Jak by mohl být v současné době spam problémem pro správce zabezpečení? Už jsou to roky, co jsme všichni začali používat služby, které odvádějí fenomenální práci při filtrování reklamy na léky na předpis či exotické dovolené a odkládají ji do složek se spamem, kde se obvykle hromadí a již nikoho neobtěžují.
Až do minulého pátku jsem za posledních deset let nestrávil přemýšlením nad spamem snad ani pět minut, což je důkaz skutečné efektivity spamových filtrů. Koneckonců asi 98 % našich příchozích e-mailů je spam. Pokud bychom neměli účinné stroje pro filtrování spamu, dostal by každý zaměstnanec denně navíc 40 až 50 e-zpráv. A to by významně snížilo jejich produktivitu.
Asi proto, že se naši pracovníci již dlouho nesetkali se skutečným spamem, našeho právního zástupce vystrašilo, když začal v poslední době pravidelně dostávat zprávy, které považoval za nevyžádanou poštu.
Některé z nich mi přeposlal a chtěl vědět, co se děje. Tyto e-maily tvrdí, že jsou z organizací, jako je třeba FedEx, a na první pohled vypadají legitimně. Jen kontrola e-mailových hlaviček vám řekne, že je tomu jinak.
Některé zprávy obsahují odkazy na podezřelé weby v místech, jako jsou Čína a Rusko. Jiné zase zahrnují přílohy, které jsou údajně požadovanými certifikáty nebo e-faxovými dokumenty, ale ve skutečnosti jsou to soubory ZIP obsahující soubor EXE. Stručně řečeno – to není jen obyčejný spam, který je sice otravný a zahlcuje sítě, ale jinak je obvykle neškodný. Ne, toto jsou phishingové útoky.
Brzy si začali stěžovat na nárůst spamu i další lidé ve firmě. Jaktože jsem chtěl vědět, proč nedošlo k eliminaci těchto phishingových útoků a k ochraně schránek zaměstnanců?
Uvědomoval jsem si, že právě migrujeme uživatele do spravované e-mailové služby od Microsoftu a že se mluvilo o úspoře financí ukončením odběru antispamové služby našeho současného poskytovatele ve prospěch spamové prevence od Microsoftu, která je součástí jím poskytované služby.
Přechod s obtížemi
Myslel jsem si, že právě to je pravděpodobným zdrojem problému, a opravdu – mé podezření bylo správné.
Dříve jsme nejen dělali kontrolu příloh, ale také jsme omezovali typy příloh, které bylo možné doručovat. Používali jsme také řešení SPF (Sender Policy Framework), které zjišťovalo, zda jsou odesílatelé skutečně těmi, za koho se vydávají.
Když náš IT tým migroval e-mail na službu Microsoftu, zanedbal implementaci těchto důležitých bezpečnostních funkcí. Spam se tak pro mě v současné době stal záležitostí, kterou jsem musel začít řešit. Nyní totiž mohou zaměstnanci kliknout na přílohy nebo odkazy a spustit škodlivé programy.
Naštěstí náš software pro ochranu koncových bodů zabránil většině příloh způsobit škodu, ale detekce nebyla úplná. Proto náš bezpečnostní tým analyzuje zjištěné podezřelé e-mailové přílohy či odkazy a vytváří pravidla v nástroji SIEM, aby zjišťoval případy, kdy zaměstnanci klikli na některé z nich nebo si stáhli malware.
Nedávno jsme také zapli opravdu skvělou funkci Wildfire na firewallech Palo Alto Networks, která přesměruje spustitelné soubory do zabezpečené karantény, kde se zjišťuje, zda jsou škodlivé. Protože je to novinka, zprovoznili jsme jen monitorování událostí a zatím jsme neaktivovali blokování.
Již několikrát jsme museli rychle jednat, ale dosud jsme měli štěstí. Na základě zkoumání se ukázalo, že jedna příloha, kterou několik zaměstnanců spustilo, kontaktovala server v Číně, aby přes něj stáhla další software. Server naštěstí nebyl v provozu.
Nyní musíme nadále sledovat podezřelé aktivity a já musím zajistit bezpečnou implementaci naší současné e-mailové architektury.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.