персонал сталкивается каждая пятая организация в России и СНГ.
Проблема тем серьезней, что фишинг эволюционирует, а любые спам-фильтры в почте несовершенны. Мы решили рассмотреть случаи, когда подозрительные письма по тем или иным причинам все-таки попадают в ящики сотрудников. Нужно было уведомить безопасников об угрозе и тем самым дать возможность вмешаться – в идеале до того, как пользователи откроют такие письма, перейдут по вредоносным ссылкам или скачают зараженные вложения.
Задачу решали в два действия.
Первое – найти в почте потенциально фишинговые письма. Для этого мы сравниваем во всех входящих в почте сотрудников два атрибута: Message ID и From. На «простом», это:
идентификатор письма – он индивидуальный для каждого сообщения и обычно состоит из уникальной части и «домена». «Домен»-то нам и нужен.
поле «отправитель», которое содержит имя отправителя в том виде, в каком отображается для пользователя в почте.
Суть в том, что у «легитимного» письма «домены» (это все, что после @) в обоих атрибутах совпадают. Если есть различия, то имеет место подмена, маскировка домена, использование сервиса для веерных рассылок и пр. – все это потенциально могут использовать мошенники.
КИБ выявляет все несовпадения и определяет их как похожие на фишинг. Возможно, слишком широко, но тут лучше перебдеть.
Действие второе: как использовать эту информацию с толком? Мы решили отдавать это на откуп ИБ-специалистам в компаниях, главное – дать им на руки все данные. На сработку «несовпадение атрибутов в письме» настроили фильтр в AnalyticConsole – то есть все такие случаи можно детально изучить в ручном режиме. А также создали политику безопасности в AlertCenter, она автоматически выловит такие письма, сформирует инцидент, уведомит о нем безопасника по почте или в Telegram (это, кстати, еще одна наша свежая фича) и затем даст возможность кратко просмотреть письмо, его вложения и предысторию.
Можно зайти дальше и дописать внешние скрипты, например, которые автоматически вычистили бы от подобной почты ящики сотрудников. Но это не универсальное решение, которое подойдет не всем компаниям: однозначно пускать все подходящие письма «под нож» грозит тем, что встанут бизнес-процессы.
Итого – разбираться со сработками по фишингу в КИБ придется вручную. Дополнительная работенка отделу ИБ? Да, возможно. Дополнительная уверенность, что сотрудник не скачает «новый налоговый кодекс с поправками срочно!!!» и не положит корпоративную сетку? Да, 100%. Чтобы безопаснику спать спокойно, еще один способ узнать об угрозе точно не помешает. Так что
