Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Чекліст для боротьби з фішингом

2019-09-02
Автор: Телесфера

Почну з деяких цифр:

  • 80% успішних атак починається з фішингу (а хтось вважає, що і зовсім 95%)
  • 10% сигналів тривоги в більшості SOC пов'язано з фішинговими атаками
  • Рейтинг успішних кліків на фішингові посилання - 21%
  • Рейтинг завантаження/запуску шкідливих вкладень - 11%

Все це говорить про те, що фішинг залишається однією з основних причин багатьох інцидентів і джерелом проблем для багатьох фахівців з інформаційної безпеки. При цьому фішинг часто недооцінений і боротьба з ним носить досить фрагментарний характер. Тому ми вирішили скласти чекліст, який описує набір організаційних і технічних заходів по боротьбі з цією кіберзагрозою.

Я б виділив 5 наборів заходів щодо захисту від фішингових атак, які необхідно реалізувати на кожному підприємстві:

  • Вивчення інформації. Хто з ваших користувачів вказав свої контактні дані в соцмережах або в інших джерелах? Саме зї збору цих даних починається фішингова атака. Тому не чекайте, коли це зроблять зловмисники, дізнайтеся, як ваша компанія виглядає з точки зору зловмисників.
  • Навчання і підвищення обізнаності персоналу. Так як фішинг орієнтований на некваліфікованих в ІБ користувачів, то з них і треба починати боротьбу з фішингом. І хоча це не гарантує повного захисту, але вбереже їх від простих помилок, з яких і починаються серйозні інциденти.
  • Базові захисні заходи. Перш ніж йти купувати і впроваджувати засоби захисту від фішингових атак, почати все-таки варто з включення базових захисних механізмів, багато з яких вбудовані в поштові сервери і сервіси, поштові клієнти і браузери.
  • Просунуті захисні заходи. Так як фішинг буває досить складним і базові заходи не завжди рятують, то можуть знадобитися і просунуті захисні заходи, які виявляють і нейтралізують фішингову атаку на різні її етапах - від попадання в поштову скриньку або кліка на фішингове посилання до спроби зараження робочої станції або комунікації з командними серверами.
  • Вибудовування процесу. Нарешті, щоб від епізодичних дій щодо захисту перейти до цілісної стратегії захисту, необхідно вибудувати відповідні процеси.

Проаналізуйте інформацію про вас

  • Перевіряйте соціальні мережі і сторінки своїх співробітників, які можуть вказувати свої контактні дані, які будуть використані зловмисниками. Якщо цього не вимагають службові обов'язки, таку інформацію краще не публікувати.
  • Використовуйте спеціалізований інструментарій (наприклад, що входить до складу Kali Linux утиліта TheHarvester або recon-ng) для того, щоб «очима хакера» побачити, які контактні дані можуть бути отримані з Інтернет.
  • Перевірте тайпсквоттінгові домени за допомогою спеціальних утиліт (наприклад, URLcrazy) або хмарних сервісів (наприклад, Cisco Umbrella Investigate).

Навчання і підвищення обізнаності

  • Проведіть навчання не ІБ-співробітників з питань фішингу та соціального інжинірингу та навчіть їх звертати увагу на ознаки фішингових повідомлень і сайтів (наприклад, можна скористатися простим тестом на уважність на сайті Cisco Umbrella).
  • Проведіть навчання співробітників служби ІБ по методам, використовуваним для організації фішингових компаній (наприклад, подивіться запис Cisco Phishing Defense Virtual Summit).
  • Навчіть рядових користувачів перенаправляти в службу ІБ всі підозрілі або явно шкідливі повідомлення, пропущені системою захисту.
  • Впровадити систему комп'ютерного навчання співробітників.
  • Проводьте регулярні фішингові симуляції за допомогою придбаного або безкоштовного ПЗ (наприклад, Gophish) або аутсорсингу даної послуги.
  • Увімкніть тему захисту від фішингу в програму підвищення обізнаності співробітників (наприклад, шляхом використання плакатів, зберігачів екрану, гейміфікації, канцелярських товарів тощо).
  • При необхідності повідомляйте клієнтів і партнерів про фішингових атаках і основні способи боротьби з ними (особливо якщо того вимагає від вас законодавство, як це необхідно фінансовим організаціям в Росії).

Технічні заходи: базові

  • Налаштуйте антифішингові можливості поштових серверів, включаючи і поштові хмарні сервіси (наприклад, Office 365), і клієнтів.
  • Регулярно оновлюйте системне і прикладне ПЗ, включаючи плагіни до браузерів, і операційні системи з метою усунення вразливостей, які можуть бути використані в рамках фішингових атак.
  • Налаштуйте браузери для захисту від відвідування фішингових доменів (за рахунок вбудованих можливостей або додаткових плагінів).
  • Увімкніть на вашому поштовому шлюзі SPF (Sender Policy Framework), який дозволяє перевіряти IP-адресу зовнішнього відправника (перевірка тільки вузла відправника, а не самого повідомлення) для вхідних повідомлень.
  • Увімкніть на вашому поштовому шлюзі DKIM (Domain Keys Identified Mail), який забезпечує ідентифікацію внутрішнього відправника (для вихідних повідомлень).
  • Увімкніть на вашому поштовому шлюзі DMARC (Domain-based Message Authentication, Reporting and Conformance), який запобігає отриманню повідомлень, які виглядають як відправлені легітимними відправниками.
  • Увімкніть на вашому поштовому шлюзі DANE (DNS-based Authentication of Named Entities), який дозволяє боротися з атаками «людина посередині» всередині взаємодії по протоколу TLS.

Технічні заходи: просунуті

  • Впровадити засіб для захисту від фішингових атак в електронній пошті (наприклад, Cisco E-mail Security), що включає різні захисні заходи (аналіз репутації, антивірусний сканер, контроль типів вкладень, виявлення аномалій, виявлення спуфінга, інспекція URL в посиланнях, пісочниця і т. п.).
  • Встановіть засоби захисту на ПК (наприклад, Cisco AMP for Endpoint) або мобільні пристрої (наприклад, Cisco Security Connector) для захисту від шкідливого коду, встановленого на крайовому пристрої в результаті успішної фішингової атаки.
  • Підпишіться на фіди Threat Intelligence для отримання оперативної інформації про фішингових доменах (наприклад, Cisco Threat Grid або SpamCop).
  • Використовуйте API для перевірки доменів/відправників в різних сервісах Threat Intelligence (наприклад, Cisco Threat Grid, Cisco Umbrella і т.п.).
  • Фільтруйте взаємодію з C2 по різним протоколам - DNS (наприклад, за допомогою Cisco Umbrella), HTTP/HTTPS (наприклад, за допомогою Cisco Firepower NGFW або Cisco Web Security) або інших протоколів (наприклад, за допомогою Cisco Stealthwatch).
  • Відстежуйте взаємодію з Web для контролю кліків на посилання в повідомленнях, підвантаження шкідливого ПЗ при запуску вкладень або для блокування фішингу через соціальні мережі.
  • Використовуйте плагіни для поштових клієнтів для автоматизації взаємодії зі службою безпеки або виробником в разі виявлення фішингових повідомлень, пропущених системою захисту (наприклад, Cisco E-mail Security plugin for Outlook).
  • Інтегруйте систему динамічного аналізу файлів ( «пісочницю») з системою захисту електронної пошти для контролю вкладень в повідомлення електронної пошти (наприклад, Cisco Threat Grid).
  • Інтегруйте ваш центр моніторингу безпеки (SOC) або систему розслідування інцидентів (наприклад, Cisco Threat Response) з системою захисту електронної пошти для оперативного реагування на фішингові атаки.

Процеси

  • Розробіть регламент роботи зі зверненнями клієнтів або інших осіб, які заявляють про виявлення тайпсквоттінгових доменів або доменів-клонів.
  • Розробіть регламент (playbook) моніторингу тайпсквоттінгових доменів або доменів-клонів, включаючи і реагування на них.
  • Розробіть регламент (playbook) моніторингу фішингових атак, включаючи і реагування на них.
  • Розробіть регламент і шаблони повідомлення ФінЦЕРТ (для фінансових організацій) і ГосСОПКА (для суб'єктів КВІ) про фішингові атаки.
  • Проводьте розслідування фішингових доменів (наприклад, за допомогою Cisco Umbrella Investigate) з метою отримання інформації про нові фішингові домени, які можуть бути використані в майбутньому.
  • Розробіть регламент взаємодії з уповноваженими організаціями (наприклад, ФінЦЕРТ або НКЦКІ) для розделегування фішингових доменів.
  • Розробіть систему показників оцінки ефективності захисту від фішингу.
  • Розробіть систему звітності по антифішинговому захисту і відстежуйте її динаміку.
  • Організовуйте регулярні кібернавчання по антифішинговому захисту для своїх співробітників.
  • Розробіть політику використання e-mail в організації.

Чим повніше буде реалізований даний чекліст, тим ефективніше буде ваш захист від фішингу.

Джерело: https://habr.com/ru/company/cisco/blog/465085/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Штучний інтелект: великі перспективи або межа можливостей?

Штучний інтелект: великі перспективи або межа можливостей?
новини,Налаштування,IoT,Послуги Телесфера Інтеграція,Продуктивність

Інтерес до високих технологій в сучасному світі подібний ринковим циклам і порами року. Підвищені очікування, які підігріваються рекламою і ентузіазмом вчених, змінюються прохолодним скепсисом. На думку деяких фахівців, технології штучного інтелекту переживають період спаду. Скептики стверджують, що перспективи цієї галузі були перебільшені, а грандіозні обіцянки, які вже здавалися реальністю, не виконані.

Webex розширює можливості безпечного дистанційного навчання

Webex розширює можливості безпечного дистанційного навчання
Cisco,Cisco Network,cisco,новини,Налаштування Cisco

Група спільної роботи Cisco Collaboration анонсувала нововведення рішення Webex Classrooms, яке доповнює захищену платформу Cisco для онлайн-навчання при комбінованому навчанні.

Aruba представила точку доступу Wi-Fi 6 для малого бізнесу

Aruba представила точку доступу Wi-Fi 6 для малого бізнесу
Aruba Networks,Налаштування Aruba,Налаштування Aruba Instant,новини,Wi-Fi

Компанія Aruba представила нову точку доступу Wi-Fi 6 (802.11ax), розроблену спеціально з урахуванням потреб малого бізнесу. Як зазначається, нова сертифікована Wi-Fi CERTIFIED 6TM точка доступу Aruba Instant On AP22 дає блискавичну швидкість бездротового зв'язку, зниження ризику перебоїв підключення і розширені функції безпеки Wi-Fi 6.