Poczta elektroniczna. Używamy jej wszyscy. Stała się powszechnym medium komunikacji i nie wyobrażamy sobie życia bez niej. Stanowi też ważny element infrastruktury IT w firmach. Niestety dzięki swojej popularności poczta elektroniczna jest często wykorzystywana do przeprowadzania cyberataków. Proces wygląda następująco: wiadomość trafia do skrzynki odbiorczej znajdującej się na komputerze, który jest często podłączony do wewnętrznej sieci firmowej, przez którą dostarczany jest złośliwy kod wprost w ręce użytkownika. Jeśli obecne po drodze systemy bezpieczeństwa zawiodą, o infekcji decyduje sam użytkownik, który często zupełnie nieświadomie otwiera niebezpieczny załącznik.
W świecie IT istnieje wiele metod radzenia sobie z problemem ochrony poczty elektronicznej – lepsze i gorsze. Niektóre organizacje uznają, że poczta powinna być w pełni oczyszczona z każdej, nawet potencjalnie szkodliwej zawartości. Kasowanie wszystkich plików, dokumentów, pdf’ów czy archiwów z firmowej poczty pozwala niektórym działom IT spać spokojnie. Niestety tego typu podejście stanowi wielki problem dla pracowników takiej firmy, którzy wykorzystując swoją kreatywność na pewno znajdują jakieś obejście.
Znany jest przypadek postępowania, w którym administratorzy w celu „zwiększenia poziomu bezpieczeństwa komunikacji email” postanowili, że każdy przesyłany w korespondencji załącznik dostanie rozszerzenie „.virus”. Dzięki temu użytkownik „pomyśli dwa razy” zanim kliknie. Faktycznie, każdy załącznik z poczty trzeba zapisać i zmienić mu rozszerzenie przed otwarciem, co stanowi dodatkowe obciążenie dla pracowników. W tym przypadku „bezpieczeństwo” jest przedkładane nad wygodę używania systemu. Niestety pożytek z tego żaden, bo po pewnym czasie użytkownicy przyzwyczają się, że tak należy robić i dalej „automatycznie” będą klikać w pliki, w które nie powinni.
Rozsądnym rozwiązaniem jest wdrażanie zaawansowanych mechanizmów ochrony poczty elektronicznej. W większości organizacji istnieje brama pocztowa, która filtruje spam, często też sprawdza, co znajduje się w załącznikach i na podstawie detekcji sygnaturowych jest w stanie usunąć znany malware. Niestety skuteczność tych klasycznych rozwiązań w obronie przed zaawansowanym malware’m, który bardzo szybko mutuje i jest napisany w taki sposób, by obejść klasyczne systemy ochrony, jest dość niska.
Dlatego istnieją systemy ochrony, które pozwalają na wykonanie analizy potencjalnie złośliwej zawartości w kontrolowanym środowisku zwanym sandbox’em – wszystko to dzieje się zanim wiadomość trafi do skrzynki użytkownika. Mogą to być dedykowane systemy, które uzupełniają bramę pocztową, stojąc za rozwiązaniem antyspamowym lub systemy zintegrowane z bramą i antyspamem. Ważne jest, aby tego typu rozwiązanie umożliwiało przeprowadzenie analizy w środowisku najbardziej zbliżonym do tego, które jest używane w firmie. Chodzi o to, aby obrazy maszyn, które używane są do testowania próbek (plików, adresów URL), były w tej samej wersji językowej, z tym samym systemem operacyjnym oraz pakietem oprogramowania biurowego co firmowe komputery. Zdarzają się bowiem przypadki złośliwego oprogramowania, które na przykład wykonuje się tylko w systemie w konkretnej wersji językowej. Analiza próbki nie powinna trwać zbyt długo, aby odbiorca nie czekał na swoją wiadomość. Na szczęście użytkownicy są przyzwyczajenie do niewielkich opóźnień w doręczeniu poczty i są skłonni zaczekać, zanim zadzwonią po wsparcie.
Dzięki zastosowaniu analizy sandbox możliwe jest złapanie i zablokowanie nowego, nieznanego malware’u na podstawie obserwacji jego aktywności w testowym systemie. Analiza taka daje najczęściej bardzo dobre rezultaty, a lista obiektów podejrzanych, która zostaje na jej podstawie wytworzona może zostać użyta do zablokowania propagacji konkretnych plików lub komunikacji sieciowej.
Pojawia się tylko jeden problem – w dzisiejszych czasach migracja poczty do chmury staje się coraz powszechniejsza. Jak poradzić sobie z zabezpieczeniem systemów, gdy serwery pocztowe znajdują się u operatora chmury? Można w takiej sytuacji pozostawić system ochrony w wersji „on-premise” w lokalnej serwerowni, ale cały ruch pocztowy musiałby w dalszym ciągu przechodzić przez firmowe centrum przetwarzania danych, co może stanowić poważne ograniczenie. Dlatego stworzono systemy do walki z zaawansowanymi zagrożeniami e-mail, hostowane w chmurze, podobnie jak sama poczta. Systemy mogą integrować się z usługą na dwa sposoby – albo poprzez interfejs programistyczny (API) albo w ścieżce przetwarzania poczty, tak jak klasyczna brama pocztowa. Integracja przez API jest najszybszym sposobem na wdrożenie ochrony, nie trzeba bowiem przekierować ruchu na nowe adresy. Jej największym ograniczeniem jest jednak ograniczenie samego API, za które odpowiada dostawca poczty. Rozwiązania chmurowe do ochrony poczty powinny także mieć możliwość przeprowadzenia analizy w sandbox’ie. A z uwagi na sposób wysyłania załączników powinny także integrować się z dyskami chmurowymi, takimi jak onedrive, dropbox, czy box, aby możliwa była analiza załączników przez nie udostępnianych.
Nowoczesne systemy ochrony potrafią wykorzystywać algorytmy uczenia maszynowego do detekcji malware’u oraz spamu. Pozwalają ochronić przed atakami klasy Business E-mail Compromise, w których atakujący podszywając się pod ważne osoby w firmie, próbują nakłonić pracowników do wykonania przelewu na obce konto. Ataki te są trudne do wykrycia, bo w takiej wiadomości nie ma ani załączników, ani nawet odnośników. Atakiem jest sama treść, która ponagla, zmusza do działania pod presją. System ochrony konfigurujemy poprzez podanie listy ważnych osób w firmie, które mają uprawnienia do zlecania przelewów.
System dostając wiadomość koreluje dane z nagłówka i z treści i dzięki analizie przy użyciu algorytmów uczenia maszynowego określa, z jakim prawdopodobieństwem jest to atak BEC. Jeśli prawdopodobieństwo jest wysokie wiadomość może zostać przeniesiona do kwarantanny, a jeśli jest średnie można ją „ostemplować” odpowiednim tekstem, sugerującym użytkownikowi kontakt telefoniczny w celu weryfikacji autentyczności takiego polecenia. Rozwijane są także systemy, które pozwalają na ochronę przed atakiem BEC przeprowadzonym nawet po przejęciu konta jednego z VIP’ów. Tu algorytm uczenia maszynowego musi zostać wytrenowany przy użyciu historycznej korespondencji, w celu rozpoznania cech szczególnych stylu pisania. Później wysłane wiadomości sprawdzane są pod kątem tych samych cech. Jeśli wiadomość napisana została przez kogoś innego, używającego innego stylu, może zostać ostemplowana lub skasowana. Na dzień dzisiejszy detekcja stylu pisania dotyczy języka angielskiego oraz japońskiego.
Na koniec warto wspomnieć, że oprócz wdrażania skutecznych systemów ochrony, regularne szkolenie pracowników i podnoszenie poziomu ich wiedzy oraz odporności na phishing jest tutaj kluczowe. Nawet najskuteczniejsze narzędzie do ochrony czasem polegnie w starciu z kreatywnością i determinacją cyberprzestępców. Dlatego warto edukować pracowników, bo to oni stanowią ostatnią linię obrony. Problem dotyczy także ich prywatnego życia, więc powinni być chętni do współpracy przy tego typu szkoleniach. Istnieją systemy wspomagające edukację anty-phishingową. Pozwalają na wysłanie celowanych kampanii, które udają powiadomienia z Facebooka lub mail z IT. W wiadomości znajduje się jednak odnośnik do przygotowanej odpowiednio strony z formularzem logowania. System sprawdza, czy ktoś kliknął w odnośnik oraz, czy ktoś wprowadził dane (login/hasło). Na tej podstawie tworzone są raporty pozwalające zobrazować stan przygotowania personelu na atak phishingowy oraz wygenerować kolejne kampanie, na przykład do osób, które za pierwszym razem nie uległy pokusie kliknięcia.
Tylko połączenie edukacji użytkowników z najlepszymi systemami ochrony pozwoli skutecznie ochronić nasze organizacje przed coraz bardziej wyrafinowanymi atakami na pocztę elektroniczną.