Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Чекліст для боротьби з фішингом

2019-09-02
Автор: Телесфера

Почну з деяких цифр:

  • 80% успішних атак починається з фішингу (а хтось вважає, що і зовсім 95%)
  • 10% сигналів тривоги в більшості SOC пов'язано з фішинговими атаками
  • Рейтинг успішних кліків на фішингові посилання - 21%
  • Рейтинг завантаження/запуску шкідливих вкладень - 11%

Все це говорить про те, що фішинг залишається однією з основних причин багатьох інцидентів і джерелом проблем для багатьох фахівців з інформаційної безпеки. При цьому фішинг часто недооцінений і боротьба з ним носить досить фрагментарний характер. Тому ми вирішили скласти чекліст, який описує набір організаційних і технічних заходів по боротьбі з цією кіберзагрозою.

Я б виділив 5 наборів заходів щодо захисту від фішингових атак, які необхідно реалізувати на кожному підприємстві:

  • Вивчення інформації. Хто з ваших користувачів вказав свої контактні дані в соцмережах або в інших джерелах? Саме зї збору цих даних починається фішингова атака. Тому не чекайте, коли це зроблять зловмисники, дізнайтеся, як ваша компанія виглядає з точки зору зловмисників.
  • Навчання і підвищення обізнаності персоналу. Так як фішинг орієнтований на некваліфікованих в ІБ користувачів, то з них і треба починати боротьбу з фішингом. І хоча це не гарантує повного захисту, але вбереже їх від простих помилок, з яких і починаються серйозні інциденти.
  • Базові захисні заходи. Перш ніж йти купувати і впроваджувати засоби захисту від фішингових атак, почати все-таки варто з включення базових захисних механізмів, багато з яких вбудовані в поштові сервери і сервіси, поштові клієнти і браузери.
  • Просунуті захисні заходи. Так як фішинг буває досить складним і базові заходи не завжди рятують, то можуть знадобитися і просунуті захисні заходи, які виявляють і нейтралізують фішингову атаку на різні її етапах - від попадання в поштову скриньку або кліка на фішингове посилання до спроби зараження робочої станції або комунікації з командними серверами.
  • Вибудовування процесу. Нарешті, щоб від епізодичних дій щодо захисту перейти до цілісної стратегії захисту, необхідно вибудувати відповідні процеси.

Проаналізуйте інформацію про вас

  • Перевіряйте соціальні мережі і сторінки своїх співробітників, які можуть вказувати свої контактні дані, які будуть використані зловмисниками. Якщо цього не вимагають службові обов'язки, таку інформацію краще не публікувати.
  • Використовуйте спеціалізований інструментарій (наприклад, що входить до складу Kali Linux утиліта TheHarvester або recon-ng) для того, щоб «очима хакера» побачити, які контактні дані можуть бути отримані з Інтернет.
  • Перевірте тайпсквоттінгові домени за допомогою спеціальних утиліт (наприклад, URLcrazy) або хмарних сервісів (наприклад, Cisco Umbrella Investigate).

Навчання і підвищення обізнаності

  • Проведіть навчання не ІБ-співробітників з питань фішингу та соціального інжинірингу та навчіть їх звертати увагу на ознаки фішингових повідомлень і сайтів (наприклад, можна скористатися простим тестом на уважність на сайті Cisco Umbrella).
  • Проведіть навчання співробітників служби ІБ по методам, використовуваним для організації фішингових компаній (наприклад, подивіться запис Cisco Phishing Defense Virtual Summit).
  • Навчіть рядових користувачів перенаправляти в службу ІБ всі підозрілі або явно шкідливі повідомлення, пропущені системою захисту.
  • Впровадити систему комп'ютерного навчання співробітників.
  • Проводьте регулярні фішингові симуляції за допомогою придбаного або безкоштовного ПЗ (наприклад, Gophish) або аутсорсингу даної послуги.
  • Увімкніть тему захисту від фішингу в програму підвищення обізнаності співробітників (наприклад, шляхом використання плакатів, зберігачів екрану, гейміфікації, канцелярських товарів тощо).
  • При необхідності повідомляйте клієнтів і партнерів про фішингових атаках і основні способи боротьби з ними (особливо якщо того вимагає від вас законодавство, як це необхідно фінансовим організаціям в Росії).

Технічні заходи: базові

  • Налаштуйте антифішингові можливості поштових серверів, включаючи і поштові хмарні сервіси (наприклад, Office 365), і клієнтів.
  • Регулярно оновлюйте системне і прикладне ПЗ, включаючи плагіни до браузерів, і операційні системи з метою усунення вразливостей, які можуть бути використані в рамках фішингових атак.
  • Налаштуйте браузери для захисту від відвідування фішингових доменів (за рахунок вбудованих можливостей або додаткових плагінів).
  • Увімкніть на вашому поштовому шлюзі SPF (Sender Policy Framework), який дозволяє перевіряти IP-адресу зовнішнього відправника (перевірка тільки вузла відправника, а не самого повідомлення) для вхідних повідомлень.
  • Увімкніть на вашому поштовому шлюзі DKIM (Domain Keys Identified Mail), який забезпечує ідентифікацію внутрішнього відправника (для вихідних повідомлень).
  • Увімкніть на вашому поштовому шлюзі DMARC (Domain-based Message Authentication, Reporting and Conformance), який запобігає отриманню повідомлень, які виглядають як відправлені легітимними відправниками.
  • Увімкніть на вашому поштовому шлюзі DANE (DNS-based Authentication of Named Entities), який дозволяє боротися з атаками «людина посередині» всередині взаємодії по протоколу TLS.

Технічні заходи: просунуті

  • Впровадити засіб для захисту від фішингових атак в електронній пошті (наприклад, Cisco E-mail Security), що включає різні захисні заходи (аналіз репутації, антивірусний сканер, контроль типів вкладень, виявлення аномалій, виявлення спуфінга, інспекція URL в посиланнях, пісочниця і т. п.).
  • Встановіть засоби захисту на ПК (наприклад, Cisco AMP for Endpoint) або мобільні пристрої (наприклад, Cisco Security Connector) для захисту від шкідливого коду, встановленого на крайовому пристрої в результаті успішної фішингової атаки.
  • Підпишіться на фіди Threat Intelligence для отримання оперативної інформації про фішингових доменах (наприклад, Cisco Threat Grid або SpamCop).
  • Використовуйте API для перевірки доменів/відправників в різних сервісах Threat Intelligence (наприклад, Cisco Threat Grid, Cisco Umbrella і т.п.).
  • Фільтруйте взаємодію з C2 по різним протоколам - DNS (наприклад, за допомогою Cisco Umbrella), HTTP/HTTPS (наприклад, за допомогою Cisco Firepower NGFW або Cisco Web Security) або інших протоколів (наприклад, за допомогою Cisco Stealthwatch).
  • Відстежуйте взаємодію з Web для контролю кліків на посилання в повідомленнях, підвантаження шкідливого ПЗ при запуску вкладень або для блокування фішингу через соціальні мережі.
  • Використовуйте плагіни для поштових клієнтів для автоматизації взаємодії зі службою безпеки або виробником в разі виявлення фішингових повідомлень, пропущених системою захисту (наприклад, Cisco E-mail Security plugin for Outlook).
  • Інтегруйте систему динамічного аналізу файлів ( «пісочницю») з системою захисту електронної пошти для контролю вкладень в повідомлення електронної пошти (наприклад, Cisco Threat Grid).
  • Інтегруйте ваш центр моніторингу безпеки (SOC) або систему розслідування інцидентів (наприклад, Cisco Threat Response) з системою захисту електронної пошти для оперативного реагування на фішингові атаки.

Процеси

  • Розробіть регламент роботи зі зверненнями клієнтів або інших осіб, які заявляють про виявлення тайпсквоттінгових доменів або доменів-клонів.
  • Розробіть регламент (playbook) моніторингу тайпсквоттінгових доменів або доменів-клонів, включаючи і реагування на них.
  • Розробіть регламент (playbook) моніторингу фішингових атак, включаючи і реагування на них.
  • Розробіть регламент і шаблони повідомлення ФінЦЕРТ (для фінансових організацій) і ГосСОПКА (для суб'єктів КВІ) про фішингові атаки.
  • Проводьте розслідування фішингових доменів (наприклад, за допомогою Cisco Umbrella Investigate) з метою отримання інформації про нові фішингові домени, які можуть бути використані в майбутньому.
  • Розробіть регламент взаємодії з уповноваженими організаціями (наприклад, ФінЦЕРТ або НКЦКІ) для розделегування фішингових доменів.
  • Розробіть систему показників оцінки ефективності захисту від фішингу.
  • Розробіть систему звітності по антифішинговому захисту і відстежуйте її динаміку.
  • Організовуйте регулярні кібернавчання по антифішинговому захисту для своїх співробітників.
  • Розробіть політику використання e-mail в організації.

Чим повніше буде реалізований даний чекліст, тим ефективніше буде ваш захист від фішингу.

Джерело: https://habr.com/ru/company/cisco/blog/465085/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Платформа для спільної роботи Cisco Webex стає ще безпечніше

Платформа для спільної роботи Cisco Webex стає ще безпечніше
Cisco,cisco,cisco безпека,Налаштування Cisco,новини

Корпорація Cisco представила розширення Webex Control Hub Extended Security Pack, яке покликане зробити використання платформи для спільної роботи ще зручніше і безпечніше. Як зазначається, додатки Cisco для організації віддаленої взаємодії між співробітниками вибирають 95% компаній, що входять в список Fortune 500.

Cisco представила інновації в області мереж зберігання даних

Cisco представила інновації в області мереж зберігання даних
Cisco,cisco,новини,Налаштування Cisco,cisco безпека

Cisco представила ряд інновацій в сфері мереж зберігання даних (Storage Area Networking, SAN). Серед них - комутатор директорного класу, готовий до підтримки 64 Гбіт/с, рішення SAN NVMe/FC Analytics для глибокого аналізу мереж SAN і розширений інструментарій DevOps.

Cisco представила комутатор MDS 9700 з підтримкою швидкості 64 Гбіт/с

Cisco представила комутатор MDS 9700 з підтримкою швидкості 64 Гбіт/с
Cisco,cisco,Типові рішення,Налаштування Cisco,новини

Компанія Cisco анонсувала готовність до підтримки швидкості 64 Гбіт/с на платформі MDS 9700, з урахуванням вимог протоколу NVMe (non-volatile memory express) і масивів All-Flash.