×
Анатолий Виклов, консультант по безопасности компании Check Point

Сообщения электронной почты с вредоносными вложениями, адресованные конкретным людям, становятся излюбленным орудием хакеров. В такой ситуации необходим новый подход к фишинговым угрозам, позволяющий предприятиям избежать таргетированной фишинговой атаки и ее последствий.

 

Что общего в нашумевших историях об утечке данных из систем ведущих ритейлеров Target и Neiman Marcus, гиганта медицинского страхования Anthem и Sony Pictures? Все они начались с тщательно спланированной таргетированной фишинговой атаки с использованием сообщений электронной почты. К письмам были приложены документы, зараженные вредоносными программами. При этом  все они выглядели вполне обычно и были адресованы конкретным сотрудникам внутри организации.

 

Точечный фишинг стал самым распространенным типом таргетированной атаки по одной простой причине: эта техника по-настоящему работает, вводя в заблуждение даже тех пользователей, которые серьезно подходят к вопросам безопасности. Она создает для хакеров опорный пункт для проникновения в корпоративную сеть. По данным исследования Check Point, проведенного среди более 10 тысяч организаций по всему миру, в 84% из них за последние 12 месяцев был скачан хотя бы один зараженный документ. Это происходит потому, что злоумышленнику достаточно просто получить представление о компании или о конкретных ее сотрудниках в сети Интернет, а затем написать такое письмо, которое побудит даже самого бдительного работника открыть вредоносное вложение и тем самым инициировать хакерскую атаку.

 

Положение усугубляется тем, что традиционные антивирусные программы работают на основе существующих сигнатур. У них хорошая скорость срабатывания, но они обнаруживают лишь те угрозы, которые уже есть в их базе. Они не могут определить новый, только что созданный вредоносный код.  Проблема в том, что пока код большинства угроз скрывается в файлах привычного типа, которыми в работе пользуются все сотрудники (электронная почта, документы Word, файлы PDF, таблицы Excel и т.д.), хакеры используют специальные инструменты для маскировки скриптов и их вредоносных действий, что помогает им избегать обнаружения.

 

Именно поэтому обычное антивирусное решение может обеспечить точность защиты лишь на 93%. Решения типа "песочница" предоставляют собой дополнительный метод  борьбы с неопознанным и только что созданным вредоносным ПО. Но в некоторых случаях обнаружение угроз "песочницей" занимает несколько минут, что подвергает сеть риску заражения. В результате некоторые решения c помещением угроз в изолированную программную среду обеспечивают примерно 95% точности защиты.

 

Снизить вероятность успеха точечной фишинговой атаки обычно помогает обучение персонала, направленное на повышение осведомленности о безопасности, однако это также не дает 100% гарантии: люди по природе доверчивы и хотят выполнять свои служебные обязанности максимально эффективно. Если сотрудник неожиданно получает по почте презентацию PowerPoint, которую, как ему кажется, прислали из другого отдела или компании-партнера, он не всегда будет тратить время на размышления о том, обычное ли это сообщение или потенциальная угроза.

 

Вследствие этого необходим новый подход к фишинговым угрозам, который позволит удалить вредоносный код из письма до того, как оно поступит в папку "Входящие" почтового ящика работника.

 

Как упоминалось ранее, подавляющее большинство вредоносных программ скрыто внутри самых распространенных типов рабочих документов - Microsoft Office Word, Excel, PowerPoint и Adobe PDF - чтобы побудить пользователя запустить файл.

 

Традиционные средства борьбы с вредоносным ПО основаны на подходе "доверяй, но проверяй", при котором вложенные файлы проверяются на наличие вредоносного кода, а затем блокируются. Однако этот подход не обладает достаточной точностью обнаружения, необходимой для полной защиты сетей от потенциальных рисков.

 

С позиции безопасности лучше всего принять за исходную обратную точку зрения, что все вложенные документы всегда заражены вирусом, поэтому, перед тем как передать их пользователю, их необходимо проверить и очистить. Таким образом, риск атаки по этому направлению полностью устраняется.

 

Проверка может проводиться на уровне сетевого шлюза, и ей будут подвергаться все сообщения электронной почты в режиме реального времени по мере их поступления в компанию. Чтобы снизить риск попадания в сеть вредоносного ПО, необходимо исключать все подозрительные элементы из сообщений электронной почты для их детальной проверки. Это могут быть макросы, внедренные объекты, файлы и внешние ссылки. Если в результате проверки этих объектов не было выявлено никаких угроз, они вместе с сообщением попадают к адресату. Стоит отметить, что различные корпоративные документы не очень часто содержат макросы и внедренные объекты, поэтому в большинстве случаев проверка таких сообщений не будет влиять на скорость их получения адресатом.

 

Так или иначе, хакеры продолжают осуществлять таргетированные атаки, и их методы постоянно совершенствуются. Поэтому обнаружение и устранение вредоносного ПО до его попадания в сеть компании может стать реальным решением многих проблем корпоративной безопасности.