Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Чекліст для боротьби з фішингом

2019-09-02
Автор: Телесфера

Почну з деяких цифр:

  • 80% успішних атак починається з фішингу (а хтось вважає, що і зовсім 95%)
  • 10% сигналів тривоги в більшості SOC пов'язано з фішинговими атаками
  • Рейтинг успішних кліків на фішингові посилання - 21%
  • Рейтинг завантаження/запуску шкідливих вкладень - 11%

Все це говорить про те, що фішинг залишається однією з основних причин багатьох інцидентів і джерелом проблем для багатьох фахівців з інформаційної безпеки. При цьому фішинг часто недооцінений і боротьба з ним носить досить фрагментарний характер. Тому ми вирішили скласти чекліст, який описує набір організаційних і технічних заходів по боротьбі з цією кіберзагрозою.

Я б виділив 5 наборів заходів щодо захисту від фішингових атак, які необхідно реалізувати на кожному підприємстві:

  • Вивчення інформації. Хто з ваших користувачів вказав свої контактні дані в соцмережах або в інших джерелах? Саме зї збору цих даних починається фішингова атака. Тому не чекайте, коли це зроблять зловмисники, дізнайтеся, як ваша компанія виглядає з точки зору зловмисників.
  • Навчання і підвищення обізнаності персоналу. Так як фішинг орієнтований на некваліфікованих в ІБ користувачів, то з них і треба починати боротьбу з фішингом. І хоча це не гарантує повного захисту, але вбереже їх від простих помилок, з яких і починаються серйозні інциденти.
  • Базові захисні заходи. Перш ніж йти купувати і впроваджувати засоби захисту від фішингових атак, почати все-таки варто з включення базових захисних механізмів, багато з яких вбудовані в поштові сервери і сервіси, поштові клієнти і браузери.
  • Просунуті захисні заходи. Так як фішинг буває досить складним і базові заходи не завжди рятують, то можуть знадобитися і просунуті захисні заходи, які виявляють і нейтралізують фішингову атаку на різні її етапах - від попадання в поштову скриньку або кліка на фішингове посилання до спроби зараження робочої станції або комунікації з командними серверами.
  • Вибудовування процесу. Нарешті, щоб від епізодичних дій щодо захисту перейти до цілісної стратегії захисту, необхідно вибудувати відповідні процеси.

Проаналізуйте інформацію про вас

  • Перевіряйте соціальні мережі і сторінки своїх співробітників, які можуть вказувати свої контактні дані, які будуть використані зловмисниками. Якщо цього не вимагають службові обов'язки, таку інформацію краще не публікувати.
  • Використовуйте спеціалізований інструментарій (наприклад, що входить до складу Kali Linux утиліта TheHarvester або recon-ng) для того, щоб «очима хакера» побачити, які контактні дані можуть бути отримані з Інтернет.
  • Перевірте тайпсквоттінгові домени за допомогою спеціальних утиліт (наприклад, URLcrazy) або хмарних сервісів (наприклад, Cisco Umbrella Investigate).

Навчання і підвищення обізнаності

  • Проведіть навчання не ІБ-співробітників з питань фішингу та соціального інжинірингу та навчіть їх звертати увагу на ознаки фішингових повідомлень і сайтів (наприклад, можна скористатися простим тестом на уважність на сайті Cisco Umbrella).
  • Проведіть навчання співробітників служби ІБ по методам, використовуваним для організації фішингових компаній (наприклад, подивіться запис Cisco Phishing Defense Virtual Summit).
  • Навчіть рядових користувачів перенаправляти в службу ІБ всі підозрілі або явно шкідливі повідомлення, пропущені системою захисту.
  • Впровадити систему комп'ютерного навчання співробітників.
  • Проводьте регулярні фішингові симуляції за допомогою придбаного або безкоштовного ПЗ (наприклад, Gophish) або аутсорсингу даної послуги.
  • Увімкніть тему захисту від фішингу в програму підвищення обізнаності співробітників (наприклад, шляхом використання плакатів, зберігачів екрану, гейміфікації, канцелярських товарів тощо).
  • При необхідності повідомляйте клієнтів і партнерів про фішингових атаках і основні способи боротьби з ними (особливо якщо того вимагає від вас законодавство, як це необхідно фінансовим організаціям в Росії).

Технічні заходи: базові

  • Налаштуйте антифішингові можливості поштових серверів, включаючи і поштові хмарні сервіси (наприклад, Office 365), і клієнтів.
  • Регулярно оновлюйте системне і прикладне ПЗ, включаючи плагіни до браузерів, і операційні системи з метою усунення вразливостей, які можуть бути використані в рамках фішингових атак.
  • Налаштуйте браузери для захисту від відвідування фішингових доменів (за рахунок вбудованих можливостей або додаткових плагінів).
  • Увімкніть на вашому поштовому шлюзі SPF (Sender Policy Framework), який дозволяє перевіряти IP-адресу зовнішнього відправника (перевірка тільки вузла відправника, а не самого повідомлення) для вхідних повідомлень.
  • Увімкніть на вашому поштовому шлюзі DKIM (Domain Keys Identified Mail), який забезпечує ідентифікацію внутрішнього відправника (для вихідних повідомлень).
  • Увімкніть на вашому поштовому шлюзі DMARC (Domain-based Message Authentication, Reporting and Conformance), який запобігає отриманню повідомлень, які виглядають як відправлені легітимними відправниками.
  • Увімкніть на вашому поштовому шлюзі DANE (DNS-based Authentication of Named Entities), який дозволяє боротися з атаками «людина посередині» всередині взаємодії по протоколу TLS.

Технічні заходи: просунуті

  • Впровадити засіб для захисту від фішингових атак в електронній пошті (наприклад, Cisco E-mail Security), що включає різні захисні заходи (аналіз репутації, антивірусний сканер, контроль типів вкладень, виявлення аномалій, виявлення спуфінга, інспекція URL в посиланнях, пісочниця і т. п.).
  • Встановіть засоби захисту на ПК (наприклад, Cisco AMP for Endpoint) або мобільні пристрої (наприклад, Cisco Security Connector) для захисту від шкідливого коду, встановленого на крайовому пристрої в результаті успішної фішингової атаки.
  • Підпишіться на фіди Threat Intelligence для отримання оперативної інформації про фішингових доменах (наприклад, Cisco Threat Grid або SpamCop).
  • Використовуйте API для перевірки доменів/відправників в різних сервісах Threat Intelligence (наприклад, Cisco Threat Grid, Cisco Umbrella і т.п.).
  • Фільтруйте взаємодію з C2 по різним протоколам - DNS (наприклад, за допомогою Cisco Umbrella), HTTP/HTTPS (наприклад, за допомогою Cisco Firepower NGFW або Cisco Web Security) або інших протоколів (наприклад, за допомогою Cisco Stealthwatch).
  • Відстежуйте взаємодію з Web для контролю кліків на посилання в повідомленнях, підвантаження шкідливого ПЗ при запуску вкладень або для блокування фішингу через соціальні мережі.
  • Використовуйте плагіни для поштових клієнтів для автоматизації взаємодії зі службою безпеки або виробником в разі виявлення фішингових повідомлень, пропущених системою захисту (наприклад, Cisco E-mail Security plugin for Outlook).
  • Інтегруйте систему динамічного аналізу файлів ( «пісочницю») з системою захисту електронної пошти для контролю вкладень в повідомлення електронної пошти (наприклад, Cisco Threat Grid).
  • Інтегруйте ваш центр моніторингу безпеки (SOC) або систему розслідування інцидентів (наприклад, Cisco Threat Response) з системою захисту електронної пошти для оперативного реагування на фішингові атаки.

Процеси

  • Розробіть регламент роботи зі зверненнями клієнтів або інших осіб, які заявляють про виявлення тайпсквоттінгових доменів або доменів-клонів.
  • Розробіть регламент (playbook) моніторингу тайпсквоттінгових доменів або доменів-клонів, включаючи і реагування на них.
  • Розробіть регламент (playbook) моніторингу фішингових атак, включаючи і реагування на них.
  • Розробіть регламент і шаблони повідомлення ФінЦЕРТ (для фінансових організацій) і ГосСОПКА (для суб'єктів КВІ) про фішингові атаки.
  • Проводьте розслідування фішингових доменів (наприклад, за допомогою Cisco Umbrella Investigate) з метою отримання інформації про нові фішингові домени, які можуть бути використані в майбутньому.
  • Розробіть регламент взаємодії з уповноваженими організаціями (наприклад, ФінЦЕРТ або НКЦКІ) для розделегування фішингових доменів.
  • Розробіть систему показників оцінки ефективності захисту від фішингу.
  • Розробіть систему звітності по антифішинговому захисту і відстежуйте її динаміку.
  • Організовуйте регулярні кібернавчання по антифішинговому захисту для своїх співробітників.
  • Розробіть політику використання e-mail в організації.

Чим повніше буде реалізований даний чекліст, тим ефективніше буде ваш захист від фішингу.

Джерело: https://habr.com/ru/company/cisco/blog/465085/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Десять прогнозів на ринку IoT на 2019 рік

Десять прогнозів на ринку IoT на 2019 рік
IoT,новини,Налаштування

Згідно із прогнозом аналітиків ринку, в 2019 році світові витрати на Інтернет речей досягнуть 745 млрд дол., з'являться нові можливості для розробки додатків з штучним інтелектом на кордоні IoT-мережі, для вирішення конкретних проблем і використання нових досягнень в області датчиків. Це лише деякі з прогнозів розвитку ринку IoT в новому році виходячи з того, що говорять керівники компаній і технічні фахівці, з якими спілкувався CRN, а також останні звіти про дослідження.

Чекліст для боротьби з фішингом

Чекліст для боротьби з фішингом
Cisco,Cisco Network,cisco,Налаштування Cisco,Блог Телесфера,cisco безпека

80% успішних атак починається з фішингу (а хтось вважає, що і зовсім 95%) 10% сигналів тривоги в більшості SOC пов'язано з фішинговими атаками Рейтинг успішних кліків на фішингові посилання - 21% Рейтинг завантаження/запуску шкідливих вкладень - 11%

Серія Catalyst IE3400 Heavy Duty: Cisco Catalyst, створений для самих складних умов

Серія Catalyst IE3400 Heavy Duty: Cisco Catalyst, створений для самих складних умов
Cisco,Cisco Network,cisco,Налаштування,Налаштування Cisco,новини

Ви хочете розширити можливості підключення за межі офісу? У такі місця, як фабрики, шахти, стадіони або ферми? У місцях з наявністю пилу, води або екстремальних температур?