Phishing mailovi su čak i sa najsofisticiranijim dostupnim sistemom za skeniranje mailova i dalje vrlo čest način upada koji digitalni kriminalci koriste kako bi uveli zlonamjerne softvere, uključujući i ransomware u vaše mreže. To se dešava zato jer je efikasnost phishing mailova biva velika čak i kod onih osoba koje su dobre u uočavanju grešaka. Nažalost, ni medijske organizacije nisu imune, pa često bivaju žrtve phishing napada.
Kada su legitimni sistemi mailova ugroženi i počnu slati zlonamjerne e-poruke iz valjanog izvora, učinkovitost phishinga se povećava. To znači da je sve teže prepoznati phishing mailove, jer dolaze sa valjanih adresa, budući da su kompromitovane, pa se osobama koje dobiju mailove ne čini da bi tu nešto moglo da bude pogrešno.
Ova vrsta kompromitiranja sistema je iznimno opasna i čini mehanizme provjere autentičnosti mailova kao što su DMARC, SPF i DKIM beskorisnima budući da mail potiče iz ovlaštenog izvora, što znači da je malo vjerovatnije da će softver za zaštitu od neželjene pošte i krađe identiteta označiti poruku kao zlonamjernu.
Bez obzira na stvarnu učinjenu štetu, ostaje činjenica da takvi kompromitirajući sistemi omogućavaju zlonamjernim akterima da izvedu vrlo učinkovite phishing napade.
Zato se postavlja pitanje ako je sistem mailova ugrožen, što organizacije mogu učiniti da zaštite svoje mreže od takvih napada?
Postoje mnogi resursi koje bi mrežni i sigurnosni profesionalci/ke trebali koristiti za zaštitu poslovanja od velikih napada. Neki od tih resursa su napredna sigurnost mailova, sistemi za otkrivanje i prevenciju napada, te detekcija mreže temeljena na protoku i odgovoru (NDR).
Napredna sigurnost mailova
Iako sigurnost mailova može biti probijena, kao što smo već spomenuli, postoje neke funkcije unutar sigurnosti mailova koje bi trebale biti omogućene kako bi vjerovatnost zaraze od kompromitirajućih mailova bila što manja.
Jedan od najučinkovitijih načina zaustavljanja phishing napada je omogućiti zaštitu veza u postavkama korporativnih mailova. Takve zaštite omogućavaju da sistem mailova otvara sve veze i uklanja one koje vode do preuzimanja zlonamjernog softvera. Naravno, ova zaštita ne može odbraniti od svih zlonamjernih poveznica, ali svakako može pomoći u smanjenju broja zlonamjernih veza koje dospiju do pristigle pošte.
Postavljanje viših razina filtera za neželjenu poštu također može pomoći u blokiranju mailova koje imaju zlonamjerne namjere. Ove postavke koriste napredno heurističko modeliranje za traženje loše sročenih mailova ili mailova koji imaju tekst poput drugih poznatih zlonamjernih mailova. Opet, iako nije savršena, svakako je važna prva linija odbrane.
Sistemi za otkrivanje i prevenciju upada
Nadamo se da sve organizacije već imaju postavljene zaštitne zidove kako bi spriječili dolazak poznatih zlonamjernih programa na mrežu. Međutim, poznato je da neki nemaju uspostavljene sisteme za blokiranje širenja zlonamjernog softvera nakon što uđe. Sistemi za otkrivanje i prevenciju upada omogućavaju organizacijama da pronađu (otkrivaju) i eliminišu/promijene (spriječe) napad prije nego što on preuzme druge sisteme. Ti se sistemi često koriste kao koordinirani napor sa zaštitom krajnje tačke (antivirus) koja pomaže eliminisati viruse i uobičajeni zlonamjerni softver.
Važno je naglasiti da ovakvi sistemi, iako su sofisticirani, nisu toliko učinkoviti u pronalaženju relativno novog zlonamjernog softvera ili zlonamjernog softvera koji je učinkovit u skrivanju tokom dužeg vremenskog razdoblja. To je zato što sistem gleda na pakete dok prolaze kroz mrežu i stoga često propušta zlonamjernu aktivnost koja se kreće mrežom u sporadičnim vremenskim intervalima tokom dana ili mjeseci. Stoga ih, poput napredne sigurnosti e-pošte, treba uključiti kao dio šireg pristupa koji uključuje i druge odbrane.
Detekcija mreže temeljena na protoku i odgovoru (NDR)
Još jedna važna tačka višeslojnog pristupa je otkrivanje mreže i odgovora (NDR), koju stručnjaci za sigurnost mogu koristiti za otkrivanje sumnjivog prometa i analizu/blokiranje zlonamjernog softvera koji prolazi kroz druge sigurnosne sisteme.
Prema Gartneru, NDR sistemi rade tako što primjenjuju “strojno učenje i druge analitičke tehnike na mrežni promet” i “pomaže kompanijama da otkriju sumnjiv promet koji nedostaju drugim sigurnosnim alatima”. NDR alati temeljeni na ponašanju i protoku nadopunjuju rješenja za detekciju temeljena na potpisu jer mogu otkriti neuravnoteženo ponašanje na temelju prethodno poznatog mrežnog prometa.
Potreba sa sveobuhvatnijim pristupom
Kombinovanjem ove tri opcije može se doći do veće zaštite od phishing napada. Ali imajte u vidu da pored ovih opcija postoji još niz resursa koje možete koristiti kako biste se još više zaštitili. Ipak, ove opcije mogu doprinijeti smanjenju učinkovitosti naprednih napada krađe identiteta. Uvođenjem višeslojnog sigurnosnog pristupa, čak i kada su sistemi trećih strana ugroženi, sigurnosni timovi učinkovitiji su u sprječavanju širenja zlonamjernog softvera kroz njihovu mrežu.
