Stanowiska

W ostatnim roku jednym z najważniejszych tematów związanych z bezpieczeństwem poczty elektronicznej był DMARC, a ransomware stało się jednym z najbardziej szkodliwych finansowo cyberprzestępstw tego roku. Co to jest DMARC? Domain-Based Message Authentication, Reporting and Conformance jako protokół uwierzytelniania poczty elektronicznej jest używany przez właścicieli domen organizacji dużych i małych, w celu ochrony ich domen przed Business Email Compromise (BEC), bezpośrednim spoofingiem domeny, atakami phishingowymi i innymi formami oszustw pocztowych.

DMARC pomaga Ci cieszyć się wieloma korzyściami, takimi jak znaczny wzrost dostarczalności wiadomości e-mail i reputacji domeny. Jednak mniej znanym faktem jest to, że DMARC służy również jako pierwsza linia obrony przed Ransomware. Wyjaśnijmy, jak DMARC może chronić przed Ransomware i jak ransomware może wpłynąć na Ciebie.

Co to jest Ransomware?

Ransomware to rodzaj złośliwego oprogramowania(malware), które jest instalowane na komputerze, zazwyczaj za pomocą złośliwego oprogramowania. Celem złośliwego kodu jest zaszyfrowanie plików na komputerze, po czym zazwyczaj żąda zapłaty w celu ich odszyfrowania.

Po zainstalowaniu złośliwego oprogramowania przestępca żąda od ofiary zapłacenia okupu w celu przywrócenia dostępu do danych. Pozwala ono cyberprzestępcom szyfrować wrażliwe dane w systemach komputerowych, skutecznie chroniąc je przed dostępem. Następnie cyberprzestępcy żądają od ofiary zapłacenia okupu w celu usunięcia szyfrowania i przywrócenia dostępu do danych. Ofiary są zazwyczaj konfrontowane z wiadomością, która informuje je, że ich dokumenty, zdjęcia i pliki muzyczne zostały zaszyfrowane i że muszą zapłacić okup, aby rzekomo "przywrócić" dane. Zazwyczaj proszą użytkowników o zapłatę w Bitcoin i informują, jak długo muszą płacić, aby nie stracić wszystkiego.

Jak działa oprogramowanie Ransomware?

Ransomware pokazało, że słabe środki bezpieczeństwa narażają firmy na duże ryzyko. Jednym z najskuteczniejszych mechanizmów dostarczania ransomware jest phishing e-mailowy. Ransomware jest często rozprzestrzeniane poprzez phishing. Często ma to miejsce, gdy dana osoba otrzymuje złośliwy e-mail, który nakłania ją do otwarcia załącznika zawierającego plik, któremu powinna zaufać, np. fakturę, a który zamiast tego zawiera złośliwe oprogramowanie i rozpoczyna proces infekcji.

E-mail będzie twierdził, że jest czymś oficjalnym od znanej firmy i zawiera załącznik udający legalne oprogramowanie, dlatego jest bardzo prawdopodobne, że niczego nie podejrzewający klienci, partnerzy lub pracownicy, którzy są świadomi Twoich usług, padną ich ofiarą.

Badacze bezpieczeństwa doszli do wniosku, że wybór organizacji, która może stać się celem ataków phishingowych zawierających złośliwe linki do pobrania złośliwego oprogramowania, jest "oportunistyczny". Wiele ransomware nie ma żadnych zewnętrznych wskazówek co do tego, kogo obrać za cel, a często jedyną rzeczą, która nim kieruje, jest czysta okazja. Oznacza to, że każda organizacja, czy to mała firma, czy duże przedsiębiorstwo, może stać się następnym celem, jeśli ma luki w zabezpieczeniach poczty elektronicznej.

2021 najnowszych raportów dotyczących trendów w bezpieczeństwie dokonało następujących niepokojących odkryć:

  • Od 2018 roku nastąpił 350% wzrost ataków ransomware, co czyni go jednym z najpopularniejszych wektorów ataku w ostatnim czasie.
  • Eksperci ds. cyberbezpieczeństwa uważają, że w 2021 r. będzie więcej ataków ransomware niż kiedykolwiek.
  • Ponad 60% wszystkich ataków ransomware w 2020 r. wiązało się z działaniami społecznymi, takimi jak phishing.
  • Liczba nowych wariantów ransomware wzrosła o 46% w ciągu ostatnich 2 lat
  • Wykryto 68 000 nowych trojanów ransomware na urządzenia mobilne
  • Badacze bezpieczeństwa szacują, że co 14 sekund firma pada ofiarą ataku ransomware

Czy DMARC chroni przed Ransomware? DMARC i Ransomware

DMARC jest pierwszą linią obrony przed atakami ransomware. Ponieważ ransomware jest zwykle dostarczane do ofiar w formie złośliwych wiadomości phishingowych ze sfałszowanych lub podrobionych domen firmowych, DMARC pomaga chronić Twoją markę przed podszywaniem się pod nią, co oznacza, że takie fałszywe wiadomości będą oznaczone jako spam lub nie zostaną dostarczone, jeśli masz poprawnie skonfigurowany protokół. DMARC i Ransomware: jak DMARC pomaga?

  • DMARC uwierzytelnia Twoje e-maile w oparciu o standardy uwierzytelniania SPF i DKIM, które pomagają filtrować złośliwe adresy IP, fałszerstwa i podszywanie się pod domeny.
  • Gdy na serwer klienta/pracownika dotrze e-mail phishingowy, którego kuratorem jest atakujący, zawierający złośliwy link do instalacji ransomware'u pochodzącego z Twojej domeny, jeśli masz
  • Wdrożony DMARC powoduje, że email jest uwierzytelniany względem SPF i DKIM.
  • Serwer odbierający próbuje zweryfikować źródło wysyłania i podpis DKIM
  • Złośliwa wiadomość e-mail nie przejdzie weryfikacji i ostatecznie nie przejdzie uwierzytelnienia DMARC z powodu błędnego dopasowania domeny.
  • Teraz, jeśli zaimplementowałeś DMARC w trybie wymuszonej polityki (p=reject/quarantine), email po niepowodzeniu DMARC zostanie oznaczony jako spam, lub odrzucony, niwecząc szanse Twoich odbiorców na padnięcie ofiarą ataku ransomware.
  • Wreszcie, unikaj dodatkowych błędów SPF, takich jak zbyt wiele wyszukiwań DNS, błędy składniowe i błędy implementacji, aby zapobiec unieważnieniu protokołu uwierzytelniania emaili.
  • To ostatecznie chroni reputację Twojej marki, poufne informacje i aktywa finansowe.

Pierwszym krokiem do uzyskania ochrony przed atakami ransomware jest zapisanie się do DMARC analyzer już dziś! Pomożemy Ci wdrożyć DMARC i przejść do egzekwowania DM ARC łatwo i w jak najkrótszym czasie. Rozpocznij swoją podróż z uwierzytelnianiem poczty elektronicznej już dziś dzięki DMARC.

Dowiedz się, jak opublikować rekord DMARC

Zanim przejdziemy do publikowania rekordu DMARC, ważne jest, aby zrozumieć, co to jest rekord DMARC? Rekord DMARC jest niczym innym jak rekordem DNS TXT, który może być opublikowany w DNS Twojej domeny (Domain Naming System) tak, aby skonfigurować Domain-Based Message Authentication, Reporting, and Conformance lub DMARC dla Twojej domeny. Poprzez skonfigurowanie DMARC dla Twojej domeny, Ty jako właściciel domeny masz teraz możliwość określenia serwerom odbiorczym, w jaki sposób powinny one reagować na e-maile, które są wysyłane z nieautoryzowanych lub nielegalnych źródeł.

Instrukcje dotyczące generowania rekordu DMARC

Proces generowania Twojego rekordu DNS DMARC jest niezwykle prosty, jeśli użyjesz do tego celu naszego darmowego narzędzia generatora rekordów DMARC. Wszystko co musisz zrobić to wypełnić poniższe kryteria:

  • Wybierz tryb polityki DMARC (jeśli dopiero zaczynasz przygodę z uwierzytelnianiem emaili, zalecamy na początek politykę p=none, abyś mógł monitorować przepływ emaili)
  • Wybierz tryb polityki DMARC dla Twoich subdomen (zalecamy aktywację tego kryterium tylko wtedy, gdy chcesz wybrać inną politykę dla swoich subdomen, w przeciwnym razie domyślnie przyjmują one tę samą politykę co domena główna)
  • Wpisz żądane adresy e-mail, na które mają być dostarczane raporty DMARC RUA (zbiorcze) i RUF (Forensic)
  • Wybierz tryb wyrównania DKIM (dla ścisłego wyrównania sygnatura DKIM w nagłówku emaila musi być dokładnie zgodna z domeną znalezioną w nagłówku from. Dla luźnego wyrównania dwie domeny muszą dzielić tę samą domenę organizacyjną)
  • Wybierz tryb wyrównania SPF (dla ścisłego wyrównania domena w nagłówku Return-path musi być dokładnie taka sama jak domena znajdująca się w nagłówku from. Dla wyrównania zrelaksowanego obie domeny muszą dzielić tę samą domenę organizacyjną)
  • Wybierz swoje opcje kryminalistyczne (określa to, w jakich okolicznościach chcesz otrzymywać raporty kryminalistyczne)

Typowy wolny od błędów rekord DMARC wygląda mniej więcej tak:

v=DMARC1; p=none; sp=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Wygenerowany rekord należy teraz opublikować w DNS Twojej domeny na subdomenie: _dmarc.YOURDOMAIN.com

Jak opublikować swój rekord DMARC? 

Aby opublikować wygenerowany rekord DMARC, musisz zalogować się do swojej konsoli DNS i przejść do konkretnej domeny, dla której chcesz skonfigurować DMARC.

Po przejściu do domeny w konsoli zarządzania DNS, będziesz musiał określić nazwę hosta i typ zasobu. Ponieważ DMARC istnieje w Twojej domenie jako rekord DNS TXT, typ zasobu dla niego to. TXTa nazwa hosta, która ma być określona w tym przypadku to : _dmarc

Na koniec musisz dodać wartość swojego rekordu DMARC (rekordu, który wygenerowałeś wcześniej): v=DMARC1; p=none; sp=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Zapisz zmiany w całym procesie i masz pomyślnie skonfigurowany DMARC dla swojej domeny!

Jakie powinny być moje następne kroki?

Po zakończeniu publikowania rekordu DMARC Twoim następnym krokiem powinno być skupienie się na ochronie domeny przed oszustami i podszywaczami. To jest twój główny cel, kiedy wdrażasz protokoły bezpieczeństwa i usługi uwierzytelniania emaili. Samo opublikowanie rekordu DMARC z polityką p=none nie oferuje żadnej ochrony przed atakami typu domain spoofing i oszustwami emailowymi. W tym celu należy przejść do egzekwowania DMARC.

Co to jest DMARC Enforcement?

Możesz osiągnąć egzekwowanie DMARC jeśli zaimplementujesz tryb polityki DMARC p=reject lub p=quarantine. Dla maksymalnej ochrony przed atakami domain spoofing i BEC, zalecamy tryb polityki reject. Jednakże, proces osiągnięcia egzekwowania DMARC nie jest tak prosty jak zmiana trybu polityki z monitorowania na egzekwowanie. Aby uzyskać odporność na ataki podszywające się pod domenę, a jednocześnie mieć pewność, że nie wpłynie to negatywnie na dostarczalność poczty, należy:

  • Zarejestruj się w PowerDMARC i włącz raportowanie DMARC dla swojej domeny
  • Otrzymuj codzienne raporty DMARC RUA dotyczące wyników uwierzytelniania wiadomości e-mail, dostępne w wielu opcjach wyświetlania, aby ułatwić ich zrozumienie
  • Otrzymuj aktualizacje raportów kryminalistycznych na pulpicie nawigacyjnym za każdym razem, gdy wiadomości e-mail nie uzyskają uwierzytelnienia
  • Trzymaj się poniżej twardego limitu SPF, aby upewnić się, że Twój rekord SPF nigdy nie zostanie unieważniony

Dzięki zbiorczym i kryminalistycznym raportom DMARC przejście od monitorowania do egzekwowania staje się dla właścicieli domen pestką, ponieważ można wizualnie monitorować przepływ wiadomości e-mail oraz śledzić i reagować na problemy z dostarczalnością natychmiast z poziomu platformy PowerDMARC. Zarejestruj się już dziś, aby otrzymać bezpłatną wersję próbną analizatora DMARC!

Email spoofing jest rosnącym problemem dla bezpieczeństwa organizacji. Spoofing występuje wtedy, gdy haker wysyła wiadomość e-mail, która wydaje się być wysłana z zaufanego źródła/domeny. Email spoofing nie jest nową koncepcją. Definiowany jako "fałszowanie nagłówka adresu e-mail w celu stworzenia wrażenia, że wiadomość została wysłana od kogoś lub gdzieś indziej niż rzeczywiste źródło", nęka marki od dziesięcioleci. Za każdym razem, gdy wysyłany jest email, adres From nie pokazuje, z jakiego serwera został on wysłany - zamiast tego wyświetla domenę wprowadzoną podczas procesu tworzenia adresu, nie wzbudzając tym samym żadnych podejrzeń u odbiorców emaili.

Przy dzisiejszej ilości danych przechodzących przez serwery poczty elektronicznej nie powinno dziwić, że spoofing jest problemem dla firm.Pod koniec 2020 roku stwierdziliśmy, że liczba incydentów phishingowych wzrosła o oszałamiające 220% w porównaniu ze średnią roczną podczas szczytu globalnej pandemii lęków. Ponieważ nie wszystkie ataki spoofingowe są przeprowadzane na dużą skalę, rzeczywista liczba może być znacznie wyższa. Jest rok 2021, a problem wydaje się tylko pogarszać z każdym rokiem. Dlatego też marki korzystają z bezpiecznych protokołów, aby uwierzytelnić swoje e-maile i uniknąć złych zamiarów aktorów stanowiących zagrożenie.

Email Spoofing: Co to jest i jak to działa?

Spofing poczty elektronicznej jest wykorzystywany w atakach phishingowych w celu oszukania użytkowników, aby myśleli, że wiadomość pochodzi od osoby lub podmiotu, który znają lub któremu mogą zaufać. Cyberprzestępca wykorzystuje atak spoofingowy, aby oszukać odbiorcę i przekonać go, że wiadomość pochodzi od kogoś innego. Pozwala to napastnikom wyrządzić szkodę, nie pozwalając na namierzenie ich. Jeśli zobaczysz wiadomość e-mail od Urzędu Skarbowego, w której jest napisane, że zwrot podatku został wysłany na inne konto bankowe, może to być atak spoofingowy. Ataki phishingowe mogą być również przeprowadzane poprzez spoofing e-mailowy, który jest oszukańczą próbą uzyskania poufnych informacji, takich jak nazwy użytkowników, hasła i dane kart kredytowych (numery PIN), często w złych celach. Termin ten pochodzi od "łowienia" ofiary poprzez udawanie, że jest ona godna zaufania.

W protokole SMTP, gdy wiadomości wychodzące są przypisywane do adresu nadawcy przez aplikację kliencką, serwery poczty wychodzącej nie mają możliwości stwierdzenia, czy adres nadawcy jest prawdziwy, czy też sfałszowany. W związku z tym, spoofing poczty elektronicznej jest możliwy, ponieważ system poczty elektronicznej używany do reprezentowania adresów e-mail nie zapewnia sposobu dla serwerów wychodzących, aby zweryfikować, że adres nadawcy jest uzasadniony. Dlatego duże firmy z branży decydują się na protokoły takie jak SPF, DKIM i DMARC, aby autoryzować swoje legalne adresy e-mail i zminimalizować ataki podszywania się.

Anatomia ataku typu Email Spoofing

Każdy klient poczty e-mail korzysta z określonego interfejsu programu aplikacyjnego (API) do wysyłania wiadomości e-mail. Niektóre aplikacje pozwalają użytkownikom na skonfigurowanie adresu nadawcy wiadomości wychodzącej z rozwijanego menu zawierającego adresy e-mail. Jednak możliwość ta może być również wywołana za pomocą skryptów napisanych w dowolnym języku. Każda otwarta wiadomość pocztowa ma adres nadawcy, który wyświetla adres aplikacji lub usługi poczty elektronicznej użytkownika, od którego pochodzi. Poprzez rekonfigurację aplikacji lub usługi atakujący może wysyłać wiadomości e-mail w imieniu dowolnej osoby.

Powiedzmy, że teraz możliwe jest wysyłanie tysięcy fałszywych wiadomości z autentycznej domeny e-mail! Co więcej, nie trzeba być ekspertem w dziedzinie programowania, aby wykorzystać ten skrypt. Osoby odpowiedzialne za zagrożenia mogą edytować kod zgodnie z własnymi preferencjami i rozpocząć wysyłanie wiadomości przy użyciu domeny e-mail innego nadawcy. Dokładnie w ten sposób przeprowadzany jest atak typu email spoofing.

Email Spoofing jako wektor Ransomware

Spofing e-mailowy toruje drogę do rozprzestrzeniania się złośliwego oprogramowania i ransomware. Jeśli nie wiesz, co to jest ransomware, jest to złośliwe oprogramowanie, które wiecznie blokuje dostęp do twoich wrażliwych danych lub systemu i żąda pewnej sumy pieniędzy (okupu) w zamian za odszyfrowanie twoich danych ponownie. Ataki ransomware powodują, że organizacje i osoby prywatne tracą co roku mnóstwo pieniędzy i prowadzą do ogromnych naruszeń danych.

DMARC i uwierzytelnianie poczty elektronicznej działa również jako pierwsza linia obrony przed ransomware, chroniąc Twoją domenę przed złymi zamiarami spooferów i podszywających się pod nią osób.

Zagrożenia występujące w małych, średnich i dużych firmach

Tożsamość marki jest kluczowa dla sukcesu firmy. Klienci są przyciągani do rozpoznawalnych marek i polegają na nich w kwestii spójności. Jednak cyberprzestępcy robią wszystko, aby wykorzystać to zaufanie, zagrażając bezpieczeństwu klientów za pomocą wiadomości phishingowych, złośliwego oprogramowania i działań polegających na podszywaniu się pod pocztę elektroniczną. Przeciętna organizacja traci od 20 do 70 milionów dolarów rocznie z powodu oszustw e-mailowych. Należy zauważyć, że spoofing może również wiązać się z naruszeniem znaków towarowych i innych praw własności intelektualnej, powodując znaczne szkody dla reputacji i wiarygodności firmy, na dwa następujące sposoby:

  • Twoi partnerzy lub szanowani klienci mogą otworzyć fałszywą wiadomość e-mail i narazić na szwank swoje poufne dane. Cyberprzestępcy mogą wprowadzić do ich systemu oprogramowanie ransomware, co prowadzi do strat finansowych, poprzez spoofed e-maile podszywające się pod Ciebie. Dlatego następnym razem mogą być niechętni do otwierania nawet legalnych wiadomości e-mail, przez co stracą wiarę w Twoją markę.
  • Serwery pocztowe odbiorców mogą oznaczyć Twoje legalne wiadomości jako spam i umieścić je w folderze wiadomości-śmieci z powodu utraty reputacji serwera, co drastycznie wpływa na wskaźnik dostarczalności wiadomości.

Tak czy inaczej, bez cienia wątpliwości, Twoja marka skierowana do klienta znajdzie się na końcu wszystkich komplikacji. Pomimo wysiłków profesjonalistów IT, 72% wszystkich cyberataków rozpoczyna się od złośliwej wiadomości e-mail, a 70% wszystkich naruszeń danych wiąże się z taktyką inżynierii społecznej w celu podrobienia domen firmowych - co sprawia, że praktyki uwierzytelniania wiadomości e-mail, takie jak DMARC, są priorytetem.

DMARC: Twoje kompleksowe rozwiązanie przeciwko spoofingowi poczty elektronicznej

Domain-Based Message Authentication, Reporting and Conformance(DMARC) jest protokołem uwierzytelniania wiadomości e-mail, który po prawidłowym wdrożeniu może drastycznie zminimalizować ataki typu spoofing, BEC i podszywanie się pod inne osoby. DMARC działa w połączeniu z dwoma standardowymi praktykami uwierzytelniania - SPF i DKIM, aby uwierzytelnić wiadomości wychodzące, zapewniając sposób na określenie serwerom odbiorczym, jak powinny reagować na wiadomości e-mail, które nie przejdą kontroli uwierzytelniania.

Przeczytaj więcej o tym, czym jest DMARC?

Jeśli chcesz chronić swoją domenę przed złymi intencjami spooferów, pierwszym krokiem jest prawidłowe wdrożenie DMARC. Ale zanim to zrobisz, musisz skonfigurować SPF i DKIM dla swojej domeny. Darmowe generatory rekordów SPF i DKIM w PowerDMARC mogą pomóc Ci w wygenerowaniu tych rekordów, które zostaną opublikowane w DNS za pomocą jednego kliknięcia. Po pomyślnym skonfigurowaniu tych protokołów, przejdź przez następujące kroki, aby wdrożyć DMARC:

  • Wygeneruj bezbłędny rekord DMARC za pomocą darmowego generatora rekordów DMARC firmy PowerDMARC
  • Opublikuj rekord w DNS swojej domeny
  • Stopniowe przejście do polityki egzekwowania DMARC p=reject
  • Monitoruj swój ekosystem poczty elektronicznej i otrzymuj szczegółowe raporty dotyczące uwierzytelniania i raporty kryminalistyczne (RUA/RUF) dzięki naszemu narzędziu do analizy DMARC.

Ograniczenia, które należy pokonać podczas egzekwowania DMARC

Opublikowałeś wolny od błędów rekord DMARC i przeszedłeś na politykę egzekwowania, a mimo to napotykasz na problemy z dostarczaniem emaili? Problem może być o wiele bardziej skomplikowany niż myślisz. Jeśli jeszcze nie wiedziałeś, Twój protokół uwierzytelniający SPF ma limit 10 odwołań do DNS. Jednakże, jeśli korzystasz z usług dostawców poczty w chmurze i różnych zewnętrznych dostawców, możesz łatwo przekroczyć ten limit. Jak tylko to zrobisz, SPF się zepsuje i nawet legalne maile nie będą uwierzytelnione, co doprowadzi do tego, że Twoje maile wylądują w folderze śmieci lub w ogóle nie zostaną dostarczone.

Ponieważ Twój rekord SPF zostaje unieważniony z powodu zbyt wielu odszukań DNS, Twoja domena ponownie staje się podatna na ataki typu email spoofing i BEC. Dlatego utrzymanie się poniżej limitu SPF 10 lookupów jest niezbędne, aby zapewnić dostarczalność emaili. Dlatego zalecamy PowerSPF, automatyczny SPF flatenner, który zmniejszy Twój rekord SPF do pojedynczej deklaracji include, eliminując zbędne i zagnieżdżone adresy IP. Przeprowadzamy również okresowe kontrole w celu monitorowania zmian dokonywanych przez Twoich dostawców usług na ich adresach IP, zapewniając, że Twój rekord SPF jest zawsze aktualny.

PowerDMARC łączy szereg protokołów uwierzytelniania wiadomości e-mail, takich jak SPF, DKIM, DMARC, MTA-STS, TLS-RPT i BIMI, aby zapewnić Twojej domenie wzrost reputacji i dostarczalności. Zarejestruj się już dziś, aby otrzymać darmowy analizator DMARC.

W porządku, właśnie przeszedłeś przez cały proces ustawiania DMARC dla swojej domeny. Opublikowałeś swoje rekordy SPF, DKIM i DMARC, przeanalizowałeś wszystkie swoje raporty, naprawiłeś problemy z dostarczaniem, podniosłeś swój poziom egzekwowania z p=none do kwarantanny i w końcu do odrzucenia. Jesteś oficjalnie w 100% wzmocniony DMARC. Gratulacje! Teraz tylko Twoje maile trafiają do skrzynek pocztowych. Nikt nie będzie podszywał się pod Twoją markę, jeśli możesz coś na to poradzić.

Więc to już wszystko, prawda? Twoja domena jest zabezpieczona i wszyscy możemy iść do domu szczęśliwi, wiedząc, że Twoje e-maile będą bezpieczne. Prawda...?

Cóż, nie do końca. DMARC jest trochę jak ćwiczenia i dieta: robisz to przez jakiś czas i tracisz kilka kilogramów i dostajesz trochę chorego brzucha, i wszystko idzie świetnie. Ale jeśli przestaniesz, wszystkie te zyski, które właśnie osiągnąłeś, powoli będą się zmniejszać, a ryzyko spoofingu zacznie się wkradać z powrotem. Ale nie wariuj! Podobnie jak w przypadku diety i ćwiczeń, uzyskanie sprawności fizycznej (tj. uzyskanie 100% egzekwowania) jest najtrudniejszą częścią. Kiedy już to zrobisz, musisz tylko utrzymać to na tym samym poziomie, co jest znacznie łatwiejsze.

Dobra, koniec z analogiami, przejdźmy do rzeczy. Jeśli właśnie wdrożyłeś i egzekwujesz DMARC na swojej domenie, jaki jest następny krok? Jak dalej utrzymywać bezpieczeństwo domeny i kanałów email?

Co zrobić po osiągnięciu egzekwowania DMARC?

Powodem nr 1, dla którego bezpieczeństwo poczty elektronicznej nie kończy się po osiągnięciu 100% skuteczności, jest fakt, że schematy ataków, oszustwa phishingowe i źródła wysyłania wiadomości ciągle się zmieniają. Popularny trend w oszustwach e-mailowych często nie trwa nawet dłużej niż kilka miesięcy. Pomyślcie o atakach ransomware WannaCry w 2018 roku, czy nawet o czymś tak niedawnym jak oszustwa phishingowe WHO Coronavirus na początku 2020 roku. Nie widzisz ich teraz zbyt wiele na wolności, prawda?

Cyberprzestępcy nieustannie zmieniają swoje taktyki, a źródła złośliwych wysyłek ciągle się zmieniają i mnożą, a Ty niewiele możesz na to poradzić. To, co możesz zrobić, to przygotować swoją markę na każdy możliwy cyberatak, który może na nią spaść. A sposobem na to jest monitorowanie i widoczność DMARC.

Nawet po wdrożeniu, nadal musisz mieć pełną kontrolę nad swoimi kanałami e-mailowymi. Oznacza to, że musisz wiedzieć, które adresy IP wysyłają e-maile przez Twoją domenę, gdzie masz problemy z dostarczaniem lub uwierzytelnianiem e-maili, a także zidentyfikować i zareagować na każdą potencjalną próbę spoofingu lub złośliwy serwer przeprowadzający kampanię phishingową w Twoim imieniu. Im więcej monitorujesz swoją domenę, tym lepiej ją zrozumiesz. A w konsekwencji, tym lepiej będziesz w stanie zabezpieczyć swoje e-maile, swoje dane i swoją markę.

Dlaczego monitorowanie DMARC jest tak ważne

Identyfikacja nowych źródeł poczty
Kiedy monitorujesz swoje kanały email, nie tylko sprawdzasz czy wszystko jest w porządku. Będziesz również szukał nowych IP wysyłających wiadomości z Twojej domeny. Twoja organizacja może co jakiś czas zmieniać swoich partnerów lub zewnętrznych dostawców, co oznacza, że ich adresy IP mogą stać się autoryzowane do wysyłania emaili w Twoim imieniu. Czy to nowe źródło wysyłania to tylko jeden z nowych dostawców, czy może ktoś próbuje podszyć się pod Twoją markę? Jeśli będziesz regularnie analizował swoje raporty, będziesz miał na to jednoznaczną odpowiedź.

PowerDMARC pozwala na przeglądanie raportów DMARC według każdego źródła wysyłania dla Twojej domeny.

Zrozumienie nowych trendów w nadużywaniu domen
Jak wspomniałem wcześniej, atakujący ciągle znajdują nowe sposoby na podszywanie się pod marki i oszukiwanie ludzi, aby przekazywali im dane i pieniądze. Ale jeśli zaglądasz do raportów DMARC tylko raz na kilka miesięcy, nie zauważysz żadnych wyraźnych oznak spoofingu. Jeśli nie będziesz regularnie monitorował ruchu email w swojej domenie, nie zauważysz trendów ani wzorców w podejrzanej aktywności, a kiedy zostaniesz trafiony atakiem spoofingowym, będziesz tak samo niezorientowany jak ludzie, do których kierowane są wiadomości. A uwierz mi, to nigdy nie jest dobry wygląd dla Twojej marki.

Znajdź i umieść na czarnej liście złośliwe adresy IP
Nie wystarczy tylko znaleźć, kto dokładnie próbuje nadużywać Twojej domeny, trzeba zamknąć je ASAP. Kiedy jesteś świadomy źródeł wysyłania, znacznie łatwiej jest wskazać obraźliwe IP, a kiedy już je znajdziesz, możesz zgłosić to IP do ich dostawcy usług hostingowych i umieścić je na czarnej liście. W ten sposób trwale wyeliminujesz to konkretne zagrożenie i unikniesz ataku typu spoofing.

Z Power Take Down, można znaleźć lokalizację złośliwego IP, ich historii nadużyć i mieć je usunięte.

Kontrola nad dostarczalnością
Nawet jeśli udało Ci się doprowadzić DMARC do poziomu 100% bez wpływu na wskaźniki dostarczalności, ważne jest, aby stale dbać o wysoką dostarczalność. W końcu jaki jest pożytek z tych wszystkich zabezpieczeń, jeśli żaden z emaili nie dociera do adresata? Dzięki monitorowaniu raportów emaili, możesz sprawdzić, które z nich przeszły, nie przeszły lub nie są zgodne z DMARC, a także odkryć źródło problemu. Bez monitorowania, nie byłoby możliwe, aby wiedzieć, czy Twoje e-maile są dostarczane, nie mówiąc już o usunięciu problemu.

PowerDMARC daje Ci możliwość przeglądania raportów w oparciu o status DMARC, dzięki czemu możesz natychmiast zidentyfikować, które z nich nie przeszły.

 

Nasza najnowocześniejsza platforma oferuje całodobowe monitorowanie domeny, a nawet zapewnia dedykowany zespół reagowania na naruszenia bezpieczeństwa, który może zarządzać naruszeniem bezpieczeństwa w Twoim imieniu. Dowiedz się więcej o rozszerzonym wsparciu technicznym PowerDMARC.

Na pierwszy rzut oka pakiet Office 365 firmy Microsoft wydaje się być całkiem... słodki, prawda? Nie tylko otrzymujesz całą masę aplikacji zwiększających produktywność, pamięć masową w chmurze i usługę poczty elektronicznej, ale także jesteś chroniony przed spamem dzięki własnym rozwiązaniom bezpieczeństwa poczty elektronicznej firmy Microsoft. Nic dziwnego, że jest to najszerzej rozpowszechnione rozwiązanie poczty elektronicznej dla przedsiębiorstw, z 54% udziałem w rynku i ponad 155 milionami aktywnych użytkowników. Prawdopodobnie Ty też jesteś jednym z nich.

Ale jeśli firma zajmująca się cyberbezpieczeństwem pisze bloga o Office 365, to musi być w tym coś więcej, prawda? No cóż, tak. Jest. Porozmawiajmy więc o tym, na czym dokładnie polega problem z opcjami bezpieczeństwa w usłudze Office 365 i dlaczego naprawdę musisz o tym wiedzieć.

Co jest dobre w zabezpieczeniach Microsoft Office 365

Zanim porozmawiamy o problemach z nim związanych, najpierw szybko usuńmy to z drogi: Microsoft Office 365 Advanced Threat Protection (co za nazwa) jest dość skuteczny w podstawowym zabezpieczeniu poczty elektronicznej. Będzie w stanie powstrzymać spam, złośliwe oprogramowanie i wirusy przed dostaniem się do skrzynki odbiorczej.

Jest to wystarczająco dobre rozwiązanie, jeśli szukasz tylko podstawowej ochrony antyspamowej. Ale na tym polega problem: spam o niskim poziomie zagrożenia, taki jak ten, zwykle nie stanowi największego zagrożenia. Większość dostawców poczty elektronicznej oferuje pewną formę podstawowej ochrony poprzez blokowanie wiadomości pochodzących z podejrzanych źródeł. Prawdziwym zagrożeniem - takim, które może spowodować, że Twoja organizacja straci pieniądze, dane i integralność marki - są wiadomoście-mail starannie zaprojektowane tak, abyś nie zorientował się, że są fałszywe.

W tym momencie wkraczasz na terytorium poważnej cyberprzestępczości.

Przed czym nie uchroni Cię Microsoft Office 365

Rozwiązanie bezpieczeństwa Microsoft Office 365 działa jak filtr antyspamowy, wykorzystując algorytmy do określenia, czy wiadomość e-mail jest podobna do innych wiadomości spamowych lub phishingowych. Ale co się stanie, gdy zostaniesz trafiony znacznie bardziej wyrafinowanym atakiem wykorzystującym inżynierię społeczną lub skierowanym do konkretnego pracownika lub grupy pracowników?

To nie jest zwykły spam rozsyłany do dziesiątek tysięcy osób naraz. Business Email Compromise (BEC) i Vendor Email Compromise (VEC) są przykładami tego, jak atakujący starannie wybierają cel, zdobywają więcej informacji o jego organizacji poprzez szpiegowanie jego poczty elektronicznej, a w strategicznym momencie wysyłają fałszywą fakturę lub prośbę za pośrednictwem poczty elektronicznej, prosząc o przekazanie pieniędzy lub udostępnienie danych.

Ta taktyka, szeroko znana jako spear phishing, sprawia wrażenie, że wiadomości e-mail pochodzą od kogoś z Twojej własnej organizacji, zaufanego partnera lub dostawcy. Nawet po dokładnym sprawdzeniu, wiadomości te mogą wyglądać bardzo realistycznie i są prawie niemożliwe do wykrycia, nawet dla doświadczonych ekspertów ds. bezpieczeństwa cybernetycznego.

Jeśli napastnik podszywa się pod Twojego szefa lub dyrektora generalnego Twojej organizacji i wysyła Ci wiadomość e-mail, jest mało prawdopodobne, że sprawdzisz, czy wiadomość wygląda na autentyczną, czy nie. Właśnie to sprawia, że oszustwa typu BEC i CEO są tak niebezpieczne. Usługa Office 365 nie będzie w stanie ochronić Cię przed tego typu atakami, ponieważ wiadomości te pozornie pochodzą od prawdziwej osoby, a algorytmy nie uznają ich za spam.

Jak można zabezpieczyć Office 365 przed BEC i Spear Phishingiem?

Domain-based Message Authentication, Reporting & Conformance, lub DMARC, jest protokołem bezpieczeństwa poczty elektronicznej, który wykorzystuje informacje dostarczone przez właściciela domeny do ochrony odbiorców przed spoofed email. Kiedy wdrożysz DMARC na domenie Twojej organizacji, serwery odbiorcze będą sprawdzać każdy email przychodzący z Twojej domeny pod kątem opublikowanych przez Ciebie rekordów DNS.

Ale jeśli Office 365 ATP nie może zapobiec ukierunkowanym atakom spoofingowym, to w jaki sposób robi to DMARC?

Cóż, DMARC działa zupełnie inaczej niż filtr antyspamowy. Podczas gdy filtry antyspamowe sprawdzają przychodzące wiadomości e-mail przychodzące do Twojej skrzynki odbiorczej, DMARC uwierzytelnia wychodzące wiadomości e-mail wysyłane przez domenę Twojej organizacji. Oznacza to, że jeśli ktoś próbuje podszywać się pod Twoją organizację i wysyłać Ci wiadomości phishingowe, tak długo, jak długo masz DMARC, wiadomości te zostaną wyrzucone do folderu spamu lub całkowicie zablokowane.

Oznacza to również, że jeśli cyberprzestępca wykorzystałby Twoją zaufaną markę do wysyłania wiadomości phishingowych, nawet Twoi klienci nie musieliby mieć z nimi do czynienia. DMARC w rzeczywistości pomaga chronić również Twoją firmę.

Ale to nie wszystko: Office 365 w rzeczywistości nie daje Twojej organizacji żadnej widoczności na temat ataku phishingowego, blokuje jedynie spam. Ale jeśli chcesz odpowiednio zabezpieczyć swoją domenę, musisz dokładnie wiedzieć, kto lub co próbuje podszyć się pod Twoją markę, i podjąć natychmiastowe działania. DMARC dostarcza takich danych, w tym adresów IP nadużywających źródeł nadawczych, jak również liczby wysyłanych przez nie e-maili. PowerDMARC przenosi to na wyższy poziom dzięki zaawansowanej analityce DM ARC bezpośrednio na pulpicie nawigacyjnym.

Dowiedz się więcej o tym, co PowerDMARC może zrobić dla Twojej marki.