Proč tolik útoků na kybernetickou bezpečnost stále začíná e-mailem

Zatímco útoky kybernetické bezpečnosti narůstají napříč mnoha vektory hrozeb, e-mail stále zůstává nejběžnějším kanálem pro oportunistické a cílené útoky. Vzhledem k tomu, že útočníci neustále postupují a zvyšují svou úroveň sofistikovanosti, starší technologie zabezpečení e-mailů již neposkytují organizacím dostatečnou ochranu. To znamená, že většina společností zůstává velmi zranitelná a v mnoha případech si neuvědomuje, že jejich bezpečnostní řešení jsou nedostatečná, dokud nejsou narušena.

Nízká míra detekce znamená, že zmeškané škodlivé e-maily a vysoká míra false positive polachů ovlivňují obchodní procesy

Řešení pro zabezpečení e-mailu čelí výzvě odpovídající ochrany proti mnoha různým typům pokročilých hrozeb, včetně pokročilých pokusů o phishing a spear-phishing, které využívají různé techniky úniku, pokusy o předstírání identity, sofistikované útoky ransomwaru, převzetí účtu, zranitelnosti zero-day a další.

Komplexní prostředí hrozeb v kombinaci s pokračujícím používáním zastaralých technologií, jako jsou tradiční sandboxy, má za následek nízkou míru detekce (až 60–70 %). V důsledku toho se příliš mnoho hrozeb dokáže vyhnout stávající ochraně a dostanou se přímo do doručené pošty uživatelů.

Mnoho společností přijalo realitu, že možná budou muset zaplatit ransomwarovým gangům nebo převést peníze kvůli podvodu BEC, ale nemělo by to být normou. Skutečné částky rostou a dosáhly milionů dolarů za ransomware a stovek tisíc dolarů za podvody BEC.

Na druhou stranu, když řešení pro zabezpečení e-mailů začnou odhalovat legitimní e-maily jako škodlivé, může to ovlivnit podnikání mnoha způsoby. První je, že důležité e-maily nečtou zamýšlení uživatelé. Dalším problémem je, že uživatelé jsou z e-mailového bezpečnostního systému rozčarováni a začnou ignorovat verdikty, jinak známý jako syndrom "chlapce, který křičel vlk!", čímž se organizace otevírá rizikům.

Zde je tedy několik nejvýznamnějších úskalí, kterým organizace čelí při zabezpečení svých e-mailových kanálů, a několik klíčových tipů pro lepší ochranu vašeho podnikání.

Technologické mezery ovlivňují míru odhalení

Mnoho e-mailových bezpečnostních systémů není vybaveno potřebnou technologií k detekci pokročilých hrozeb, které jsou stále sofistikovanější.

Balené programy skrývají malware

Packery používají hackeři, aby se vyhnuli detekci antivirovým softwarem. Balení malwaru ztěžuje analytikům malwaru získat původní kód a analyzovat jej.

Spoléhat se na podpisy není komplexní

Použití standardních antivirových programů ke skenování potenciálního malwaru je běžným prvním přístupem používaným v mnoha bezpečnostních řešeních. I když to často funguje, tato metoda není úspěšná ve všech případech. Tyto programy používají databáze obsahující podezřelý kód (také známé jako podpisy souborů), které se používají k identifikaci potenciálního malwaru. Sofistikovaní hackeři se těmto programům snadno vyhýbají úpravou jejich kódu způsobem, který antiviry neodhalí. Navíc nebude identifikován nový a vzácný kód, pokud již není v databázi.

Sandboxy jsou pomalé a obcházejí se

I když se jedná o populární přístup často používaný pro dynamické skenování, pokročilý malware může poskytnout problémy, které virtuální stroj nemusí překonat. Některé typy malwaru například vyžadují ke spuštění příkazové řádky nebo jsou nastaveny do režimu spánku po určitou dobu, než začnou provádět příkazy. Sandboxy nebudou moci spouštět malware tohoto druhu, protože nemají možnosti příkazového řádku a často nebudou čekat dostatečně dlouho na detekci škodlivých příkazových řádků. Toto je několik nevýhod, které mohou bránit detekci malwaru ve virtuálním prostředí.

Omezená agilita systému snižuje efektivitu detekce nových a pokročilých útočných vektorů

Proč je tedy míra detekce bezpečnostních řešení nízká a v mnoha případech se časem zhoršuje? V mnoha případech je to způsobeno nedostatečnou flexibilitou systému učit se a upravovat techniky a algoritmy detekce hrozeb na základě měnících se útoků pozorovaných v terénu.

Vzhledem k tomu, že prostředí kybernetických hrozeb se rychle vyvíjí, žádné řešení zabezpečení e-mailu, které chrání před dnešními útoky, nemusí nutně chránit před útoky zítřka, pokud nemá technologii, která je dostatečně flexibilní a agilní, aby podporovala novou logiku a pravidla přidaná dodavatelem, IT oddělením zákazníků. správci nebo týmy SOC.

Mnozí propagují strojové učení jako všelék na všechny škodlivé e-mailové kampaně, ale realita je taková, že kombinace detekční technologie a expertní reakce na incidenty v kombinaci s agilitou pro snadné přizpůsobení systému zabezpečení e-mailů pomocí zásad a pravidel poskytuje nejvyšší míru detekce s nejnižšími počty false positive.

Pochopení toho, jak útočníci obcházejí vaše řešení zabezpečení e-mailu, a schopnost okamžitě vytvořit novou logiku, která podporuje zachycení těchto pokročilých scénářů v budoucnu, zajišťuje optimální výsledky.

Níže jsou uvedeny příklady toho, jak agilní systémy identifikují nové vzory a mohou přidat novou logiku, která pomůže zvýšit míru detekce:

• Bezpečnostní řešení může používat černé listiny k zastavení určitých e-mailů, ale v další vlně phishingových útoků mohou e-maily pocházet od nového odesílatele nebo dokonce od legitimního odesílatele. Díky flexibilnímu řešení zabezpečení e-mailů lze dynamicky nasazovat novou logiku a rozhodnutí, aby se těmto novým i dalším útokům okamžitě zabránilo.
• Webové stránky vydávající se za legitimní služby, jako je WeTransfer, se používají k přenosu škodlivých souborů do osobních počítačů uživatelů. V případech, jako je tento, se útočníci často vydávají za legitimní stránku WeTransfer v naději, že si oběť stáhne obsah, a tím ohrozí své pracovní nebo osobní prostředí.

Phishingové stránky obsahující falešné přihlašovací stránky jsou často využívány útočníky ve snaze ukrást osobní údaje, jako jsou přihlašovací údaje a platební údaje. Většina případů phishingu se často vydává za oblíbené značky často používané v pracovním prostředí, jako je Office 365.

Nástroje pro tvorbu webových stránek, jako je Weebly nebo Wix, poskytují útočníkům bezplatné, rychlé a jednoduché šablony pro vytváření webů pro útoky. U sofistikovaných nelegitimních webových stránek, jako jsou níže uvedené, by systém zabezpečení e-mailu měl vědět, jak je identifikovat pomocí technologie, jako je rozpoznávání obrázků, a také skutečně sledovat a kontrolovat aktivní odkazy na webu. Možnost přidávat novou logiku, upravovat schopnosti rozpoznávání obrázků a přidávat nové adresy URL phishingových stránek do detekčních mechanismů za běhu umožňuje zachytit nově vznikající útočné kampaně dříve, než se dostanou do doručené pošty.

Obrázky s laskavým svolením Perception Point

Chybí infrastruktura a zdroje pro reakci na incidenty

K dosažení nejvyšší míry detekce a nejnižší míry falešně pozitivních výsledků z vašeho řešení zabezpečení e-mailu je nezbytná dobrá komunikace mezi týmem IT a/nebo SOC organizace, dodavatelem zabezpečení e-mailu a koncovými uživateli. Propojení komunikace mezi těmito třemi stranami je přesně práce týmu pro reakci na incidenty a proč je tým tak důležitý při předcházení zhoršení míry detekce.

Jak již bylo řečeno, práce týmu pro reakci na incidenty je náročná a vyžaduje odborné znalosti. Pro společnosti může být obtížné věnovat dostatek vlastního času a zdrojů správnému řízení rostoucího počtu incidentů. Mnoho organizací má na to dlouhodobý plán, ale vyžaduje to sofistikovanou automatizaci a integraci mezi systémy a společnostem může trvat měsíce a dokonce roky, než se správně nastaví a nasadí.

I když se organizaci podaří nastavit své procesy a systémy a má dobře vyškolený tým pro reakci na incidenty, tým může stále bojovat s náročnými úkoly reakce na incidenty, jako jsou:

1. Monitorování, analýza a hlášení všech bezpečnostních incidentů e-mailu 24-7
2. Rychlá upozornění a analýza útoků
3. Optimalizace motorů bezpečnostního systému pro pokročilé scénáře

V mnoha organizacích uživatelé nahlásí podezřelý e-mail. Vzhledem k tomu, že není dostatek zdrojů k prošetření jednotlivých zpráv, jsou automaticky staženy z doručené pošty a odstraněny. Když je použita tato metoda, organizace nemůže získat ani využít znalosti z podezřelých útoků, které mohly obejít její systém za účelem průběžné optimalizace.

Nedostatek viditelnosti a KPI ztěžují měření výkonu systému

KPI, které měří false positive a false negative výsledky, jsou důležité pro organizaci, aby pochopila efektivitu a přesnost svého systému zabezpečení e-mailů. Bohužel pro společnost není snadné tyto KPI nastavit. Jak například organizace vypočítají a nahlásí počet/procento falešně pozitivních výsledků, které jejich řešení vykazuje?

Některá řešení neposkytují tento KPI, nebo umožňují snadný způsob, jak získat falešně pozitivní měření. Týmy SOC ví, že existují falešně pozitivní výsledky, pouze pokud je uživatelé požádají o uvolnění e-mailů nebo se zeptají IT, proč neobdrželi e-mail, o kterém vědí, že byl odeslán.

Jak měříte falešné negativy? Toto jsou škodlivé e-maily, které obcházejí řešení zabezpečení e-mailů, a některá řešení neposkytují správný způsob zobrazení těchto statistik. Společnost často intuitivně „cítí“, že jejich řešení zabezpečení e-mailu nefunguje efektivně, ale nemají důkaz ve svých datech. Hlavní příčinou nedostatečné viditelnosti je to, že neexistuje efektivní řešení toku bezpečnostních incidentů nebo náležitá podpora v řešeních zabezpečení e-mailu pro načtení správného počtu incidentů.

E-mailové protokoly jsou chaotické a složité

Dalším problémem, kterému organizace čelí a který ovlivňuje efektivitu jejich zabezpečení e-mailu, je nesprávná konfigurace jejich e-mailových protokolů.

Například protokol DMARC chrání organizace před e-mailovým spoofingem, phishingovými podvody a dalšími kyberzločiny. Nedávná studie však ukazuje, že méně než 50 % společností z Fortune 1000 implementuje DMARC do svých e-mailů. Představte si, jak málo středních a menších společností to implementuje.

Dalším bodem, který je třeba vzít v úvahu, je, že i když organizace implementuje DMARC a udělá vše, co je v jejích silách, aby posílila zabezpečení e-mailů, nemůže kontrolovat úroveň zabezpečení přijatou ekosystémem jejích obchodních partnerů. To je důvod, proč externí společnosti, se kterými uživatelé komunikují, často představují velké riziko pro organizaci.

4 tipy, jak mohou organizace uzavřít mezeru v zabezpečení e-mailu

1. Důkladně vyhodnoťte řešení zabezpečení e-mailu, než si vyberete jedno k implementaci, a věnujte čas vyhodnocení pomocí POC, které bude měřit míru detekce oproti stávajícímu řešení zabezpečení e-mailu.
2. Zvažte flexibilní řešení zabezpečení e-mailu, které umožňuje neustálou aktualizaci pravidel a logiky pro zachycení nových a vyvíjejících se hrozeb a které podporuje pokročilé scénáře.
3. Zlepšete komunikaci mezi správcem týmu IT a/nebo SOC organizace, dodavatelem zabezpečení e-mailu a koncovými uživateli pomocí profesionálního týmu pro reakci na incidenty. To je klíčové pro dosažení vysoké míry detekce blížící se 100 %.
4. Implementujte kontroly DMARC, SPF a DKIM a vyberte si řešení zabezpečení e-mailu, které podporuje jejich ověřování. Zahrňte do procesu výběru dodavatele posouzení rizik a ujistěte se, že jste ve svém řešení zabezpečení e-mailu přijali opatření na ochranu před rizikovějšími dodavateli.

Pohled do budoucnosti

Na rozdíl od jiných kanálů je zabezpečení e-mailu náročnější na ochranu z důvodů uvedených v tomto článku. S více než 300 miliardami e-mailů odeslaných denně po celém světě je však nezbytné, abychom jako globální komunita spolupracovali na zlepšení zabezpečení e-mailů. Prostřednictvím společného úsilí můžeme zacelit bezpečnostní mezeru a vybudovat bezpečnější budoucnost pro organizace ve všech odvětvích.

Související články:

Kybernetická bezpečnost 

Školení kybernetické bezpečnosti

Autor původního článku: Michael Aminov
Překlad: Ondřej Strachota