Начну с некоторых цифр:

• 80% успешных атак начинается с фишинга (а кто-то считает, что и вовсе 95%)
• 10% сигналов тревоги в большинстве SOC связано с фишинговыми атаками
• Рейтинг успешных кликов на фишинговые ссылки — 21%
• Рейтинг загрузки/запуска вредоносных вложений – 11%

Все это говорит о том, что фишинг остается одной из основных причин многих инцидентов и источником проблем для многих специалистов по информационной безопасности. При этом фишинг часто недооценен и борьба с ним носит достаточно фрагментарный характер. Поэтому мы решили составить чеклист, который описывает набор организационных и технических мер по борьбе с этой киберугрозой.



Я бы выделил 5 наборов мероприятий по защите от фишинговых атак, которые необходимо реализовать на каждом предприятии:

• Изучение информации. Кто из ваших пользователей указал свои контактные данные в соцсетях или в иных источниках? Именно со сбора этих данных начинается фишинговая атака. Поэтому не ждите, когда это сделают злоумышленники, узнайте, как ваша компания выглядит с точки зрения злоумышленников.
• Обучение и повышение осведомленности персонала. Так как фишинг ориентирован на неквалифицированных в ИБ пользователей, то с них и надо начинать борьбу с фишингом. И хотя это не гарантирует полной защиты, но убережет их от простых ошибок, с которых и начинаются серьезные инциденты.
• Базовые защитные меры. Прежде чем идти покупать и внедрять средства защиты от фишинговых атак, начать все-таки стоит с включения базовых защитных механизмов, многие из которых встроены в почтовые сервера и сервисы, почтовые клиенты и браузеры.
• Продвинутые защитные меры. Так как фишинг бывает достаточно сложным и базовые меры не всегда спасают, то могут понадобиться и продвинутые защитные меры, которые выявляют и нейтрализуют фишинговую атаку на разные ее этапах — от попадания в почтовый ящик или клика на фишинговую ссылку до попытки заражения рабочей станции или коммуникации с командными серверами.
• Выстраивание процесса. Наконец, чтобы от эпизодических действий по защите перейти к целостной стратегии защиты, необходимо выстроить соответствующие процессы.

Проанализируйте информацию о вас

• Проверяйте социальные сети и страницы своих сотрудников, которые могут указывать свои контактные данные, которые будут использованы злоумышленниками. Если этого не требуют служебные обязанности, такую информацию лучше не публиковать.
• Используйте специализированный инструментарий (например, входящая в состав Kali Linux утилита TheHarvester или recon-ng) для того, чтобы «глазами хакера» увидеть, какие контактные данные могут быть получены из Интернет.
• Проверьте тайпсквоттинговые домены с помощью специальных утилит (например, URLcrazy) или облачных сервисов (например, Cisco Umbrella Investigate).

Обучение и повышение осведомлённости

• Проведите обучение неИБ-сотрудников по вопросам фишинга и социального инжиниринга и научите их обращать внимание на признаки фишинговых сообщений и сайтов (например, можно воспользоваться простым тестом на внимательность на сайте Cisco Umbrella).
• Проведите обучение сотрудников службы ИБ по методам, используемым для организации фишинговых компаний (например, посмотрите запись Cisco Phishing Defense Virtual Summit).
• Научите рядовых пользователей перенаправлять в службу ИБ все подозрительные или явно вредоносные сообщения, пропущенные системой защиты.
• Внедрите систему компьютерного обучения сотрудников.
• Проводите регулярные фишинговые симуляции с помощью приобретенного или бесплатного ПО (например, Gophish) или аутсорсинга данной услуги.
• Включите тему защиты от фишинга в программу повышения осведомленности сотрудников (например, путем использования плакатов, хранителей экрана, геймификации, канцтоваров и т.п.).
• При необходимости уведомляйте клиентов и партнеров о фишинговых атаках и основных способах борьбы с ними (особенно если того требует от вас законодательство, как это необходимо финансовым организациям в России).

Технические меры: базовые

• Настройте антифишинговые возможности почтовых серверов, включая и почтовые облачные сервисы (например, Office 365), и клиентов.
• Регулярно обновляйте системное и прикладное ПО, включая плагины к браузерам, и операционные системы с целью устранения уязвимостей, которые могут быть использованы в рамках фишинговых атак.
• Настройте браузеры для защиты от посещения фишинговых доменов (за счет встроенных возможностей или дополнительных плагинов).
• Включите на вашем почтовом шлюзе SPF (Sender Policy Framework), который позволяет проверять IP-адрес внешнего отправителя (проверка только узла отправителя, а не самого сообщения) для входящих сообщений.
• Включите на вашем почтовом шлюзе DKIM (Domain Keys Identified Mail), который обеспечивает идентификацию внутреннего отправителя (для исходящих сообщений).
• Включите на вашем почтовом шлюзе DMARC (Domain-based Message Authentication, Reporting and Conformance), который предотвращает получение сообщений, которые выглядят как отправленные легитимными отправителями.
• Включите на вашем почтовом шлюзе DANE (DNS-based Authentication of Named Entities), который позволяет бороться с атаками «человек посередине» внутри взаимодействия по протоколу TLS.

Технические меры: продвинутые

• Внедрите средство для защиты от фишинговых атак в электронной почте (например, Cisco E-mail Security), включающее различные защитные меры (анализ репутации, антивирусный сканер, контроль типов вложений, обнаружение аномалий, обнаружение спуфинга, инспекция URL в ссылках, песочница и т.п.).
• Установите средства защиты на ПК (например, Cisco AMP for Endpoint) или мобильные устройства (например, Cisco Security Connector) для защиты от вредоносного кода, установленного на оконечном устройстве в результате успешной фишинговой атаки.
• Подпишитесь на фиды Threat Intelligence для получения оперативной информации о фишинговых доменах (например, Cisco Threat Grid или SpamCop).
• Используйте API для проверки доменов/отправителей в различных сервисах Threat Intelligence (например, Cisco Threat Grid, Cisco Umbrella и т.п.).
• Фильтруйте взаимодействие с C2 по различным протоколам — DNS (например, с помощью Cisco Umbrella), HTTP/HTTPS (например, с помощью Cisco Firepower NGFW или Cisco Web Security) или иных протоколов (например, с помощью Cisco Stealthwatch).
• Отслеживайте взаимодействие с Web для контроля кликов на ссылки в сообщениях, подгрузки вредоносного ПО при запуске вложений или для блокирования фишинга через социальные сети.
• Используйте плагины для почтовых клиентов для автоматизации взаимодействия со службой безопасности или производителем в случае обнаружения фишинговых сообщений, пропущенных системой защиты (например, Cisco E-mail Security plugin for Outlook).
• Интегрируйте систему динамического анализа файлов («песочницу») с системой защиты электронной почты для контроля вложений в сообщения электронной почты (например, Cisco Threat Grid).
• Интегрируйте ваш центр мониторинга безопасности (SOC) или систему расследования инцидентов (например, Cisco Threat Response) с системой защиты электронной почты для оперативного реагирования на фишинговые атаки.

Процессы

• Разработайте регламент работы с обращениями клиентов или иных лиц, заявляющих об обнаружении тайпсквоттинговых доменов или доменов-клонов.
• Разработайте регламент (playbook) мониторинга тайпсквоттинговых доменов или доменов-клонов, включая и реагирование на них.
• Разработайте регламент (playbook) мониторинга фишинговых атак, включая и реагирование на них.
• Разработайте регламент и шаблоны уведомления ФинЦЕРТ (для финансовых организаций) и ГосСОПКА (для субъектов КИИ) о фишинговых атаках.
• Проводите расследование фишинговых доменов (например, с помощью Cisco Umbrella Investigate) с целью получения информации о новых фишинговых доменах, которые могут быть использованы в будущем.
• Разработайте регламент взаимодействия с уполномоченными организациями (например, ФинЦЕРТ или НКЦКИ) для разделегирования фишинговых доменов.
• Разработайте систему показателей оценки эффективности защиты от фишинга.
• Разработайте систему отчетности по антифишинговой защите и отслеживайте ее динамику.
• Организовывайте регулярные киберучения по антифишинговой защите для своих сотрудников.
• Разработайте политику использования e-mail в организации.

Чем полнее будет реализован данный чеклист, тем эффективнее будет ваша защита от фишинга.