3 лучших инструмента для защиты от фишинговых атак

Фишинговые электронные письма теперь обходят традиционную защиту. Джастин Джетт, директор по аудиту и комплаенсу Plixer, обсуждает, что с этим делать.

Даже при наличии самой совершенной системы сканирования электронной почты и обнаружения фишинга фишинговые электронные письма по-прежнему являются очень распространенным вектором вторжений, который киберпреступники используют для внедрения вредоносных программ, в том числе программ-вымогателей, в корпоративную сеть. Это потому, что 1) все чаще используются легитимные системы; и 2) фишинговые электронные письма также могут быть эффективными, даже если сотрудники высокообразованы и умеют замечать их и сообщать о них.

К счастью, есть тактика для защиты вашей сети, даже если рассылку электронных писем невозможно остановить сразу.

Все более эффективный фишинг

Когда легитимные почтовые системы скомпрометированы и начинают рассылать вредоносные электронные письма из действительного источника, эффективность фишинга возрастает. Именно это произошло на выходных, когда одна из почтовых систем ФБР была взломана, чтобы рассылать поддельные предупреждения о кибербезопасности тысячам людей.

Хотя в отправленном электронном письме не было никаких фишинговых ссылок, оно показывает, что такие взломы электронной почты могут создать серьезные проблемы безопасности для ИТ-специалистов. Большинство людей, получивших электронное письмо, вряд ли усомнятся в его легитимности — даже если они посмотрят на заголовки электронных писем — потому что электронное письмо пришло оттуда, откуда, по его словам, оно пришло (в приведенном выше случае — от ФБР).

Такой вид компромисса чрезвычайно опасен; он делает бесполезными такие механизмы аутентификации электронной почты, как DMARC, SPF и DKIM, поскольку электронная почта исходит из авторизованного источника; Это означает, что антиспам и антифишинговые программы вряд ли пометят сообщение как вредоносное.

Независимо от фактического ущерба, факт остается фактом: такие взломы позволяют злоумышленникам выполнять очень эффективные фишинговые атаки. Итак, если система электронной почты была взломана, что организации могут сделать, чтобы защитить свои сети от таких атак?

Защита сети, когда фишинг невозможно остановить сразу

Специалисты по сетям и безопасности должны использовать множество ресурсов для защиты бизнеса от крупных атак. Хотя было бы слишком исчерпывающим перечислять их все, давайте рассмотрим хорошо продуманный, многоуровневый подход, чтобы попытаться помешать этим атакам получить контроль над сетью:

1. Расширенная защита электронной почты

Хотя безопасность электронной почты не является безошибочной, как обсуждалось выше, в системе безопасности электронной почты есть некоторые функции, которые следует включить, чтобы вероятность заражения из-за компрометации электронной почты была как можно ниже.

Один из наиболее эффективных способов остановить фишинговые атаки — включить защиту ссылок в настройках корпоративной электронной почты. Такая защита позволяет почтовой системе открывать любые ссылки и удалять те, которые ведут к загрузке вредоносных программ. Очевидно, что эта защита не может защитить от всех гнусных ссылок, но она, безусловно, может помочь уменьшить количество вредоносных ссылок, которые попадают в почтовые ящики.

Установка более высоких уровней спам-фильтра также может помочь заблокировать электронные письма со злым умыслом. В этих настройках используется расширенное эвристическое моделирование для поиска писем с плохой формулировкой или писем с формулировкой, аналогичной другим известным вредоносным письмам. Опять же, хотя это и не идеально, это, безусловно, важная первая линия защиты.

2. Системы обнаружения и предотвращения вторжений

Будем надеяться, что во всех организациях уже есть брандмауэры, которые блокируют попадание известных вредоносных программ в сеть; однако в некоторых из них нет систем, блокирующих распространение вредоносных программ после их проникновения. Системы обнаружения и предотвращения вторжений позволяют организациям обнаруживать (обнаруживать) и устранять / изменять (предотвращать) атаку, прежде чем она сможет захватить другие системы. Эти системы часто используются как согласованные усилия с защитой конечных точек (антивирус), которая помогает устранять вирусы и распространенные вредоносные программы.

Здесь есть одно предостережение: эти системы, хотя и очень сложные, не так эффективны при обнаружении относительно новых вредоносных программ или вредоносных программ, которые эффективно скрываются в течение длительных периодов времени. Это связано с тем, что система просматривает пакеты, когда они проходят по сети, и поэтому часто пропускает вредоносную активность, которая перемещается по сети через спорадические промежутки времени в течение нескольких дней или месяцев. Таким образом, они, как и повышенная безопасность электронной почты, должны быть включены в более широкий подход, включающий другие средства защиты.

3. Обнаружение потоковой сети и ответ на нее (NDR)

Еще одним важным аспектом многоуровневого подхода является обнаружение сети и ответ на нее (NDR), который специалисты по безопасности могут использовать для обнаружения подозрительного трафика и анализа / блокировки вредоносных программ, которые проходят через другие системы безопасности.

Согласно Gartner , системы отчетов о недоставке работают, применяя «машинное обучение и другие аналитические методы к сетевому трафику», и «помогают предприятиям обнаруживать подозрительный трафик, который отсутствует у других инструментов безопасности». Поведенческие инструменты NDR на основе потоков дополняют решения для обнаружения на основе сигнатур, поскольку они могут обнаруживать аномальное поведение на основе ранее известного сетевого трафика.

Сбалансированный подход

Эти три варианта, а также обучение пользователей, обнаружение конечных точек и другие передовые методы могут способствовать снижению эффективности сложных фишинговых атак. Развертывая многоуровневый подход к безопасности, даже при взломе сторонних систем группы безопасности более эффективны в предотвращении распространения вредоносных программ по своей сети.