Większość pracowników biurowych nie ma wystarczającej wiedzy, aby rozpoznać wiadomości pocztowe stanowiące zagrożenie. Często nie wykazują się też czujnością ani motywacją, żeby pod tym kątem sprawdzać wiadomości. W sytuacji, gdy skuteczne narzędzia ochronne praktycznie wyeliminowały możliwość bezpośredniego zaatakowania serwerów poczty, to właśnie pracownicy stali się najbardziej wrażliwym celem, a atakujący zwykle wykorzystują metody bazujące na socjotechnice i manipulacji, które są coraz doskonalsze.

Według danych Barracuda Networks takie ataki lateralne przeprowadzono na co siódmą firmę na świecie, a średnio co dziesiąty okazał się skuteczny i doprowadził do przejęcia kontroli nad kontem poczty elektronicznej pracownika. Niemal w jednej trzeciej przypadków przestępcy zastosowali dodatkowe techniki w celu zwiększenia skuteczności i utrudnienia rozpoznania ataku.

Inteligentne skanowanie

Ani tradycyjne systemy ochrony poczty, ani standardowe mechanizmy oferowane przez usługodawców chmurowych nie są skuteczne w przypadku dobrze przygotowanych ataków ukierunkowanych. Dużą przeszkodą w ich odpieraniu jest brak osób, które mają wysokiej klasy przygotowanie techniczne w zakresie obsługi danego rozwiązania pocztowego oraz wystarczającą wiedzę na temat zabezpieczanej firmy i jej procesów biznesowych. Definiowanie reguł filtrowania poczty, które skutecznie odróżniałyby prawdziwe wiadomości od tych inicjujących atak (szczególnie jeżeli na pierwszy rzut oka wyglądają identycznie) jest bardzo trudne i pracochłonne, a ich ręczna modyfikacja w reakcji na atak praktycznie niemożliwa.

W odpowiedzi na te wyzwania specjaliści Barracuda Networks stworzyli rozwiązanie Sentinel, które wykorzystuje mechanizmy głębokiego uczenia i sztucznej inteligencji. Dzięki wbudowanemu interfejsowi API, umożliwiającemu pełną integrację z Office 365, oraz analizie wcześniejszych wiadomości pocztowych Sentinel uczy się rozpoznawać nie tylko zawartość e-maili, ale też unikalne wzorce komunikacyjne pracowników, a następnie wykorzystuje je do identyfikowania anomalii i kwarantanny ataków w czasie rzeczywistym.

Szczegółowa analiza nagłówka i treści wiadomości zapewnia skuteczną ochronę przed atakami wykorzystującymi przejęte konta innych osób (Account Takeover), ukierunkowanym phishingiem (spear phishing), zagrożeniami „zero-day” i wieloma innymi. Sentinel nieustannie się uczy, obserwując reakcje pracowników (np. wyjęcie e-maila z kwarantanny), i na bieżąco dostosowuje się do zmieniających się warunków działania przedsiębiorstwa.

W sukurs administratorom przychodzi też inne rozwiązanie – Barracuda Forensics and Incident Response. Automatyzuje wykrywanie anomalii w poczcie elektronicznej i reagowanie na incydenty. Przykładowo, po wykryciu podejrzanego e-maila system szybko wyszukuje innych adresatów, którzy otrzymali tę samą wiadomość i centralnie kasuje ją z ich skrzynek lub przenosi do kwarantanny. Oprogramowanie identyfikuje też użytkowników, którzy już otworzyli taką przesyłkę i kliknęli na zawarte w niej odnośniki – dzięki temuwymusza się szybką zmianę haseł do firmowych kont lub przeskanowanie komputera pod kątem obecności złośliwego kodu.

Barracuda Networks oferuje też specjalny moduł szkoleniowy Phishline, który uczy pracowników rozpoznawać charakterystyczne cechy typowych kampanii phishingowych. Przeszkoleni w razie ataku mają większą szansę obrony.

Tomasz Rot
Sales Director CEE,Barracuda Networks

Coraz częściej do ataków phishingowych wykorzystywane są e-maile pisane poprawną polszczyzną, wysyłane rzekomo w imieniu polskich instytucji. Wiarygodność wiadomości podnosi też dostosowywanie ich treści do atakowanego podmiotu, czyli tzw. spear phishing. Ponadto cyberprzestępcy nie tylko próbują podszywać się pod pracowników firmy, „wstrzykując” fałszywe e-maile z zewnątrz, ale też wykorzystują do ich wysyłania rzeczywiste konta, na które udało im się wcześniej włamać.