Współczesne organizacje są narażone na coraz bardziej zaawansowane i wyrafinowane zagrożenia cybernetyczne. Każdego dnia cyberprzestępcy przeprowadzają miliony ataków, których celem jest kradzież danych lub pieniędzy. Niezmiennie od lat głównym wektorem zagrożeń jest poczta e-mail. Ponad 90% ukierunkowanych cyberataków zaczyna się właśnie od wiadomości e-mail. Jedno kliknięcie – świadome lub przypadkowe – może uruchomić złośliwe oprogramowanie i w efekcie doprowadzić do fatalnego i kosztownego w skutkach naruszenia bezpieczeństwa organizacji.
Tradycyjne zabezpieczenia nie są już w stanie zapewnić odpowiedniego poziomu ochrony przed coraz bardziej zaawansowanymi i szybko zmieniającymi się formami cyberataków. Istnieją jednak sprawdzone, skuteczne i oparte na najnowszych technologiach sposoby, aby zapobiec zagrożeniom i skutecznie ochronić pocztę e-mail oraz organizację.
Zredukuj obszary podatne na ataki
Prawidłowe skonfigurowanie bramek e-mail oraz rozwiązań wykorzystywanych do ochrony kanałów komunikacji to pierwszy krok w kierunku zmniejszenia obszarów podatnych na atak na pocztę e-mail, a tym samym poprawę bezpieczeństwa całej organizacji. Prawidłowe ustawienia konfiguracyjne powinny być regularnie aktualizowane i kontrolowane, tak aby nie zmieniały się „chaotycznie” np. z powodu wprowadzania szybkich zmian IT, aktualizacji polityk, wdrażania nowych produktów czy też przez przeoczenie albo zaniedbanie pracowników. Dodatkową ochronę poczty e-mail może zapewnić włączenie skanowania załączników wiadomości e-mail. W celu ominięcia zapory, przeprowadzenia rozpoznania oraz dostarczenia i uruchomienia zainfekowanych wiadomości hakerzy wykorzystują często typy plików powszechnie wykorzystywane w systemie Windows. Blokowanie załączników zawierających podejrzane pliki pozwala znacznie ograniczyć obszary podatne na atak na pocztę e-mail.
Rozszerzenia plików, które są potencjalnie niebezpieczne to m.in.:
- .exe: pliki wykonywalne systemu Windows; plik z takim rozszerzeniem w wiadomości e-mail powinien być natychmiast traktowany jako potencjalne zagrożenie;
- .msi: format plików instalatora Microsoft; może być używany do przenoszenia szkodliwych plików, które są dołączone do innej aplikacji;
- .jar: aplikacje wykonywalne; mogą wykorzystywać luki w środowisku Java do pobierania złośliwego oprogramowania;
- .bat: pliki wsadowy zawierający listę komend, które są wykonywane w wierszu poleceń;
- .cmd:plik wsadowy jak .bat, ale wprowadzony w systemie MS Windows;
- .js: plik JavaScript działający w przeglądarce internetowej;
- .vb/.vbs: plik skryptów języka VBScript;
- .ps/.ps1: pliki odpowiedzialne za wykonywanie skryptów PowerShell.
Zablokuj wiadomości śmieci
Wiele bramek e-mail posiada funkcje blokowania spamu, podejrzanych załączników i złośliwych adresów URL. Spamerzy i cyberprzestępcy mają jednak swoje sposoby na ominięcie takiego zabezpieczenia. Przechwytują adresy e-mail z zaatakowanych kont albo przy pomocy botów przeszukują popularne źródła adresów, takie jak bezpłatne domeny e-mail, fora internetowe czy chatroomy. Ponadto spamerzy często wysyłają wiadomości e-mail korzystając z usług stron trzecich mających dobrą reputację. E-maile wysyłane z „dobrego” adresu IP mają większe szanse na ominięcie filtrów wiadomości śmieci i spamu. Często spotykaną praktyką jest też fałszowanie adresu e-mail nadawcy, dzięki czemu wygląda on jakby został wysłany przez zaufaną osobę i nie wzbudza podejrzeń adresata. Dodatkowym zabezpieczeniem może być również zablokowanie adresów IP (lub ich zakresów) używanych przez spamerów do wysyłania niechcianej poczty i dodanie ich do czarnych list (blacklist) w ustawieniach bezpieczeństwa poczty e-mail.
Symuluj zagrożenia i sprawdź stan zabezpieczenia poczty e-mail
Dostawcy rozwiązań poczty elektronicznej często mogą pomóc w przeprowadzeniu podstawowych testów zabezpieczeń. Jednak nie są oni w stanie zapewnić kompleksowej oceny stanu bezpieczeństwa ani nie testują w czasie rzeczywistym ochrony poczty e-mail w bezpośrednim starciu z zagrożeniami, jakie spotyka się na co dzień w realnym świecie. Najlepszym sposobem, aby dowiedzieć się, czy poczta e-mail i rozwiązania ochrony działają zgodnie z oczekiwaniami jest wystawienie ich na najgroźniejsze i najnowsze cyberzagrożenia – oczywiście w sposób całkowicie bezpieczny dla organizacji. Można to zrobić stosując rozwiązania BAS (ang. Breach and Attacks Simulation) takie, jak np. platforma Cymulate, przeznaczona do przeprowadzania symulacji naruszeń i cyberataków. Rozwiązania BAS ułatwiają bezpieczne testowanie ochrony poczty e-mail, zarówno lokalnie, jak i w chmurze. Pozwalają ocenić poziom bezpieczeństwa poczty w organizacji oraz wskazują luki w zabezpieczeniach i obszary najbardziej narażone na cyberzagrożenia, a także sposoby poprawy bezpieczeństwa.
Funkcje i możliwości rozwiązań BAS Cymulate:
- Sprawdzenie zabezpieczenia poczty e-mail: rozwiązania BAS pozwalają na analizę zabezpieczeń i testowanie narzędzi wykorzystywanych w organizacji do wykrywania i reagowania, rozwiązań CDR (ang. Content Disarm and Reconstruction) oraz sandboxów. Umożliwiają również symulowanie zagrożeń zagnieżdżonych w plikach, takich jak pliki wykonywalne umieszczone w dokumentach Word lub archiwach Zip, które są trudne do wykrycia przez tradycyjne rozwiązania.
- Testowanie ochrony przed najnowszymi cyberzagrożeniami: symulacje testują w czasie rzeczywistym ochronę poczty e-mail przed cyberzagrożeniami aktualnie spotykanymi w realnym świecie z ciągłą aktualizację zagrożeń.
- Testowanie według standardu: rozwiązanie BAS jest mapowane na MITRE ATT&CK Matrix, umożliwiając pomiar i ocenę ryzyka na podstawie znanych testów porównawczych.
- Konfigurowanie testów cyberataków: możliwość wyboru form cyberzagrożeń oraz szczegółowego testowania określonych technik ataku, kodów payload i zachowania cyberprzestępców;
- Testowanie w dowolnym momencie: BAS ułatwia uruchamianie symulacji ad hoc oraz planowanie i przeprowadzanie regularnych ocen oraz testów penetracyjnych w celu zapewnienia zgodności z regulacjami i przepisami;
- Automatyzacja symulacji: uruchamianie symulacji naruszeń i cyberataków w sposób zautomatyzowany o określonym czasie (codziennie / miesięcznie itp.) lub za każdym razem, gdy pojawi się nowe zagrożenie.
„Czyste” i bezpieczne pliki dzięki CDR
Bezpieczeństwo e-mail można znacznie wzmocnić wdrażając technologię CDR (Content Disarm and Reconstruction). Coraz popularniejsze rozwiązania CDR, np. GateScanner firmy Sasa Software, działają proaktywnie i zapobiegają prawie 100% niewykrywalnych zagrożeń oraz ataków z użyciem złośliwego oprogramowania, w tym APT i ransomware. W odróżnieniu od tradycyjnych technologii antywirusowych, technologia CDR – zwana także „oczyszczaniem zawartości” – traktuje każdy plik przychodzący z wiadomości e-mail, przeglądarki stron www, przenośnych nośników danych czy transferu plików B2B, jako potencjalne źródło zagrożenia. Rozkłada pliki i wiadomości pocztowe na odrębne komponenty. Następnie usuwa elementy niezgodne z oryginalną specyfikacją, normą ISO czy polityką firmy. Pliki są finalnie przekształcane w bezpieczne, zneutralizowane i nieszkodliwe kopie, które są funkcjonalne i identyczne jak oryginał. CDR radzi sobie również ze skryptami osadzonymi w plikach MS-Office i dokumentach PDF, które są trudne do wykrycia i stanowią poważne wyzwanie dla wielu rozwiązań bezpieczeństwa opartych na skanowaniu statycznym.
Ataki wykorzystujące pocztę e-mail nie muszą być zaskoczeniem dla organizacji. Wręcz przeciwnie – należy być świadomym zagrożeń i realnie ocenić rzeczywistą gotowość do obrony w bezpośrednim starciu z zagrożeniami. Dzięki rozwiązaniu BAS organizacja ma aktualny i natychmiastowy wgląd w wyniki analiz zabezpieczeń poczty e-mail, co pozwala określić największe zagrożenia i luki w zabezpieczeniach. Dostępne w czasie rzeczywistym metryki ryzyka i dane, takie jak wyniki i współczynniki penetracji oraz czasy zakłóceń działalności organizacji, wywołanych przez poszczególne rodzaje ataków ułatwiają podejmowanie bardziej świadomych decyzji dotyczących priorytetów działań naprawczych, aktualizacji produktów lub wdrożenia nowych technologii. Tylko proaktywne działania zapewnią odpowiedni poziom bezpieczeństwa i pozwolą być zawsze o krok przed cyberprzestępcami.
Tekst źródłowy: Harden Email Gateway Configurations with BAS, Dor Sarig, 22.01.2020
https://blog.cymulate.com/email-gateway-configurations-bas