Чтобы избежать "рыболовных крючков" нужна более умная электронная почта

Чтобы избежать "рыболовных крючков" нужна более умная электронная почта

Чтобы обезопасить электронную почту от того, что эксперты по информационной безопасности считают наибольшей угрозой в корпоративных сетях - так называемый, "проникающий фишинг" - разрабатываются новые технологии.
Обычные сообщения электронной почты, предлагающие открыть опасные вложения, предоставить конфиденциальную информацию, или перейти по указанной ссылке на зараженные Web-сайты, используется злоумышленниками довольно долго. Новым здесь стало то, что авторы таких посланий теперь нацеливают свои атаки, используя специфическое знание о сотрудниках, и организации, в которой они работают.

Например, сообщение, передаваемое по электронной почте, внешне напоминает собственные рассылки организации своим сотрудникам, и предлагает получателю посетить Web-сайт для подтверждения желания получать эти рассылки. Другое сообщение может иметь вложение, которое, как утверждается, содержит маркетинговый план, запрошенный получателем на последней конференции. Еще одно сообщение может, например, содержать имя коллеги, рекомендующего посетить полезный Web-сайт.

Но все это не то, на что оно похоже. Первое письмо направит жертву на Web-сайт, на котором потребуется ввести персональные данные, включая и пароль пользователя. Второе письмо содержит вирус, который запускается, когда открывается "маркетинговый план". Третье письмо направит пользователя на Web-сайт, с которого будет сделана попытка установить вредоносную программу.

"Проникающий фишинг сегодня становится наиболее популярным способом проникновения в корпоративные сети, - говорит Энтони Говард, научный сотрудник Института Технологических Исследований штата Джорджия (GTRI), руководящий подразделением борьбы с вредоносным ПО. - Поскольку авторы вредоносных программ сегодня обладают некоторой информацией о людях, которым они направляют свои сообщения, то скорее всего, они будут получать ответ. Когда они знают о вас что-то, то их шансы могут очень сильно возрасти".

Ключом является самое слабое звено
Успех атаки проникающего фишинга зависит от того, удастся ли злоумышленнику обнаружить самое слабое звено корпорации. Этим самым слабым звеном может быть всего лишь один человек, которые попадется на письмо, имеющее вид, близкий к аутентичному.

"Организации могут тратить миллионы долларов на защиту своих сетей, то достаточно появиться одному тщательно составленному сообщению, чтобы позволить кому-то проникнуть внутрь, - говорит Говард. - Очень трудно установить средства технического контроля, позволяющие не давать людям делать ошибки. Чтобы противостоять этим атакам, пользователи электронной почты должны делать правильные вещи каждый раз".

Говард с коллегами работают над тем, чтобы помочь получателям электронной почты, используя ту же самую открытую информацию, которой пользуются авторы вредоносных программ для изучения своих жертв. Большое количество такой информации поступает с сайтов социальных сетей, которыми пользуются и компании, и авторы вредоносных программ. Дополнительная информация может быть найдена в файлах Комиссии США по ценным бумагам и биржевым операциям, или даже на Web-сайте самой организации.

"Существует множество открытых источников информации, увеличивающих шансы вызвать ответ пользователя при проникающем фишинге, - говорит Говард. - Мы ищем способы предупреждения пользователей, основанные на информации такого типа. Мы хотели бы видеть систему электронной почты, достаточно "умную", чтобы позволить пользователю знать, что информация, содержащаяся в подозрительном сообщении, поступает из открытых источников, и предупреждающую его о необходимости быть осторожным".

Другие методы противодействия нападениям могут исходить из доступа ко всему трафику, входящему в корпоративную сеть.

Для увеличения своих шансов на успех, преступники пытаются получить доступ к корпоративной сети, часто нацеливаясь более, чем на одного человека в организации. Средства защиты сети могли бы использовать информацию об аналогичных попытках проникающего фишинга для всей организации. И, имея доступ ко всей электронной почте, системы защиты могли бы выяснять, что является "нормальным" для каждого пользователя, и распознавать необычные сообщения, которые могут быть подозрительными.

Труднодостижимый баланс
"Мы пытаемся построить шаблоны поведения пользователей. Эта дало бы нам возможность узнать, какие типы сообщений электронной почты они обычно получают. Когда поступает что-то подозрительное, мы могли бы предупреждать об этом пользователя, - говорит Говард. - Мы считаем, что реальным противодействием было бы вообще не допускать вредоносные сообщения даже в папку "входяшие" пользователя электронной почты, но такая задача значительно сложнее".

Это сложно потому, что сегодня организации зависят от получения электронной почты от клиентов, от чтения ее, и отправки ответов. Удаление, или даже задержка сообщений электронной почты может иметь большую цену для бизнеса.

"То, что мы делаем, требует тщательной защиты пользователя, не препятствуя при этом ему выполнять свою работу", - говорит он. - Как и при любой задаче защиты, нам приходится балансировать между двумя этими целями".

Эти, и другие стратегии станут частью Phalanx, нового продукта, разрабатываемого специалистами Института Технологических Исследований штата Джорджия для защиты корпоративных сетей от проникающего фишинга. Этот продукт войдет, в свою очередь, в систему Titan, динамическую инфраструктуру анализа вредоносного программного обеспечения, которая была запущена прошлой весной.

Среди проблем, стоящих перед разработчиками, можно назвать разработку алгоритмов работы с естественным языком, которые могли бы быстро отделять атаки проникающего фишинга от безопасных сообщений электронной почты. Это можно было бы сделать, путем поиска запросов, таких, как "откройте вложение к письму", или "проверьте ваш пароль".

Специалисты GTRI накапливают опыт работы с корпоративными сетями, на базе сделанных ими оценок, и работают с собственной сетью GTRI, которая получает ежедневно миллионы писем по электронной почте. К счастью, говорят они, не только злоумышленники узнают больше. 

"Старшие финансовые сотрудники компаний начинают понимать финансовые последствия проникающего фишинга, и когда они объединят свои усилия со специалистами в информационных технологиях, появится насущная потребность в решении этой проблемы, - говорит Говард. - До тех пор, на передней линии обороны находятся пользователи. И нам нужно, чтобы у каждого пользователя появилась небольшая паранойя по отношению к электронной почте".

Имя
E-mail
Телефон
Тема
Комментарий
Показать другое число
Контрольное число*