Атмосфера доверия: почему так важна облачная защита электронной почты от целевых атак
Никита, на рынке существует достаточно большой выбор решений для защиты облачной почты: спам-фильтры, антивирусы, песочницы, зачем нужно было изобретать что-то новое, тем более в той нише, где уже есть конкуренты?
Начнем с того, что до сих пор электронная почта остается одним из самых популярных векторов атаки. Любой пентестер (специалист по тестированию на проникновение. — Прим. ред.) вам скажет, что если другие способы атаки на компанию не сработали, а клиент разрешает в рамках пентеста использовать почту, то с большой долей вероятности защиту пробьют. Почти 96% атак с использованием социальной инженерии начинаются именно в почте. Этим пользуются и киберпреступники, и прогосударственные хакерские группы, использующие множество самых разных сценариев и техник.
Мы знаем довольно много случаев, когда злоумышленникам удавалось обходить антивирусную защиту. Вот один из прямо-таки хрестоматийных примеров[1]: хакеры из группы Cobalt, обнаружив на GitHub уязвимость, а также python-скрипт, который позволяет создать собственный уязвимый .rtf-документ, запустили массированную рассылку фишинговых писем по банкам. Спустя несколько часов антивирусные решения начали определять файл, вложенный в письмо, как вредоносный, но злоумышленники отреагировали незамедлительно. Они тут же переделали эксплоит так, что он снова перестал детектироваться многими популярными антивирусами.
А свежие примеры?
В последние годы, чтобы обойти антивирусные системы, хакеры отправляют вредоносные ссылки с отложенной активацией. Это значит, что в 5 утра, когда система ее анализирует, она безопасна, и письмо попадает в папку Inbox. А дальше, уже в 9 утра человек видит письмо, открывает ссылку, а внутри уже есть вредоносный файл, который заражает домашний компьютер через VPN, подключенный к сети компании, но не защищеный никакими корпоративными средствами защиты. Получается, что весь установленный компанией «зоопарк» решений — «Антиспам», «Антивирус», «Песочница» пропустили этот вредоносный файл, и последствия могут быть самые плачевные: например, заражение сети программой-вымогателем, а затем — шифрование данных и кража ценной информации, паралич технологических и бизнес-процессов, вымогательство выкупа за расшифровку.
Напомню, что в прошлом году, по нашим данным, количество атак программ-вымогателей по всему миру выросло более чем на 150% по сравнению с предыдущим годом. Среднее время простоя атакованной компании составило 18 суток, а сумма выкупа увеличилась почти вдвое — до $170 000, хотя известны случаи, когда атакующие требовали и $50 млн, и $70 млн. Сейчас шифровальщики — это киберугроза № 1, причем не только для крупного бизнеса. Атакуют всех, кто может заплатить. Отличие лишь в том, что с корпорации преступники потребуют десятки миллионов долларов, а с маленького семейного бизнеса — сотни тысяч рублей.
Расскажите, как Group-IB пришла к облачной защите почты?
В теме анализа почты мы работает больше пяти лет. В рамках нашего флагманского решения — Group-IB Threat Hunting Framework (THF), предназначенного для защиты ИТ и технологических сетей предприятий от актуальных и ранее неизвестных киберугроз, мы разработали технологию Polygon. Главными задачами для него был именно анализ электронной почты, защита от целевых атак, детонация полезных нагрузок и атрибуция киберугроз.
В нем были реализованы все технологические новинки: машинное обучение, машинное зрение, анализ сетевого трафика, корреляция событий, предупреждения о возможном фишинге или письмах со скомпрометированных аккаунтов почты, подмены личности отправителя, что помогло автоматически выявлять готовящиеся атаки с использованием социальной инженерии и атак с компрометацией корпоративной почты.
Это достаточно успешный продукт, который мы продаем нашим клиентам из финансового сектора — прежде всего банкам, промышленным корпорациям, телеком-операторам. Однако в силу ряда обстоятельств он подходит не всем. В первую очередь тем, кто идеологически не хочет ставить в свой периметр чьи-то аппаратные решения, либо у заказчика не хватает бюджета.
При этом к нам поступает огромное количество запросов от небольших компаний, риски у которых примерно те же, что и у корпораций: программы-вымогатели, шпионское ПО, банковские трояны и т. д. Как показывает наш опыт реагирования на инциденты, первичным вектором целевой атаки на компании из сегмента малого и среднего бизнеса опять является электронная почта.
За примерами далеко ходить не надо: мы в Group-IB пользуемся почтой от Google и подтверждаем, что сервис хорошо фильтрует спам, известные трояны, однако целевые атаки он не останавливает. Мы знаем больше 60 различных технических векторов, как можно провести атаку через электронную почту Google и другие почтовые средства. И мы не просто знаем, мы видим, как преступники этим пользуются.
Таким образом, существует серьезная проблема — такие популярные средства, как антиспам, антивирус, встроенная безопасность платформ и другие, не очень хорошо защищают компании от целевых атак.
.png)
С какими инженерными задачами вы столкнулись при разработке Atmosphere?
Главный челлендж для наших разработчиков состоял в том, чтобы не наступить на все те же грабли, на которые попали другие облачные решения.
Во-первых, атакующие не должны понять, что их письмо будет принудительно открываться — детонироваться — не на компьютере жертвы, а в безопасной виртуальной среде. Мы решили этот вопрос в Polygon, но в облаке появляются проблемы другого рода: с какого IP-адреса система скачает ссылку в тот момент, когда настоящий пользователь на нее нажимает?
Если настоящий пользователь из условного Ставрополя, то предполагается, что это будет IP-адрес компании из Ставрополя — к примеру, Сельхозбанка. Это ожидания, а в реальности, если вы защищены американским продуктом, то будет адрес США, Невада. В таком случае атакующие отдают легитимный файл в США, а в Ставрополь полетит вредоносный файл.
Во-вторых, попав на машину жертвы, троян собирает множество технических данных: имя компьютера (John PC, а не Ivanov PC из Ставрополя), маленькое количество оперативной памяти, не похожее на настоящий компьютер, разрешение экрана, пустой десктоп, не характерный для пользователя, пустая история Microsoft Word и т. д.
Вы нашли способ, как обмануть преступников?
Специально для Atmosphere мы придумали технологию «Нептун», которая позволяет туннелировать трафик из облака прямо в офис клиенту— можно за 5 минут поднять выходную ноду и подключить к ней виртуальную инфраструктуру. Работает практически, как Tor, только вы не прячете свой «земной» адрес, пытаясь представиться кем-то другим, а наоборот, эту облачную структуру представляете собой. Так решается проблема с сетевым окружением, по которому детектировать крайне просто.
Второе, что мы сделали, — предоставили возможность пользователям загрузить списки имен сотрудников, списки своих имен компьютеров (так называемый морфинг образов). В дальнейшем мы постараемся сделать его как можно более гибким, добавим возможность класть файлы на десктоп, добавлять правдоподобную историю в Word.
Третье — заточили Atmosphere на атрибуцию атаки. Почему это так важно? Мы видим гигантскую проблему: компании, которые попадали под целевые атаки, получали сигналы о том, что они под серьезной угрозой, но не сумели собрать целостную картину и осознать, что их взламывают. Им поступали разрозненные сигналы от антивирусов и других систем защиты, но они думали, что все закончилось: задетекторовали эти сигналы и молодцы. На самом деле это было только начало. Поэтому мы ходим дать четкую атрибуцию и набор автоматических индикаторов, чтобы команда специалистов могла сама вести охоту (hunting) за преступными группами, предотвращая кибератаки еще на этапе их подготовки.
.png)
Кому Atmosphere нужна в первую очередь?
Это абсолютно любая сфера, начиная с частного сектора, — например, интернет-компании, ретейл, частные клиники, производственные компании и т. д. и заканчивая госорганами. Наш клиент — это компания, которая хочет поднять уровень защищенности почты, установив автоматизированные решения.
У нас был запрос ускорить, упростить внедрение и сделать это в один клик, чтобы не приходилось возить оборудование, подключать кабели, чтобы не было ситуаций, когда кабель отошел или что-то сломалось. Во-вторых, ценообразование. Гибкая ценовая политика в облачном решении позволяет защищать клиентов, имеющих от 10–20 пользователей без проблем, и они будут платить просто за защищаемый почтовый ящик. Лицензия у нас либо годовая, либо двухгодичная, либо трехгодичная. Лицензируются по количеству защищаемых ящиков: чем больше ящиков, тем дешевле защита каждого пользователя.
Что происходит, если письмо содержит вредоносный файл?
Технически получателю приходит отбивка о том, что на его адрес было направлено письмо, которое сочтено вредоносным. Дефолтный режим — это режим блокировки, и поскольку анализ опирается на поведенческий анализ файла, он занимает некоторое время. Чтобы быть эффективным, это минимум 2 минуты. Соответственно для писем, в которых есть проверяемый контент, происходит небольшая задержка такого рода.
Что с установкой. Была идея сделать ее в один клик?
Почти. Мы сделали в четыре клика. По нашему опыту, этот процесс не должен занимать более 15 минут. При этом единственное требование к сотруднику заказчика, осуществляющему данный процесс, — наличие прав администратора. Продукт достаточно просто интегрируется с уже имеющейся системой, ее не надо менять, Atmosphere просто устанавливается шлюзом, который подключается перед имеющейся почтовой системой.
До сих пор существуют компании, которые считают, что хорошо защищены. Но их просто никто еще серьезно не атаковал. Что посоветовать им?
В этом случае я предлагаю пройти полностью автоматизированный тест https://www.group-ib.ru/atmosphere.html, построенный на реальных кейсах, расследованных Group-IB. После того как с клиентом подписано соглашение, на указанную электронную почту мы отправим тестовые письма для оценки защищенности, использовав более 30 сценариев реальных почтовых атак. Попробуйте, это увлекательно.
Опубликовано 02.08.2021