Атаки на облікові записи електронної пошти й надалі залишатимуться одним із найпопулярніших методів, які використовують кіберзлочинці для отримання доступу до конфіденційних даних компанії. Найкращі методи Barracuda щодо відсутності інтеграції між реагуванням на інциденти та веб-безпекою.
Хоча такі класичні засоби, як скомпрометовані вкладення електронної пошти або посилання, все ще служать своїй меті, зловмисники не обов’язково хочуть покладатися на них: соціальна інженерія або використання викрадених облікових даних для запланованої крадіжки даних є набагато складнішою тактикою. Тому неефективна реакція на атаки по електронній пошті щороку коштує компаніям мільярди. Для багатьох організацій пошук, ідентифікація та видалення загроз електронної пошти є повільним, ручним і ресурсомістким процесом. Цінний час, який часто може призвести до подальшого поширення атаки.
В середньому: фішингові атаки на 10 співробітників
Щоб краще зрозуміти моделі загроз і методи реагування, аналітики безпеки Barracuda дослідили близько 3.500 компаній і отримали чіткий результат: компанія з 1.100 користувачами стикається з приблизно 15 інцидентами безпеки електронної пошти на місяць. «Інцидент» стосується зловмисних електронних листів, які пройшли через рішення ІТ-безпеки та потрапили до вхідних повідомлень користувачів. Після того, як ці інциденти виявлені, їх необхідно розставити за пріоритетністю та розслідувати, щоб визначити їх масштаб і рівень загрози. Якщо виявилося, що це загроза, необхідно також вжити заходів щодо її усунення. У середньому від кожної фішингової атаки, яка потрапляє до папки "Вхідні", страждають 10 співробітників. Як згадувалося вище, шкідливі посилання все ще працюють: 73% співробітників обманюють фішингове посилання, змушуючи його перейти, залишаючи всю організацію на милість зловмисників. Хакерам для успішної атаки потрібен лише один клік або відповідь електронною поштою. Приємно знати, що компанії, які навчають своїх користувачів, можуть побачити XNUMX-відсоткове покращення точності електронних листів, про які повідомляють користувачі, лише після двох навчальних сеансів.
Далі в цій статті докладніше розглядаються визначені шаблони загроз і методи реагування, а також наводяться кроки, які можуть вжити команди ІТ-безпеки, щоб значно покращити реакцію своєї організації на загрози електронною поштою після доставки.
Погрози електронною поштою після доставки
Дії, які виконуються для усунення наслідків порушення безпеки та загроз, що виникають після доставки, зазвичай називають реагуванням на інцидент. Ефективне реагування на інцидент спрямоване на швидке усунення загрози безпеці, щоб зупинити поширення атаки та мінімізувати потенційну шкоду.
Оскільки хакери використовують все більш складні методи соціальної інженерії, загрози електронної пошти стає все важче виявити як для ІТ-технічного контролю, так і для користувачів електронної пошти. Немає рішення безпеки ІТ, яке могло б запобігти всім атакам. Крім того, користувачі не завжди повідомляють про підозрілі електронні листи через відсутність підготовки або необережність. Якщо вони це роблять, точність звітних повідомлень є марною тратою ІТ-ресурсів. Без ефективної стратегії реагування на інциденти загрози часто залишаються непоміченими, доки не стає занадто пізно.
Ефективно виявляйте загрози за допомогою пошуку загроз
Існує кілька способів визначити загрози електронною поштою, щоб потім їх виправити. Користувачі можуть повідомляти про них, ІТ-команди можуть проводити внутрішній пошук загроз або найняти зовнішніх постачальників для усунення атак. Дані про вирішені загрози, які обмінюються між організаціями, зазвичай надійніші, ніж підказки користувачів.
Аналітики Barracuda виявили, що більшість інцидентів (67,6 відсотка) було виявлено в результаті внутрішніх розслідувань пошуку загроз, ініційованих ІТ-командою. Ці дослідження можна проводити різними способами. Зазвичай пошук здійснюється в журналах повідомлень або в доставлених електронних листах виконується пошук за ключовими словами чи відправниками. Ще 24 відсотки інцидентів виникли через електронні листи, про які повідомили користувачі. Приблизно вісім відсотків було виявлено за допомогою аналізу загроз від спільноти, а решта половини відсотка через інші джерела, такі як автоматизовані або вже вирішені інциденти.
Це правда, що компанії завжди повинні заохочувати своїх співробітників повідомляти про підозрілі електронні листи. Однак потоки електронної пошти, про які повідомляють користувачі, також створюють велике навантаження на ІТ-команди з обмеженими ресурсами. Хорошим способом підвищити точність звітів користувачів є проведення постійного навчання з питань безпеки.
Три відсотки користувачів електронної пошти натискають на посилання в шкідливих електронних листах
Після того як групи ІТ-безпеки виявили та підтвердили шкідливі електронні листи, вони повинні оцінити потенційний масштаб і вплив атаки. Ідентифікація всіх в організації, які отримали шкідливі повідомлення, може зайняти неймовірно багато часу без відповідних інструментів.
Три відсотки співробітників організації клацають посилання в зловмисному електронному листі, піддаючи всю організацію нападникам. Іншими словами, у середній організації з 1.100 користувачами електронної пошти близько п’яти з них щомісяця натискатимуть шкідливе посилання. Але це ще не все: співробітники пересилають або відповідають на шкідливі повідомлення, таким чином поширюючи атаки не лише всередині своєї компанії, а й за її межами. Цінність може здатися невеликою на перший погляд, але її вплив не менш значний. Щоб атака була успішною, хакерам потрібен лише клік або відповідь. І користувачеві потрібно лише 16 хвилин, щоб натиснути шкідливе посилання. Тому швидке розслідування та виправлення є ключовими для підтримки безпеки організації.
Шкідливі електронні листи проводять 83 години у вхідних
Видалення електронних листів може бути виснажливим і тривалим процесом. У середньому проходить три з половиною дні з моменту потрапляння атаки на скриньки вхідних повідомлень користувачів до моменту, коли вони або повідомлять про це, або команда безпеки виявляє це, і, нарешті, атаку буде ліквідовано. Цілеспрямоване навчання безпеки може значно скоротити цей тривалий час за рахунок підвищення точності атак, про які повідомляють користувачі. Додаткове використання засобів автоматичного захисту може автоматично виявляти та усувати атаки. Насправді лише п’ять відсотків компаній оновлюють свою веб-захист, щоб заблокувати доступ до шкідливих веб-сайтів у всій організації. Це здебільшого через відсутність інтеграції між реагуванням на інциденти та веб-безпекою.
П’ять порад щодо захисту від загроз після доставки
- Навчання персоналу для підвищення точності та масштабу повідомлених атак
Регулярне навчання гарантує, що методи безпеки запам’ятовуються, а точність повідомлених про загрози рятує ІТ-відділи від витрачання зайвого часу на дослідження надокучливої небажаної електронної пошти, а не шкідливої. - Громада як джерело потенційних загроз
Спільна інформація про загрози — це потужний інструмент проти нових загроз, які піддають ризику користувачів даних і електронної пошти. Подібні, а іноді ідентичні загрози електронною поштою впливають на кілька організацій, оскільки хакери часто використовують однакові методи атаки на кілька цілей. Збір розвідданих від інших організацій є ефективним підходом для пом’якшення великомасштабних атак. Рішення реагування на інциденти, яке може отримати доступ до спільних даних про загрози та використовувати їх, допомагає проводити ефективний пошук загроз і повідомляти про потенційні інциденти. - Інструменти пошуку загроз для швидшого розслідування атак
Виявлення потенційних загроз, визначення масштабу атаки та всіх постраждалих користувачів може тривати кілька днів. Підприємствам слід використовувати інструменти полювання на загрози, які дають їм уявлення про електронні листи після доставки. Ці інструменти можна використовувати для виявлення аномалій у вже доставлених електронних листах, швидкого пошуку постраждалих користувачів і перевірки, чи взаємодіяли вони зі зловмисними повідомленнями. - Автоматизуйте захист
Розгортання автоматизованих систем реагування на інциденти може значно скоротити час, необхідний для виявлення підозрілих електронних листів, видалення їх із папок «Вхідні» всіх постраждалих користувачів і автоматизації процесів, які зміцнюють захист від майбутніх загроз. - використовувати точки інтеграції
Окрім автоматизації своїх робочих процесів, організації також повинні інтегрувати своє реагування на інциденти з електронною поштою та веб-захистом, щоб запобігти атакам. Інформацію, зібрану під час реагування на інциденти, також можна використовувати для автоматичного вирішення проблем і виявлення пов’язаних загроз.
Швидке й автоматизоване реагування на інциденти зараз як ніколи важливо, оскільки складні фішингові атаки, спрямовані на обхід безпеки електронної пошти, стають все більш поширеними. Таким чином, у боротьбі з кіберзлочинцями автоматизація реагування на інциденти значно покращує час реагування на інциденти, допомагає посилити безпеку підприємства, обмежити збитки та заощадити дорогоцінний час і ресурси ІТ-команд.
Більше на Barracuda.com[starboxid=5]