הגנה על תעבורת הדואר עם Exchange Online Protection
פישינג, וירוסים, גניבת זהויות, Malware, ספאם, האקר אדום, האקר שחור, script kid, cyber criminal אלה הם רק חלק מרשימה ארוכה של מתקפות וסוגי תוקפים שמהם אנו צריכים להתגונן ביומיום ואם כל זה שזה נשמע מפחיד עדיין לא צריך להיכנס לפאניקה במידה ומבצעים את הפעולות הנכונות בהגנה על הארגון וגם הפעולות הבסיסיות שבהן.
בכל פעם שעולה דיון בנושא פישינג בסו, הדיון ישנה הסכמה שאין הסכמה וישנם שאלות וסוגיות נשארות פתוחות, כגון:
- מי אחראי על פישינג בארגון? סיסטם או אבטחת מידע כאשר עובדים בשירות Exchange Online
- מהי הדרך היעילה להתגוננות מפני פישינג? טכנולוגיות או חינוך משתמשים
- מה עושים כאשר מתגלה פריצה? ואיך מאתרים אותה? מערכות ניהול א”מ ומה קורה עם המידע של המשתמש
- האם כדאי לאפשר גישה חיצונית? ואם כן מהיכן ולמי
- האם יתקפו את הארגון שלי?
- והשאלה העיקרית, האם יתקפו את הארגון שלי מתישהוא? בהחלט כן אבל ויש אבל גדול מאד והוא, מתי זה יקרה ובאיזה היקף. תפקידנו הוא לוודא שהמתקפה תהיה מזערית ככל שניתן וחסרת משמעות וניתן לבצע זאת.
קצת על פישינג
בתקופה האחרונה פישינג הפך להיות הנושא המרכזי והכאוב של ארגונים ולא בכדי, ארגונים רבים נכוו ועברו הונאת פישינג או היו חלק מניסיון של הונאת פישינג רגיל או ממוקד. כאשר אנו מדברים על ארגונים שהותקפו לרוב אנו יכולים לדבר על הדרג הניהולי שעבר התקפה כלשהיא ולא לשווא כי הונאת פישינג באה לתקוף את אותם ארגונים בדרג הניהולי בכדי לדלות מידע עסקי או לגרום נזק לארגון.
במקביל בעולם הפרטי אנו יכולים לראות פישינג שנעשה למשתמשים פרטיים ולרוב מגיע אל שירותי דואר נפוצים, כגון: Outlook, Gmail וכו’. כאשר אצל משתמשים פרטיים הפישניג נעשה בצורה יותר פשוטה ופחות מקצועית, אך לעיתים קרובות גם הונאת פישינג פשוטה עושה את העבודה.
דוגמא מתוך Outlook שמבקש ממני לעדכן את פרטי Paypal, מעניין מה היה קורה אילו הייתי נענה לאתגר של הפורץ…
הגנה מפני פישינג נחלקת לשני קטגוריות:
טכנולוגיה
אנו משקיעים בטכנולוגיה תקציבים רבים והעלויות של א”מ הולכות לטכנולוגיות ופתרונות, כגון:
- הגנה חיצונית – מערכות IPS, מערכות WAF, מערכות לסינון תכנים, אנטי ספאם, אנטי וירוס, מערכות DDOS ומערכות APT
- רשתות – הפרדה בין רשתות ארגוניות לבין רשתות חיצוניות, רשתות אינטרנט ועבודה עם מערכות פרוקסי ופתרונות אבטחת גישה לאינטרנט
- הקשחה – הקשחה של שרתים שעלולים להיות חשפוים לגישה חיצונית
- תקנים – הקשחה באמצעות תקנים: spf, dkim, dmarc שמונעת מקרים רבים של חשיפה לדומיינים לא מהימנים
- תחנות קצה ומשתמשים – הקשחת תחנות קצה עם מוצרי Endpoint למינהם, כספות להעברת קבצים ועוד
- מערכות ניהול – מערכות לניהול אירועים לגילוי מתקפות וניסונות התקפה, מעקב אחר הנעשה ברשת ועוד
גורם אנושי
מאחורי כל הטכנולוגיות הרבות נמצא המשתמש הפשוט שמקבל ושולח דואר לרוב בצורה נאיבית מכיוון שאינו מודע למתקפות, מיילים זדונים ופישינג בכלל. לכן לא משנה כמה תקציבים נשקיע בטכנולוגיות עדיין עקב אכילס הוא המשתמש הפשוט/החדש/זה שלא אוהב טכנולוגיות או שימוש בדואר/אינו מכיר טכנולוגיות ואפילו זה שממהר לסיים את העבודה ויענה על המייל הלא נכון.
הגורם האנושי נופל לקטגוריה של Social Engineering ולכן תוקפים יכולים בפשטות להוציא מידע ולגרום למשתמש לעשות את אותן בקשות של התוקף.
יחד עם זאת עם התקדמות הטכנולוגיה חלק מהמשתמשים הפכו להיות משתמשים מבינים יותר שערים להואנות ושאינם לוחצים על כל דבר וכתוצאה מכך פחות (ולא בצורה משמעותית) פחות משתמשים נופלים בהונאות.
יחד עם זאת אין על מה לשמוח כי פישיניג הפך להיות ממוקד יותר (Spear Phishing) כאשר המתקפות הפכו להיות ממוקדות יותר למשתמשים ספציפיים, קבוצת משתמשים ספציפיים או מישהו מוכר כביכול שיש לו מידע עליכם.
איך ניתן לזהות פישינג
שלב 1 – זיהוי
ניתן לזהות פישינג ע”י מספר פרמטרים, בין היתר:
- מייל ממקור לא מוסמך
- שגיאות כתב בנושא, בשולח ובגוף ההודעה
- מיילים שמסווגים כ: מתנות, זכיות וכו’
- נושאים שמושכים אותנו לענות, כגו עדכון פרטי אשראי או פרטים אישיים
- מגוון שיטות יצירתיות ומתוחכמות
- התחזות לאתרים פופולאריים
- התחזות לחברות/אתרים מוכרים
- הצעות לרכישת מוצרים במחירים זולים
שלב 2 – זיהוי והתראה
במידה ובוצע זיהוי של מייל מסוג פישינג אין ללחוץ על הקישור או לענות בדרך כלשהיא על המייל, במידה ולחצנו אנו נכנסים לשלב הראשון של המתפקה שבו אנו עלולים להריץ קוד או לחלופין להקליד פרטים מסוימים.
החל מרגע שלחצנו או הקלדנו פרטים אנו נמצאים במתפקת פישינג והתוקף יכול לעשות ככל העולה על רוחו וללא מגבלה, ביו אם זה לשנות סיסמאות, לעשות שינויים ברמת תיבת הדואר או במערכת אחרת ולדלות מידע כלל האפשר.
לכן בשלב זה אין ללחוץ על הקישור ולמחוק את ההודעה או לסווג אותה כספאם ישירות מתוך Outlook וכן לדווח על כך בין אם זה למנהל א”מ או לשירות EOP.
בשירות EOP ישנו תכונה חדשה Email Safety Tips שמאפשר לזהות פישניג בצורה ברורה וע”י סימון של המייל כמייל פישינג
שלב 3 – התגוננות לאחר מתקפה
במידה וכבר הותקפתם עדיין צריך להציל את המידע הארגוני ולנטרל את תיבת הדואר ופרטי המשתמש מהתוקף, בכדי לנטרל את המתקפה יש לשנות את פרטי המשתמש בעיקר סיסמא וניתוק מתוך הרשת למספר רגעים.
בדיקה של רכיבים שנפגעו, כדוגמת תיבת דואר עם חוקים חדשים שהוגדרו ע”י התוקף, גישה למערכות נוספות שכוללות את אותם פרטים של המשתמש.
שלב 4 – הערכת נזקים
לאחר שהותקפנו אנו צריכים לוודא האם משתמשים נוספים הותקפו, ישנם מצבים בהם הקוד נשלח לאחר הפריצה הראשונית מתוך אותו משתמש למשתמשים נוספים בארגון במטרה לבצע תקיפה לאותם משתמשים, ניתן לבדוק ע”י דואר נשלח האם ישנם משתמשים נוספים שניזוקו.
שלב 5 – הקשחה
אומנם זה שלב חמישי אך צריך להיות בהחלט השלב הראשון שצריך לאמץ ולהתגונן למתקפות פישינג
- חינוך המשתמשים לגבי דואר שאינו מהימן
- הקשחת הזדהות והגדרת SPF, DKIM,DMARC
- הגדרת MFA ככל האפשר למשתמשים בארגון ומחוצה לו
- הקשחת הגדרות ברמת EOP
- שימוש ביכולות ATP
- שימוש ביכולות Security נוספות של Exchange Online, כגון: ETR
- שימוש ביכולות נוספות של Azure Security ועבודה מול יכולות Azure AD
- שימוש ביכולות נוספות של שירותי רשת נוספים, כגון ADFS, MDM והתמקדות בנושא Conditional Access
