Uprkos činjenici da je većina e‑mail poruka neželjena ili da čak sadrži maliciozan softver, e‑mail je servis za komunikaciju na koji se oslanjaju praktično sve organizacije. Iako se mnogi trude da obuče korisnike kako da identifikuju zlonamernu poruku, to nije dovoljno za potpunu zaštitu od napada hakera koji pokušavaju da upadnu u njihove sisteme i dokopaju se željenih informacija.
Jednim klikom na URL korisnici mogu otići na kompromitovan sajt, gde će biti upitani za podatke o njihovoj banci ili će skinuti virus koji će njihov računar pretvoriti u bot. Zato organizacije moraju implementirati neko distribuirano rešenje, koje može da upravlja elementima kao što su web proxy i IPS senzori.
Opasni fajlovi
Napadi bazirani na e‑mail porukama postali su sofisticiraniji tokom vremena. Sa eksponencijalnim porastom broja novih virusa i novih metoda napada, postalo je skoro nemoguće obezbediti potpuno siguran e‑mail sistem primenom tradicionalnih rešenja. Čak i najnaprednije sigurnosne tehnike mogu biti razbijene u slučaju ciljanih napada pomoću context‑aware malvera, koji se može modifikovati kako bi zaobišao detekciju i infiltrirao se u mrežu.
Rešenja koja se koriste za prevenciju virusa bazirana su na reputaciji fajlova, testiranju fajlova u zaštićenom okruženju i retrospektivnoj analizi fajlova. Svaki fajl koji prolazi kroz uređaj za e‑mail zaštitu skenira se, a njegov otisak šalje se u cloud kako bi se utvrdila reputacija fajla. Na osnovu toga, mogu se blokirati maliciozni fajlovi i primeniti definisane polise.
Testiranje u zaštićenom okruženju (file sandboxing) omogućava analizu nepoznatih fajlova. Ovo okruženje omogućava prikupljanje preciznih informacija o ponašanju potencijalno malicioznog fajla, kako bi se utvrdio nivo opasnosti po krajnjeg korisnika. Nakon toga, rezultati analize takvog fajla šalju se u cloud da bi se ažurirala baza, kako bi i drugi korisnici bili zaštićeni.
Na kraju, retrospektivna analiza fajlova rešava problem tako što i one fajlove koji prođu kroz uređaj za zaštitu i dalje smatra potencijalnom pretnjom. Postoje tehnike kojima se hakeri koriste kako bi maliciozni fajl sačekao da se nađe u unutrašnjoj mreži da bi obavio svoj posao. Ove tehnike, kao što su sleep timer i polimorfizam, jesu napredne tehnike koje omogućavaju zaobilaženje zaštite na perimetru mreže. Kada fajl uspe da prođe sigurnosne mere, administratori sistema se alarmiraju kako bi saznali koji korisnik je dobio potencijalno maliciozan fajl i na vreme zaustavili širenje te opasnosti.
Najopasniji napadi
Ciljani napadi su visokoprilagođene e‑mail poruke usmerene ka specifičnom korisniku ili grupi korisnika, sa ciljem krađe intelektualne svojine. Ovi napadi su veoma retki i mogu biti maskirani, može ih izvršiti neko poznato lice sa nesvesno kompromitovanim nalogom ili mogu biti potpuno anonimni, kao deo neke mreže botova. Ciljani napadi uglavnom koriste neku vrstu malvera – najčešće su to zero‑day napadi – kako bi uspeli da upadnu u sistem i ukradu željene informacije. Da bi izveli ove napade, hakeri obično koriste različite metode kako bi došli do žrtve. Iako je broj ovih napada relativno mali, on je ipak u porastu, a opasnost po korisnike je velika.
Iako su po strukturi slični, glavna razlika između ciljanih napada i spear‑phishing napada je u fokusiranju na žrtvu. Ciljani napad usmeren je ka određenom korisniku ili grupi korisnika, dok su spear‑phishing napadi uglavnom usmereni na grupu korisnika koji imaju nešto zajedničko, npr. na klijente iste banke. Napadači koji izvode ciljane napade obično prave dosijee korisnika, na osnovu informacija koje su pronašli na društvenim mrežama ili drugim javno dostupnim lokacijama. Dok spear‑phishing napadi mogu sadržati neke lične informacije, ciljani napad može sadržati mnoštvo informacija koje su veoma lične i jedinstvene za osobu koja je meta napada.
Kako se zaštititi?
Rešenja za zaštitu od ciljanih napada koriste napredne tehnologije kako bi osigurala da krajnji korisnik neće biti u prilici da donese odluku da li e‑mail koji čita nezakonito traži unošenje korisničkih kredencijala na nekom web sajtu. Ova rešenja uključuju višeslojni pristup, koji obuhvata monitoring web saobraćaja i e‑mail servisa iz celog sveta i koristi filtere sa web reputacijom i tehnologijama za autentifikaciju e‑mail poruka.
Na osnovu IP adresa, uređaji formiraju bazu informacija o kvantitetu e‑mail i web saobraćaja nekog pošiljaoca, nivo žalbi, DNS razrešavanje IP adresa, zemlju porekla, da li je IP adresa na crnoj listi i dr. Na osnovu svih ovih informacija, sistem kreira ocenu kako bi ukazao na nivo opasnosti svake e‑mail poruke koja stiže u organizaciju. Kako 90% malicioznih e‑mail poruka sadrži URL‑ove, ovi uređaji moraju nadgledati i e‑mail i web saobraćaj da bi bili u stanju da zaštite organizaciju od ciljanih i phishing napada.
Na osnovu web reputacije i verovatnoće da se na nekom URL‑u nalazi maliciozan sadržaj, uređaji moraju biti u stanju da blokiraju ili označe poruke koje sadrže sumnjive URL‑ove.
Tehnike zaštite
SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail) su dve popularne tehnike za autentifikaciju elektronske pošte koje mogu da detektuju zlonamernu poštu. SPF je metod provere identiteta pošiljaoca koji omogućava identifikaciju ovlašćenog e‑mail servera za određeni domen. Ova tehnika potvrđuje da li e‑mail zaista potiče od ovlašćenog izvora. Pošiljaoci koji koriste ovu metodu objavljuju SPF zapise kako bi precizirali kojim hostovima je dozvoljeno da koriste njihova imena.
DKIM je metoda autentifikacije bazirana na kriptografiji koja omogućava da se proveri i utvrdi autorizacija e‑mail poruke iz određenog domena. DKIM obezbeđuje kriptografski potpis zaglavlja i tela poruke. U DNS zapis web domen, zaštićen DKIM tehnologijom, objavljuje javni ključ koji odgovara sopstvenom, samogenerisanom privatnom ključu koji služi za potpisivanje. E‑mail korisnici mogu koristiti javni ključ kako bi proverili da li je poruka koju su dobili stvarno došla sa određenog domena ili je reč o phishing‑u i drugim zlonamernim porukama.
Ove tehnike za autentifikaciju pošiljaoca dobijaju sve masovniju primenu kod e‑mail provajdera, u nekim preduzećima i industrijama. Njihova upotreba povećava efikasnost u borbi protiv phishing e‑mail poruka. SPF i DKIM tehnike se obično koriste u kombinaciji, kako bi se obezbedio slojevit pristup zaštiti.
HTML konverzija je još jedna od metoda zaštite, gde se URL‑ovi u e‑mail porukama pretvaraju u običan tekst i na taj način onemogućavaju da se samo jednim klikom ode na web sajt koji možda sadrži maliciozan softver. Ova metoda otežava korisniku posećivanje legitimnih web sajtova, ali za pojedince koji su na meti napada nudi dodatni nivo zaštite, dajući im mogućnost da vide kakav sajt nameravaju da posete.
Zaključak
Ciljani napadi postali su velika opasnost za kompanije. Oni koriste napredne tehnike socijalnog inženjeringa, kao što je oslovljavanje primalaca po imenu (i identifikacija njihovih kompanija), kako bi ubedili pažljivo odabrane žrtve da nesvesno odaju svoje informacije ili daju novac online kriminalcima.
Kako bi pomogao kompanijama da njihovi klijenti ne postanu žrtve ovakvih napada, Cisco u svojoj ponudi ima integrisano rešenje za e‑mail i web zaštitu. Ovo rešenje uključuje monitoring web saobraćaja, filtere za reputaciju i razne metode za autentifikaciju e‑mail servera.
0 komentara