Tin tức và phân tích của tất cả các thiết bị di động

Nghiên cứu BitDam đưa ra tỷ lệ hoa hậu cao của các hệ thống bảo mật email hàng đầu

Hãy tưởng tượng nhận được một email từ tài khoản email chính thức của VP Mike Pence của Hoa Kỳ yêu cầu giúp đỡ vì anh ta đã bị mắc kẹt ở Philippines.

Thật ra, bạn không cần phải làm vậy. Điều này thực sự đã xảy ra.

Email của Pence đã bị hack khi anh ta vẫn còn là thống đốc bang Indiana và tài khoản của anh ta đã được sử dụng để cố gắng lừa gạt nhiều người. Làm thế nào điều này xảy ra? Nó có giống với cách máy chủ DNC bị hack không?

Hack email là một trong những mối đe dọa mạng phổ biến nhất hiện nay. Ước tính xung quanh 8 trong số 10 người sử dụng internet đã nhận được một số hình thức tấn công lừa đảo thông qua email của họ. Ngoài ra, theo Báo cáo Phish toàn cầu năm 2019 của Avanan, 1 trong 99 email là một cuộc tấn công lừa đảo.

BitDam nhận thức được các email quan trọng như thế nào trong giao tiếp hiện đại. BitDam đã công bố một nghiên cứu mới về những điểm yếu phát hiện mối đe dọa email của những người chơi hàng đầu về bảo mật email và sự chú ý của lệnh phát hiện. Nhóm nghiên cứu đã phát hiện ra cách Office365 ATP và Google G Suite của Microsoft bị cho là cực kỳ yếu khi xử lý các mối đe dọa chưa biết. Ngoài ra, thời gian phát hiện (TTD) của họ có thể mất tới hai ngày kể từ lần gặp đầu tiên với các cuộc tấn công không xác định.

Làm thế nào các hệ thống an ninh hàng đầu ngăn chặn các cuộc tấn công

Hệ thống bảo mật email giải quyết các mối đe dọa trên mạng bằng cách quét các liên kết và tệp đính kèm để xác định xem chúng có an toàn hay không.

Sau đó, họ có thể tự động chặn các liên kết và ngăn tải xuống hoặc thực hiện các tệp đính kèm. Trong hầu hết các trường hợp, để xác định các mối đe dọa, các hệ thống bảo mật so sánh các tệp được quét hoặc liên kết với cơ sở dữ liệu về các chữ ký đe dọa. Họ sử dụng các dịch vụ danh tiếng hoặc một giao thức săn đe dọa để theo dõi các cuộc tấn công có thể dựa trên dữ liệu mối đe dọa từ nhiều nguồn khác nhau.

Mặc dù vậy, các liên kết hoặc tệp đính kèm được coi là an toàn trong lần quét đầu tiên không phải lúc nào cũng an toàn. Có nhiều trường hợp khi các hệ thống bảo mật không lọc được các mối đe dọa vì chúng chưa cập nhật cơ sở dữ liệu về mối đe dọa của chúng. Bởi vì điều này, khoảng cách trong phát hiện tồn tại. Có thể có tới ba lỗ hổng phát hiện trong một hệ thống bảo mật điển hình. Những lỗ hổng này thể hiện các lỗ hổng hoặc cơ hội cho các cuộc tấn công email xâm nhập.

Có những hệ thống bảo mật lợi dụng trí tuệ nhân tạo để làm cho việc học và phát hiện mối đe dọa tự động và hiệu quả hơn. Họ sử dụng dữ liệu từ các cuộc tấn công trước đó và các hành động tương ứng của quản trị mạng hoặc chủ sở hữu máy tính để đưa ra các phán đoán tốt hơn cho các sự cố tiếp theo.

Cuộc gặp gỡ đầu tiên cao Tỷ lệ hoa hậu và TTD: Sự bất cập của bảo mật email hiện tại

Bất chấp tất cả những tiến bộ trong bảo mật email, lỗ hổng vẫn tồn tại. Như đã đề cập trước đó, các hệ thống bảo mật email hàng đầu Office365 ATP và G Suite sẽ mất hiệu quả phát hiện khi gặp các mối đe dọa chưa biết. Dựa trên kết quả kiểm tra của BitDam, Office365 có tỷ lệ bỏ lỡ lần gặp trung bình là 23% trong khi G Suite có 35.5%. Họ cũng có những TTD dài đáng chú ý sau lần gặp đầu tiên. TTD cho Office365 và G Suite đã được ghi lại vào 48 giờ và 26.4 giờ, tương ứng.

Để làm rõ, các mối đe dọa chưa biết là mối đe dọa mà lần đầu tiên các hệ thống an ninh gặp phải – những mối đe dọa chưa có trong cơ sở dữ liệu chữ ký của chúng. Sự tối nghĩa là tương đối, mặc dù. Các mối đe dọa không được xác định cho một hệ thống có thể không được biết đến với các hệ thống khác.

Đó là lý do tại sao có sự khác biệt đáng kể về tỷ lệ bỏ lỡ của Office365 và G Suite. Bất kể, những mối đe dọa chưa biết này dường như là gót chân Achilles của bảo mật email hiện tại nói chung. Chúng có vẻ không quan trọng bởi vì chúng giống như một điểm yếu tạm thời được sửa chữa theo thời gian, nhưng chúng mở ra một cửa sổ quan trọng cho sự xâm nhập của cuộc tấn công.

Cũng đáng lưu ý rằng các mối đe dọa chưa biết không nhất thiết là phần mềm độc hại hoặc hình thức tấn công hoàn toàn mới. Theo nghiên cứu của BitDam, chúng có thể chỉ là biến thể của các mối đe dọa hiện có nhanh chóng được tung ra với sự trợ giúp của trí tuệ nhân tạo. Điều này có nghĩa là chúng cực kỳ dễ sản xuất, gây ra vấn đề gia tăng theo cấp số nhân cho các hệ thống an ninh gặp khó khăn trong việc phát hiện các mối đe dọa chưa biết.

Trong các thử nghiệm của BitDam, các mối đe dọa mới, cùng với các phiên bản sửa đổi của chúng, đã được sử dụng để kiểm tra hiệu quả phát hiện của các hệ thống bảo mật hàng đầu. Hầu hết các mối đe dọa được sửa đổi được coi là không xác định / chưa biết mặc dù các mối đe dọa "nguồn" của chúng đã được ghi lại trong cơ sở dữ liệu chữ ký mối đe dọa.

Để một hệ thống bảo mật email được coi là đáng tin cậy, nó không thể tiếp tục có lỗ hổng có tỷ lệ bỏ sót phát hiện lần đầu tiên cao.

Những thách thức trong việc chống hack email

Để một cuộc tấn công email thành công, các cuộc tấn công liên tục được kết hợp với ít nhất một trong các yếu tố sau là cần thiết.

  • Mật khẩu yếu
  • An ninh mạng không biết chữ người dùng rơi vào các cuộc tấn công kỹ thuật xã hội
  • Sự vắng mặt của một hệ thống bảo mật email đáng tin cậy

Một trong những phương pháp chính được sử dụng để hack email là đoán mật khẩu. Với phỏng đoán đơn giản và có giáo dục (thu thập thông tin chi tiết về nạn nhân), tin tặc liên tục nhập mật khẩu cho đến khi chúng vấp phải mật khẩu hoạt động. Nhiều người có thể nghĩ rằng chiến thuật này quá thô sơ để có ý nghĩa, nhưng có nhiều trường hợp khi tài khoản email bị xâm phạm dễ dàng vì chủ tài khoản sử dụng mật khẩu đơn giản và có thể dự đoán được.

Kỹ thuật xã hội là về việc lừa nạn nhân làm những việc khiến họ vô tình tiết lộ thông tin được cho là bí mật hoặc cho đi những thứ mà họ không muốn. Lừa đảo được cho là hình thức phổ biến nhất của kỹ thuật xã hội – nạn nhân không nghi ngờ nhập tên người dùng và mật khẩu của họ hoặc cung cấp thông tin trên một trang web có vẻ hợp pháp nhưng thực sự là đánh cắp thông tin.

Modus operandi bắt đầu với kẻ tấn công gửi cho nạn nhân một email yêu cầu hành động khẩn cấp. Đó có thể là một thông báo cho nạn nhân thay đổi mật khẩu ngân hàng trực tuyến của họ sau khi "vi phạm" đã được phát hiện hoặc một tin nhắn chúc mừng đi kèm với một liên kết đưa nạn nhân đến một hình thức trực tuyến mà họ phải điền để họ có thể yêu cầu giải thưởng của họ .

Bảo mật email cũng có thể bị vi phạm thông qua các tệp đính kèm có phần mềm độc hại. Nhấp vào tệp đính kèm email bất thường có thể dẫn đến việc cài đặt phần mềm gián điệp hoặc keylogger không chủ ý, có thể lấy mật khẩu và dữ liệu quan trọng khác từ các máy tính bị nhiễm. Một số phần mềm độc hại cũng có thể được thiết kế để mô phỏng các biểu mẫu thông qua cửa sổ bật lên hoặc phương thức windows, lừa dối nạn nhân nhập thông tin đăng nhập của họ.

Các hệ thống bảo mật hàng đầu hiện nay không thể bảo vệ các tài khoản có mật khẩu yếu hoặc có thể dự đoán được. Họ cũng không thể đảm bảo bảo vệ chống lại kỹ thuật xã hội. Họ chỉ dự kiến ​​tập trung vào việc chặn các tệp đính kèm và liên kết tệp bị nhiễm phần mềm độc hại. Thật không may, ngay cả khi nói đến khía cạnh này, họ có những điểm yếu nghiêm trọng. Như đã nêu trước đó, họ có tỷ lệ bỏ lỡ lần đầu tiên cao và cần thời gian để tìm hiểu cách chặn các mối đe dọa chưa biết.

Tăng cường bảo mật được đề xuất

BitDam gợi ý một sự cải tiến trong cách thức hoạt động của các hệ thống bảo mật email hàng đầu: giới thiệu lớp bảo vệ không đe dọa. Các thử nghiệm của BitDam cho thấy cách tiếp cận phát hiện dựa trên mô hình đã tăng đáng kể tỷ lệ phát hiện cuộc chạm trán đầu tiên. Nó thậm chí còn đưa TTD xuống không. Phần mềm độc hại mà Office365 và G Suite không phát hiện được đã được xác định một cách hiệu quả bằng phương pháp dựa trên mô hình của BitDam.

Vậy làm thế nào để phương pháp dựa trên mô hình này hoạt động?

Về cơ bản, nó lấy đi sự tập trung vào việc so sánh các tệp được quét với dữ liệu về các mối đe dọa hiện có. Thay vào đó, nó xem xét cách các ứng dụng hoạt động khi giao tiếp với các tệp nhất định. Nó tạo ra một mô hình (do đó mô tả "hướng theo mô hình") về luồng thực thi ứng dụng "sạch" trông như thế nào.

Các ứng dụng hoạt động khác nhau khi chúng đang xử lý các tệp được tẩm mã hoặc phần mềm độc hại không mong muốn. Nếu các ứng dụng không hoạt động trơn tru khi xử lý tệp, phán quyết hợp lý duy nhất là tệp đó là bất thường, độc hại hoặc có hại. Như vậy, nó phải bị chặn.

Chiến lược theo mô hình này không tìm cách thay thế các phương pháp dựa trên dữ liệu. Nó có nghĩa là để phục vụ như là một bổ sung. Nó cũng có thể có kết quả dương tính giả, vì vậy sẽ tốt hơn nếu sử dụng nó cùng với việc so sánh dữ liệu đe dọa để xác định rằng các mối đe dọa nhận thức bị chặn thực sự có hại.

Phương pháp nghiên cứu của BitDam

BitDam bắt đầu nghiên cứu vào tháng 10 năm 2019, thu thập hàng ngàn mẫu tệp độc hại "mới" từ nhiều nguồn khác nhau. Nó tập trung vào Office365 ATP và G Suite, nhưng ProofPoint Toque được thiết lập để thêm vào khi quá trình nghiên cứu tiếp tục.

Quá trình có thể được tóm tắt như sau:

  1. Bộ sưu tập – Các nhà nghiên cứu có được nhiều mẫu tập tin độc hại. Hầu hết trong số đó là các tệp Office và PDF.
  2. Trình độ chuyên môn – Sau khi thu thập các mẫu, các nhà nghiên cứu xác định rằng chúng thực sự độc hại / có hại. Chỉ các tập tin thực sự có hại được sử dụng cho các bài kiểm tra.
  3. Sửa đổi – Các tệp độc hại đã được xác minh sau đó được sửa đổi để chúng có thể được xem là mối đe dọa mới của các hệ thống bảo mật. Các nhà nghiên cứu của BitDam đã sử dụng hai phương pháp để sửa đổi này. Một phương pháp là bằng cách thay đổi hàm băm của tệp với việc thêm dữ liệu lành tính vào nó. Phương pháp khác đòi hỏi phải sửa đổi chữ ký tĩnh của macro.
  4. Gửi – Các tệp độc hại được thu thập gần đây và các biến thể của chúng (bản sao đã sửa đổi) sau đó được gửi đến hộp thư được coi là có sự bảo vệ tốt. Đối với hộp thư G Suite Enterprise, các tùy chọn nâng cao được kích hoạt, bao gồm hộp cát ở chế độ trước khi giao hàng.
  5. Giám sát và Đo lường – Các hộp thư sau đó được theo dõi và đo hiệu quả phát hiện mối đe dọa. Các tệp nhận được mối đe dọa trong quá khứ được gửi lại vào hộp thư cứ sau 30 phút trong bốn giờ đầu tiên (sau khi tệp được gửi). Trong 20 giờ tiếp theo, tần suất gửi lại được giảm xuống cứ sau sáu giờ. Tần suất gửi lại được giảm xuống còn một lần trong sáu giờ trong bảy ngày tiếp theo.
  6. Thu thập và phân tích dữ liệu – Tất cả các chi tiết được tạo ra bởi các bài kiểm tra sau đó được biên soạn và kiểm tra.

Sửa đổi các tệp độc hại được thu thập là một phần thiết yếu của quy trình do BitDam chưa có quyền truy cập vào phần mềm độc hại mới nhất chưa được nhập vào các cơ quan đăng ký mối đe dọa của Microsoft và Google. Hãy lưu ý rằng các tệp sẽ được gửi qua email (Outlook và Gmail). Các hệ thống bảo mật của Microsoft và Google sẽ ngay lập tức chặn tệp đính kèm của các tệp độc hại trong quá trình cấu thành các email kiểm tra.

Các nhà nghiên cứu đã nghĩ ra những cách để sửa đổi các mối đe dọa cho Google và Microsoft để coi chúng là hoàn toàn mới và chưa biết. Do đó, khả năng chặn các tệp đính kèm bị giảm đáng kể.

Có tùy chọn sử dụng các dịch vụ email như SendGrid, không thực hiện quét phần mềm độc hại. Tuy nhiên, các nhà nghiên cứu phát hiện ra rằng các tài khoản họ sử dụng đã đóng băng trong vòng chưa đầy 24 giờ.

Kết luận

Một lần nữa, BitDam không tuyên bố đã thu thập phần mềm độc hại chưa có trong cơ sở dữ liệu chữ ký đe dọa của Microsoft và Google. Một số thách thức đã được xóa để BitDam hoàn thành các bài kiểm tra và đưa ra kết luận táo bạo rằng một sự thay đổi mô hình là theo thứ tự.

Việc các nhà nghiên cứu quản lý để thêm tệp đính kèm phần mềm độc hại vào email mà họ đã gửi để kiểm tra chứng minh rằng các sửa đổi tối thiểu là đủ để các hệ thống bảo mật xem các mối đe dọa phái sinh là ẩn số. Hiệu quả phát hiện của họ sau đó bị gián đoạn, do đó phải chịu tỷ lệ bỏ lỡ lần đầu tiên cao.

Các cuộc tấn công không xác định gây ra rủi ro nghiêm trọng, chủ yếu là do tính chất điều khiển dữ liệu của hầu hết các giải pháp bảo mật email. Cần phải tăng cường các hệ thống bảo mật bằng chiến lược dựa trên mô hình, vì vậy việc phát hiện không chỉ dựa vào các cập nhật chữ ký đe dọa.

Ngoài ra, điều quan trọng là tiếp tục giáo dục mọi người về an ninh mạng. Hệ thống bảo mật email không cung cấp bảo vệ chăn. Đáng chú ý là chúng không có khả năng ngăn chặn sự xâm nhập có thể xảy ra bằng cách sử dụng mật khẩu và độ tin cậy có thể dự đoán được (dễ dàng rơi vào tình trạng lừa đảo hoặc kỹ thuật xã hội).

Mục lục