Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Чекліст для боротьби з фішингом

2019-09-02
Автор: Телесфера

Почну з деяких цифр:

  • 80% успішних атак починається з фішингу (а хтось вважає, що і зовсім 95%)
  • 10% сигналів тривоги в більшості SOC пов'язано з фішинговими атаками
  • Рейтинг успішних кліків на фішингові посилання - 21%
  • Рейтинг завантаження/запуску шкідливих вкладень - 11%

Все це говорить про те, що фішинг залишається однією з основних причин багатьох інцидентів і джерелом проблем для багатьох фахівців з інформаційної безпеки. При цьому фішинг часто недооцінений і боротьба з ним носить досить фрагментарний характер. Тому ми вирішили скласти чекліст, який описує набір організаційних і технічних заходів по боротьбі з цією кіберзагрозою.

Я б виділив 5 наборів заходів щодо захисту від фішингових атак, які необхідно реалізувати на кожному підприємстві:

  • Вивчення інформації. Хто з ваших користувачів вказав свої контактні дані в соцмережах або в інших джерелах? Саме зї збору цих даних починається фішингова атака. Тому не чекайте, коли це зроблять зловмисники, дізнайтеся, як ваша компанія виглядає з точки зору зловмисників.
  • Навчання і підвищення обізнаності персоналу. Так як фішинг орієнтований на некваліфікованих в ІБ користувачів, то з них і треба починати боротьбу з фішингом. І хоча це не гарантує повного захисту, але вбереже їх від простих помилок, з яких і починаються серйозні інциденти.
  • Базові захисні заходи. Перш ніж йти купувати і впроваджувати засоби захисту від фішингових атак, почати все-таки варто з включення базових захисних механізмів, багато з яких вбудовані в поштові сервери і сервіси, поштові клієнти і браузери.
  • Просунуті захисні заходи. Так як фішинг буває досить складним і базові заходи не завжди рятують, то можуть знадобитися і просунуті захисні заходи, які виявляють і нейтралізують фішингову атаку на різні її етапах - від попадання в поштову скриньку або кліка на фішингове посилання до спроби зараження робочої станції або комунікації з командними серверами.
  • Вибудовування процесу. Нарешті, щоб від епізодичних дій щодо захисту перейти до цілісної стратегії захисту, необхідно вибудувати відповідні процеси.

Проаналізуйте інформацію про вас

  • Перевіряйте соціальні мережі і сторінки своїх співробітників, які можуть вказувати свої контактні дані, які будуть використані зловмисниками. Якщо цього не вимагають службові обов'язки, таку інформацію краще не публікувати.
  • Використовуйте спеціалізований інструментарій (наприклад, що входить до складу Kali Linux утиліта TheHarvester або recon-ng) для того, щоб «очима хакера» побачити, які контактні дані можуть бути отримані з Інтернет.
  • Перевірте тайпсквоттінгові домени за допомогою спеціальних утиліт (наприклад, URLcrazy) або хмарних сервісів (наприклад, Cisco Umbrella Investigate).

Навчання і підвищення обізнаності

  • Проведіть навчання не ІБ-співробітників з питань фішингу та соціального інжинірингу та навчіть їх звертати увагу на ознаки фішингових повідомлень і сайтів (наприклад, можна скористатися простим тестом на уважність на сайті Cisco Umbrella).
  • Проведіть навчання співробітників служби ІБ по методам, використовуваним для організації фішингових компаній (наприклад, подивіться запис Cisco Phishing Defense Virtual Summit).
  • Навчіть рядових користувачів перенаправляти в службу ІБ всі підозрілі або явно шкідливі повідомлення, пропущені системою захисту.
  • Впровадити систему комп'ютерного навчання співробітників.
  • Проводьте регулярні фішингові симуляції за допомогою придбаного або безкоштовного ПЗ (наприклад, Gophish) або аутсорсингу даної послуги.
  • Увімкніть тему захисту від фішингу в програму підвищення обізнаності співробітників (наприклад, шляхом використання плакатів, зберігачів екрану, гейміфікації, канцелярських товарів тощо).
  • При необхідності повідомляйте клієнтів і партнерів про фішингових атаках і основні способи боротьби з ними (особливо якщо того вимагає від вас законодавство, як це необхідно фінансовим організаціям в Росії).

Технічні заходи: базові

  • Налаштуйте антифішингові можливості поштових серверів, включаючи і поштові хмарні сервіси (наприклад, Office 365), і клієнтів.
  • Регулярно оновлюйте системне і прикладне ПЗ, включаючи плагіни до браузерів, і операційні системи з метою усунення вразливостей, які можуть бути використані в рамках фішингових атак.
  • Налаштуйте браузери для захисту від відвідування фішингових доменів (за рахунок вбудованих можливостей або додаткових плагінів).
  • Увімкніть на вашому поштовому шлюзі SPF (Sender Policy Framework), який дозволяє перевіряти IP-адресу зовнішнього відправника (перевірка тільки вузла відправника, а не самого повідомлення) для вхідних повідомлень.
  • Увімкніть на вашому поштовому шлюзі DKIM (Domain Keys Identified Mail), який забезпечує ідентифікацію внутрішнього відправника (для вихідних повідомлень).
  • Увімкніть на вашому поштовому шлюзі DMARC (Domain-based Message Authentication, Reporting and Conformance), який запобігає отриманню повідомлень, які виглядають як відправлені легітимними відправниками.
  • Увімкніть на вашому поштовому шлюзі DANE (DNS-based Authentication of Named Entities), який дозволяє боротися з атаками «людина посередині» всередині взаємодії по протоколу TLS.

Технічні заходи: просунуті

  • Впровадити засіб для захисту від фішингових атак в електронній пошті (наприклад, Cisco E-mail Security), що включає різні захисні заходи (аналіз репутації, антивірусний сканер, контроль типів вкладень, виявлення аномалій, виявлення спуфінга, інспекція URL в посиланнях, пісочниця і т. п.).
  • Встановіть засоби захисту на ПК (наприклад, Cisco AMP for Endpoint) або мобільні пристрої (наприклад, Cisco Security Connector) для захисту від шкідливого коду, встановленого на крайовому пристрої в результаті успішної фішингової атаки.
  • Підпишіться на фіди Threat Intelligence для отримання оперативної інформації про фішингових доменах (наприклад, Cisco Threat Grid або SpamCop).
  • Використовуйте API для перевірки доменів/відправників в різних сервісах Threat Intelligence (наприклад, Cisco Threat Grid, Cisco Umbrella і т.п.).
  • Фільтруйте взаємодію з C2 по різним протоколам - DNS (наприклад, за допомогою Cisco Umbrella), HTTP/HTTPS (наприклад, за допомогою Cisco Firepower NGFW або Cisco Web Security) або інших протоколів (наприклад, за допомогою Cisco Stealthwatch).
  • Відстежуйте взаємодію з Web для контролю кліків на посилання в повідомленнях, підвантаження шкідливого ПЗ при запуску вкладень або для блокування фішингу через соціальні мережі.
  • Використовуйте плагіни для поштових клієнтів для автоматизації взаємодії зі службою безпеки або виробником в разі виявлення фішингових повідомлень, пропущених системою захисту (наприклад, Cisco E-mail Security plugin for Outlook).
  • Інтегруйте систему динамічного аналізу файлів ( «пісочницю») з системою захисту електронної пошти для контролю вкладень в повідомлення електронної пошти (наприклад, Cisco Threat Grid).
  • Інтегруйте ваш центр моніторингу безпеки (SOC) або систему розслідування інцидентів (наприклад, Cisco Threat Response) з системою захисту електронної пошти для оперативного реагування на фішингові атаки.

Процеси

  • Розробіть регламент роботи зі зверненнями клієнтів або інших осіб, які заявляють про виявлення тайпсквоттінгових доменів або доменів-клонів.
  • Розробіть регламент (playbook) моніторингу тайпсквоттінгових доменів або доменів-клонів, включаючи і реагування на них.
  • Розробіть регламент (playbook) моніторингу фішингових атак, включаючи і реагування на них.
  • Розробіть регламент і шаблони повідомлення ФінЦЕРТ (для фінансових організацій) і ГосСОПКА (для суб'єктів КВІ) про фішингові атаки.
  • Проводьте розслідування фішингових доменів (наприклад, за допомогою Cisco Umbrella Investigate) з метою отримання інформації про нові фішингові домени, які можуть бути використані в майбутньому.
  • Розробіть регламент взаємодії з уповноваженими організаціями (наприклад, ФінЦЕРТ або НКЦКІ) для розделегування фішингових доменів.
  • Розробіть систему показників оцінки ефективності захисту від фішингу.
  • Розробіть систему звітності по антифішинговому захисту і відстежуйте її динаміку.
  • Організовуйте регулярні кібернавчання по антифішинговому захисту для своїх співробітників.
  • Розробіть політику використання e-mail в організації.

Чим повніше буде реалізований даний чекліст, тим ефективніше буде ваш захист від фішингу.

Джерело: https://habr.com/ru/company/cisco/blog/465085/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

SD-WAN - тенденції останнього часу і прогноз на 2020

SD-WAN - тенденції останнього часу і прогноз на 2020
Блог Телесфера,Налаштування,Налаштування Cisco,Телесфера Інтеграція

Будь-яка компанія, велика чи мала, використовує в своїй роботі зв'язок. Це може бути стільниковий телефон, інтернет, мережа для зв'язку з регіональними підрозділами, супутник і т.п. Якщо компанія досить велика, а її підрозділи знаходяться в різних регіонах однієї країни або різних країнах, то сума, яку вона витрачає на послуги зв'язку, може бути вельми солідною.

Cisco представила продукти для малих підприємств під брендом Cisco Designed for Business

Cisco представила продукти для малих підприємств під брендом Cisco Designed for Business

Cisco в ході своєї щорічної конференції Partner Summit запропонувала замовникам і партнерам безпечне і гнучке портфоліо, цільову підтримку, розраховану на кілька років інформаційно-освітню кампанію і нарощування партнерських інвестицій для вигідного використання можливостей, що відкриваються в малому бізнесі.

Cisco: ІТ-лідери готові до впровадження ШІ (штучний інтелект) і інтенційно-орієнтованих мереж

Cisco: ІТ-лідери готові до впровадження ШІ (штучний інтелект) і інтенційно-орієнтованих мереж
Cisco,Cisco Network,IoT,cisco,cisco безпека,новини,Послуги Телесфера Інтеграція

Компанія Cisco опублікувала результати опитування, в якому взяли участь більше 2 тис. ІТ-лідерів і розробників мережевих стратегій. Дослідження показало, що головним пріоритетом для ІТ-галузі є максимізація бізнес-цінності, що відображає прагнення до розвитку інновацій і більш тісної координації з бізнес-стратегією.