Захист від соціальної інженерії є надзвичайно важливим аспектом сучасної кібербезпеки. Соціальна інженерія, що базується на маніпулюванні людським фактором, стає все більшою загрозою для організацій і приватних осіб. Шахраї та зловмисники використовують хитрі та обманливі методи, щоб отримати доступ до конфіденційної інформації, виконати фішингові атаки або провести шкідливі дії. Ефективний захист від соціальної інженерії передбачає прийняття конкретних стратегій та заходів безпеки. Серед них: Свідомість: Навчання користувачів про основні методи соціальної інженерії, розпізнавання підозрілої активності та надання знань про правила безпеки є першим кроком у забезпеченні захисту. Сильні паролі: Використовуйте унікальні та складні паролі для всіх облікових записів та періодично їх змінюйте, щоб ускладнити завдання зловмисникам.
Перевірка ідентифікації: Будьте пильними щодо надання особистої чи фінансової інформації. Перевіряйте автентичність осіб або організацій, які звертаються до вас з проханнями про конфіденційні дані. Уважність до посилань та вкладень: Уникайте відкривання незнайомих або підозрілих посилань та файлів, оскільки вони можуть містити шкідливе програмне забезпечення Тепер, коли ми розглянули основи соціальної інженерії та збору OSINT, настав час поговорити про те, як організація може мінімізувати вплив цих атак або навіть повністю їх запобігти. Хоча мало кому вдається зупинити всі атаки, ви можете зробити кроки, щоб зменшити ймовірність успіху атаки противника і згладити її наслідки, якщо вона все ж таки відбудеться. У цьому розділі розглядаються три такі методи: програми підвищення обізнаності, моніторинг репутації та реагування на інциденти. Ми обговоримо елементи успішної програми підвищення обізнаності, пояснимо, як запровадити моніторинг OSINT та технічні засоби контролю електронної пошти, забезпечити інтеграцію з реагуванням на інциденти та нарешті виконувати активне виявлення загроз.
Інформаційні програми – це ініціативи компанії, призначені для надання рекомендацій користувачам у ситуаціях, коли вони стикаються з атаками соціальної інженерії або, як це часто буває, стають їх жертвами. Ці програми необхідні, оскільки дозволяють ознайомити користувачів з тактикою потенційних зловмисників і тим самим уникнути потенційно негативного результату.
Одним із підходів до проведення таких тренінгів є інформування користувачів про загальні тенденції в індустрії безпеки. Однак обійтися тільки загальними порадами зазвичай не представляється можливим. Сподіваємося, що попередні розділи цієї книги допомогли вам зрозуміти, що традиційних правил безпеки, таких як пошук зеленого замка в адресному рядку веб-браузера, перевірка орфографії та граматики в електронних листах та адресах посилань, більше недостатньо для запобігання фішинговим атакам. Звичайно, деякі початківці зловмисники все ж допускають ці помилки. Але досвідченим хакерам, які можуть завдати катастрофічної шкоди організації, таким помилкам не властиві.
Найкращий підхід – інформувати користувачів про конкретні проблеми, з якими стикається організація в результаті фішингу. Наприклад, якщо існує наплив електронних листів від нігерійського принца або агресивна кампанія компрометації ділової електронної пошти, яка надсилає електронні листи від імені фінансового директора, інформування користувачів про деталі допоможе їм краще протистояти цим атакам. Користувачі, ймовірно, зіткнуться з однією з цих конкретних атак, тому вони повинні знати, чого їм слід остерігатися.
Хоча навчання слід проводити часто, щоб тримати користувачів в курсі поточних тенденцій, ви також не повинні відволікати їх від їх прямих посадових обов’язків. Пропонування заходів з підвищення обізнаності досить часто, щоб користувачі могли запам’ятовувати уроки, не заважаючи роботі, є тонким балансом. Рекомендую тренуватися хоча б раз на квартал. Хоча щомісячні тренінги забезпечують більшу безпеку, вони можуть бути обтяжливими як для користувачів, так і для тих, хто керує програмою.
Під час цього періодичного освітнього заходу необхідно надати приклади фішингових електронних листів, які організація отримувала з моменту останнього тренінгу. Якщо ваша організація провела будь-яке тестування, ви також можете надати користувачам статистику та висновки, подібні до тих, що обговорювалися в розділі 9. Найголовніше – розповісти користувачам, які дії вони повинні зробити, якщо отримають фішинговий електронний лист, і що робити, якщо стануть жертвою.
Обговорюючи приклади фішингових електронних листів, зверніть увагу на будь-які підказки, які вказують на те, що електронні листи підроблені. Робіть це з точки зору логіки, мови та техніки. Звертайте увагу на будь-які запити, які порушують стандартні операційні процедури або причини. Наприклад, запитайте, чому фінансовому директору, який перебуває у відпустці в Таїланді, раптом знадобилося бухгалтерії, щоб терміново перевести кілька мільйонів на рахунок PayPal, а потім відправити повідомлення в Беліз. Вкажіть на граматичні помилки, які можуть включати пропущені ключові фрази, різні правила правопису або використання неправильного терміну для позначення співробітників (партнер для Walmart і акторський склад для Disney). Навчіть користувачів наводити курсор на посилання, щоб побачити сторінку, на яку їх надсилає електронний лист. Заохочуйте їх пересилати підозрілі електронні листи службі безпеки. Відмовляйте їх від пересилання листів щастя або відповіді на підозрілі повідомлення без попередньої консультації зі службою безпеки.
Одна з основних причин, чому люди не повідомляють, що стають жертвами фішингових електронних листів – будь то перехід за посиланням, завантаження шкідливого файлу або введення інформації у веб-форму – полягає в тому, що вони бояться покарання або навіть бояться втратити роботу. Але неповідомлена успішна спроба фішингу може призвести до значних простоїв або, якщо організація стала жертвою вимагацького ПЗ, покупки величезної кількості біткойнів для розшифровки даних.
Співробітники повинні знати, що цілком прийнятно і навіть необхідно повідомляти про те, що вони стали жертвами атаки соціальної інженерії. Хоча потім їх можуть направити на додаткове навчання, в результаті їм не доведеться розсилати своє резюме в пошуках нової роботи. Багато фірм соціальної інженерії включають в договори, які вони укладають зі своїми клієнтами, положення, що забороняють звільняти співробітників за результатами перевірки. На моїй пам’яті, цей пункт договору не застосовувався в суді. Я особисто не брав участі в жодному судовому процесі щодо такої ситуації, і я не знаю нікого, хто був причетний. Проконсультуйтеся з юристом щодо законів вашої країни, перш ніж намагатися включити такий пункт у свій контракт.
У рідкісних випадках співробітників доводиться звільняти, тому що вони не можуть зрозуміти (або не бажають дотримуватися) ключових концепцій безпеки. Такі співробітники стають скоріше тягарем, ніж активом. Однак розірвання трудового договору з працівником має бути крайнім заходом. Почніть з вичерпання всіх спроб навчити співробітника, в тому числі виходу за рамки звичних програм обізнаності. Також спробуйте впровадити додатковий технічний контроль.
Хоча не в ваших інтересах карати людей за помилки, корисно заохочувати хорошу поведінку. Однак, знову ж таки, робити це правильно – це тонке мистецтво. Причина делікатності цього питання в тому, що іноді люди намагаються обдурити систему.
Як приклад того, як стимули можуть працювати погано, розглянемо, що сталося з Wells Fargo в 2016 році. У період з 2009 по 2015 рік Wells Fargo встановила недосяжні цілі продажів для своїх співробітників. Пізніше він виявив, що ці цілі спонукали 5300 співробітників створити підроблені облікові записи Wells Fargo, в деяких випадках для сім’ї та друзів, а в інших – для абсолютно незнайомих людей.
Щоб співробітники не обманювали систему, уникайте прямої винагороди за повідомлення про більшість спроб фішингу. Це спровокує співробітників навмисно потрапляти в списки фішингу, створюючи додаткову роботу для команди безпеки. Натомість ви можете заохочувати повідомлення про розумні чи унікальні фішингові електронні листи чи щось подібне – це навіть краще. Ідея полягає в тому, щоб заохочувати повідомлення взагалі, а не найбільшу їх кількість. Якщо організація засновує винагороду на кількості, а співробітники навмисно інсценують кейси, в кінцевому підсумку може статися справжня фішингова атака, і користувачі стають жертвою; Тим часом служба безпеки буде зайнята аналізом інших листів, пересланих їм.
Ось кілька безкоштовних або недорогих призів, які ви можете запропонувати:
Подарункова карта до мережевого магазину або кав’ярні;
Безкоштовне паркувальне місце на тиждень;
Участь у розіграші великого призу;
Безкоштовний обід у корпоративному кафе протягом тижня.
Щоб закріпити правильну поведінку співробітників, запропонуйте їм винагороду у вигляді матеріальної цінності. Це сама по собі соціальна інженерія, але вона спрямована на досягнення позитивних результатів для співробітників і організації.
Хоча існує певна невідповідність, проведення фішингових кампаній як частини ваших навчальних зусиль допомагає перевірити здатність ваших співробітників протистояти реальним спробам фішингу та оцінити реакцію організації в цілому.
Перший вибір, який ви повинні зробити, вирішивши імітувати фішингову кампанію, полягає в тому, чи проводити навчальну атаку власними силами або найняти для цього третю сторону. Щоб вибрати оптимальний варіант для своєї компанії, запитайте себе, як часто ви плануєте проводити подібні заходи і який у вас бюджет. За допомогою аутсорсингу фішингові завдання можуть зайняти від 4 до 24 годин оплачуваної роботи за взаємодію, залежно від бажаного ТЗ, масштабу та складності. Якщо ви віддаєте перевагу внутрішньому тестуванню, вам потрібно з’ясувати, хто буде виконувати завдання, які інші їхні обов’язки та який вплив матиме їхня заклопотаність атакою на вашу безпеку. Якщо у вас є кошти для придбання послуги моделювання фішингу у такої технологічної компанії, як Proofpoint, Cofense або KnowBe4, ви також можете піти цим шляхом.
Репутаційний та OSINT-моніторинг
Проактивний OSINT-моніторинг так само важливий, як і проактивна соціальна інженерія. OSINT-моніторинг, або практика періодичного проведення OSINT щодо себе або своїх клієнтів, також іноді називають моніторингом бренду та репутації або моніторингом даркнету. Перевага OSINT-моніторингу в будь-якій формі і різновиді полягає в тому, що він дозволяє організації побачити, що можуть побачити потенційні зловмисники. Це дозволяє організації діяти належним чином перед атакою, будь то видалення даних, якщо це можливо, посилення моніторингу або поширення дезінформації.
Оскільки OSINT має переважно пасивно-спостережливий характер, ви не можете навчити користувачів поводитися так, як зловмисники не можуть збирати OSINT. Крім того, дуже складно виявити сам факт збору OSINT. У багатьох випадках джерелом OSINT можуть бути облікові записи користувачів, і організація не може змусити користувача видалити щось із соціальних мереж, якщо це не порушує права інтелектуальної власності відповідно до Закону про авторське право в цифрову епоху (DMCA) або будь-якого іншого правового регулювання.
Впроваджуючи програму OSINT-моніторингу, зосередьтеся на пошуку інформації, яка може становити ризики для бізнесу. Не використовуйте моніторинг як засіб шпигунства або втручання в конфіденційність співробітників. Одним із простих способів переконатися, що ваше тестування залишається етичним, є передача OSINT-моніторингу на аутсорсинг (про це йтиметься далі в розділі «Аутсорсинг»).
Якщо ваша організація вирішує впровадити власну програму OSINT та моніторингу репутації, вона повинна вирішити, на які параметри спиратися і в яких рамках працювати. При цьому потрібно відповісти на питання «що?», «коли?» і «як тестувати?». Оскільки співробітники можуть опублікувати що завгодно в будь-який час, щомісячне або щоквартальне тестування є хорошим рішенням. В іншому випадку багато міркувань, необхідних для налаштування фішингової кампанії, застосовуються і тут. Тестування буде автоматизованим чи ручним? Який ваш бюджет? Наскільки глибокою має бути взаємодія? Яке покриття? Як ви забезпечите дотримання права ваших співробітників на недоторканність приватного життя та можливість публікувати повідомлення в соціальних мережах?
Визначення обсягу ручного тестування, яке необхідно зробити, сприяє більш точній оцінці бюджету. Щоб хтось активно шукав OSINT про організацію, потрібно заплатити цьому аналітику (і, можливо, роботодавцю аналітика). Автоматизовані сервіси цього не вимагають, але власник може стягувати плату за користування сервісом.
Визначити обсяг дослідження, аналогічний тому, який використовується для завдань соціальної інженерії. Це необхідно для того, щоб не порушувати конфіденційність ваших співробітників. Хоча організація повинна бути стурбована тим, яку інформацію постачальники, співробітники, підрядники, відвідувачі та партнери публікують для громадськості, уникайте пошуку вмісту, яким співробітники діляться приватно між собою або з друзями. Не змушуйте їх зв’язуватися з вами в соціальних мережах або намагатися приєднатися до своїх списків друзів, використовуючи підроблені облікові записи.
З мого досвіду, часто краще передати OSINT та репутаційний моніторинг третій стороні. Коли треті сторони збирають OSINT-дані про ваших співробітників, ви можете позбутися страху, що організація шпигує за співробітниками. Це також тримає команду безпеки вашої організації подалі від особистих облікових записів, що належать іншим працівникам, що зменшує ймовірність звинувачення в переслідуванні чи вимаганні. Нарешті, він запобігає випадкам зловживань під гаслом безпеки.
Окрім запобігання заявам про вимагання, залучення третіх осіб до проведення OSINT-моніторингу дозволяє слідчим працювати з мінімальною упередженістю.
Вони діють більше як сито, ніж насос, а це означає, що вони відфільтровують сторонню інформацію, не пов’язану з безпекою, часто за допомогою автоматизованих веб-сканерів, без будь-якого наміру, і надають організації лише відповідну інформацію.
Реагування на інциденти
Реагування на інцидент – це набір заздалегідь визначених дій, які організація зробить, якщо несприятлива подія відповідає критеріям, які класифікують його як інцидент. Частиною підготовки до реагування на інциденти є роздуми про те, що може статися, якщо соціальна інженерія виявиться успішною. Решта стосується вивчення взаємодії всередині вашої компанії, щоб ви могли вжити заходів для запобігання масштабного або катастрофічного Вплив. Як я вже говорив раніше в цій книзі, рішення про те, які дії робити, не повинно прийматися в розпал активної кампанії соціальної інженерії.
Інститут SANS, дослідницька та навчальна організація з безпеки, визначає цілісний процес реагування на інциденти, який включає наступні етапи: підготовка, ідентифікація, стримування, виправлення, відновлення та отримані уроки (рисунок 10.1). Цей стандарт реагування на інциденти, також відомий як PICERL (підготовка, ідентифікація, стримування, викорінення, відновлення, уроки), враховує весь життєвий цикл інциденту, починаючи з моменту його виникнення класифікація і закінчуючи аналізом після його дозволу. На кожному етапі ви визначаєте кроки, необхідні для мінімізації впливу атаки, якнайшвидшого відновлення послуг та усунення першопричини події.
На етапі підготовки, який часто виростає з фази навчання з попереднього інциденту, ви передбачаєте майбутні інциденти, запускаючи програми підвищення обізнаності, запускаючи фішингові симуляції та відстежуючи свій OSINT.
Фаза ідентифікації починається в той момент, коли організації стає відомо про подію, яке організація класифікує як інцидент. У контексті соціальної інженерії ця фаза може бути викликана, наприклад, наступними подіями: користувач повідомив про перехід за фішинговим посиланням; користувач повідомив, що надав інформацію абоненту по телефону; Сповіщення про вимагацьке програмне забезпечення від інструментів запобігання шкідливим програмам. Журнали сервера із зазначенням Сканувати порти, мати надзвичайно високий рівень доступу або завантажувати всі публічні файли. будь-які електронні листи, отримані на адресу електронної пошти Lure (яка служить ніякій іншій меті, окрім як бути виявленою шкідливими інструментами пошуку); сповіщення про підозрілі електронні листи від програмного забезпечення для фільтрації електронної пошти, такого як Proofpoint або Mimecast; Настроювані оповіщення на основі інформації про внутрішні та зовнішні загрози.
Після того, як інцидент був ідентифікований і класифікований, ви переходите до фази стримування, де вживаєте заходів, щоб запобігти подальшому поширенню загрози. Коли справа доходить до соціальної інженерії, дії стримування можуть включати блокування домену в корпоративному DNS або видалення електронної пошти з поштового сервера та черги. Ви також можете безпосередньо заблокувати доступ до домену, IP-адреси або адреси електронної пошти з мережі та систем Організація. Нарешті, ви можете ізолювати підозрілий комп’ютер від решти мережі або помістити його в пісочницю, примусово скинути пароль користувача або навіть деактивувати облікові записи користувачів, яких це стосується. Після того, як ви зробили перші кроки, вам потрібно надіслати користувачам масову кампанію електронної пошти, щоб вони не стали жертвами.
На етапі усунення , ви вирішуєте проблему. Видаліть усі раніше встановлені шкідливі програми. Потім ви аналізуєте першопричину інциденту і починаєте виявляти дії, які допоможуть вам відновитися. Якщо не задіяно шкідливе програмне забезпечення, це, як правило, дуже коротка фаза.
На етапі відновлення ви вживаєте всіх необхідних заходів для повного відновлення після інциденту. Це може включати повторне ввімкнення облікових записів користувачів, зміну конфігурації мережі для видалення пісочниць або інших сегрегацій, що застосовуються зловмисною діяльністю, і скасування змін, внесених зловмисником.
Як тільки все нормалізується, на етапі вивчення уроків ви повторно аналізуєте першопричину інциденту, щоб виявити існуючі прогалини у ваших знаннях та діях. Потім переходите до фази закриття цих прогалин на етапі підготовки. Це час подумати і вирішити, що можна було б зробити краще.
Тепер, коли ви знаєте основи реагування на інциденти, вам потрібно визначити, що робити користувачам, якщо вони стають жертвами різних типів атак соціальної інженерії. Почнемо з фішингу. Фішинговий електронний лист, який містить посилання або файли, може дозволити зловмиснику отримати доступ до ваших систем. Отже, вашою метою має бути прискорення стримування та ліквідації.
Одна порада для швидкого реагування на атаку – вибрати один яскравий колір для всіх мережевих кабелів, підключених до комп’ютерів співробітників. Це дозволить доручити співробітникам відключати цей кольоровий кабель від задньої частини комп’ютера або розетки в будь-якій підозрілій ситуації. Пам’ятайте, що деякі комп’ютери може бути підключено до безпроводової мережі, тому слід також визначити поведінку вимкнення безпроводових пристроїв.
Попросіть користувачів указати приблизний час, коли стався інцидент. Ця деталь допомагає команді безпеки швидко знаходити журнали, які їм потрібно переглянути, а не залишати їх без підказок про те, де шукати. Ставши жертвою атаки, користувачі повинні вийти з системи, вимкнути живлення, відключитися від мережі або перевести свою систему в режим сну. Дії, які повинен зробити користувач, залежать від можливостей організації і її потенційної реакції на інцидент. Крім того, якщо організація збирається відновити систему з відомого безпечного носія, правильною дією може бути просте вимкнення системи після збору артефактів, які вказують на атаку зловмисників.
Користувач також повинен повідомити оригінальну адресу електронної пошти або фішинговий веб-сайт, будь-які вікна та програми, які були відкриті, а також про те, чи сталося щось незвичайне на екрані.
Ви повинні роздрукувати ці рекомендації, ламінувати їх і розмістити на фізичному робочому місці кожного користувача. У будь-який момент часу користувач повинен мати можливість переглянути список і виконати необхідні дії.
Хоча вішинг схожий на фішинг, він представляє унікальну проблему. При відсутності контролю над усіма телефонними дзвінками вміння ідентифікувати і відповідати на дзвінки залежить від повідомляють про них співробітників, а також знання дій, які необхідно зробити заздалегідь. Жодні широко поширені або точні системи виявлення вторгнень (IDS) або SEIM не покривають телефонні дзвінки. Компанії можуть відстежувати інтернет-трафік будь-яких IP-телефонів, підключених до корпоративної мережі Wi-Fi, але ніяк не звичайні телефонні дзвінки або їх контекст.
На щастя, зловмисник не може безпосередньо увійти в систему та захопити мережу за допомогою телефонного дзвінка.
Навіть якщо зловмисник отримує необхідну інформацію шляхом вішингу, технічний контроль може запобігти подальшій шкоді. У будь-якому випадку, ви повинні визначити дії, щоб відповісти на спроби вішингу.
По-перше, якщо користувачі підозрюють вішинг, вони повинні або попросити передзвонити і покласти трубку, спробувати отримати інформацію від абонента, або збрехати, щоб збити їх з пантелику. Команді безпеки організації потрібно буде вирішити, яким діям навчати співробітників. Пропонуючи користувачам задавати зустрічні питання або брехати, ви ризикуєте, що недосвідчений користувач може ненавмисно видати цінну і точну інформацію. У будь-якому випадку користувачі повинні зв’язатися з командою захисту інформації та вказати приблизний час, коли стався інцидент, будь-які дії, які вони зробили, номер телефону абонента, інформацію, яку вони змогли отримати, та інформацію, яку вони надали шахраю. Вони також повинні повідомити абонента про свій акцент, діалект, тон або настрій, або про наявність фонових шумів.
Виявити колекцію OSINT складно, оскільки такі платформи, як Shodan, Censys і Have I Been Pwned, не дозволяють автоматично видавати сповіщення про факт пошукових запитів, хоча ви можете написати власний код для видачі сповіщень щоразу, коли дані організації з’являються на таких платформах. Програма Have I Been Pwned дозволяє організаціям, які можуть підтвердити право власності на домен, встановлювати такі сповіщення, але не передаватиме скомпрометовані облікові дані, що належать обліковим записам у домені. Але оскільки OSINT-збір зазвичай відбувається на етапі дослідження етичного злому, він часто супроводжується скануванням мережевих ресурсів, які можна легко виявити.
Перший рівень виявлення полягає в системі доставки контенту (CDN), такій як Cloudflare або Amazon CloudFront, якщо вона використовується. Наступний рівень знаходиться в журналах веб-сервера або журналах веб-додатків. Ці джерела інформуватимуть організацію про те, хто сканує і що сканується. Часто цим сповіщенням не вистачає контексту, необхідного для розрізнення масового сканування веб-сторінок і дій реального супротивника, який намагається зібрати OSINT або працює через сканування ресурсів.
Вирішіть, які дії слід заблокувати. Прикладами можуть бути блокування користувачів після певної кількості помилок 404, викликаних скануванням сайту; блокування або обмеження швидкості пошуку певною кількістю подій в секунду; Блокувати всіх, хто завантажує певну кількість публічних файлів, використовуючи певний рядок user-agent у браузері або скрипті. і блокування користувачів, які переходять на спеціальну сторінку пастки.
Залежно від тяжкості нападу, поганої слави, яку він отримує, та інших подій, що відбуваються в новинному полі, представники засобів масової інформації можуть спробувати поговорити з людьми у вашій організації під час інциденту. Хоча це не повинно бути вашим головним пріоритетом, нездатність відповісти на дзвінки ЗМІ може призвести до гірших наслідків, ніж якби ви просто визнали, що не знаєте всіх деталей на даний момент. Хоча засоби масової інформації повинні звернутися до відділу зв’язків з громадськістю організації, деякі журналісти можуть спробувати взяти інтерв’ю у будь-якого співробітника.
Щоб контролювати повідомлення, повідомлене громадськості, забороніть спілкування зі ЗМІ для всіх співробітників, крім тих, хто вказаний у вашому плані реагування на інциденти. Надайте стороннім співробітникам шаблон відповіді для обробки таких запитів. Це може бути заява настільки ж просте, як «Я не уповноважений обговорювати тему вашого запиту» або направлення до офіційного співробітника зі зв’язків з громадськістю в компанії.
Співробітники, уповноважені спілкуватися зі ЗМІ, повинні розуміти, який тон використовувати, як відмовлятися відповідати і з ким розмовляти, щоб дізнатися факти, якими вони поділяться з журналістами. Також визначте особу або групу для перегляду та затвердження будь-яких повідомлень, які співробітник зі зв’язків з громадськістю надаватиме засобам масової інформації.
Я також настійно рекомендую проконсультуватися з внутрішньою командою зі зв’язків з громадськістю вашої організації та будь-якими зовнішніми консультантами, яких використовує ваша організація. Вони зможуть говорити про конкретні політики та процедури вашої організації, тоді як я говорю про більш загальні принципи.
Якщо ви не поясните користувачам, як вони повинні повідомляти про підозрілі інциденти, вони можуть повідомити про проблему охоронцю на контрольно-пропускному пункті, який не має повноважень займатися такими проблемами. Однією зі стратегій є створення phishing@ organization.com електронної пошти для збору фішингових листів, які отримують користувачі. Ви також можете налаштувати поля з [email protected] або [email protected] як загальні адреси, які пересилають електронні листи потрібним одержувачам.
Якщо користувач став жертвою фішингу і, можливо, ввів шкідливе програмне забезпечення в навколишнє середовище, повідомлення електронної пошти може бути не найкращим рішенням. Це пов’язано з тим, що вся система електронної пошти може бути зламана, і зловмисники можуть читати, блокувати або змінювати повідомлення. Залежно від розміру організації та від того, чи перебуває користувач на місці чи віддалено, ви можете попросити повідомити про інцидент особисто, зробити телефонний дзвінок або надіслати повідомлення в приватному чаті або на захищеній платформі обміну текстовими повідомленнями.
У разі виявлення фішингового електронного листа команда безпеки повинна проаналізувати цей електронний лист і будь-яку відповідну інформацію про нього, дотримуючись організаційних політик і процедур. Це буде корисно для збору розвідувальної інформації про загрози на основі галузі, в якій працює організація, і того, чи пов’язана вона з будь-яким кліринговим центром і розвідувальним центром.
З самого повідомлення електронної пошти ви повинні отримати оригінальну адресу електронної пошти, детальну інформацію про те, чи була адреса електронної пошти подделан (що обговорюється в розділі 12), а також IP-адреса відправника. Ви також повинні заблокувати адреси та адреси відправника посилання та перевірте журнали, щоб дізнатися, чи зв’язувалися інші користувачі або хости з цими адресами. Для подальшого аналізу атаки використовуйте інструменти, описані в розділі 12.
Якщо фішинг-схема передбачає надсилання шкідливого файлу, його можна завантажити на веб-сайт виявлення шкідливих програм VirusTotal, щоб отримати швидку відповідь про вміст файлу, якщо відомо зловмисне програмне забезпечення. Також візьміть криптографічний хеш файлу і перевірте системи в локальній мережі на наявність файлів, які виробляють такий же хеш. Налаштуйте SEIM також повідомляти вас про вхідні екземпляри такого файлу.
Перехоплюйте будь-які IP-адреси або URL-адреси, пов’язані з фішинговим електронним листом, щоб перенаправити користувачів на захищену сторінку та налаштувати сповіщення на робочих станціях для тих, хто намагається отримати доступ до шкідливого сайту. Після того, як електронний лист приховано, команда безпеки може зв’язатися з усіма користувачами, порадивши їм уникати шкідливого електронного листа.
Коли реагування на інциденти перейде до фази відновлення, перенесіть зібрані відомості до служби аналізу загроз і дотримуйтеся вказівок організації щодо публікування та розповсюдження інформації серед користувачів.
Ми використовували матеріали з книги “Соціальна інженерія та етичний хакінг на практиці”, які були написані Джо Греєм.
