Στον απόηχο (και) του φετινού InfoCom Security, στο οποίο είχα την τιμή να συντονίσω το CISO panel, υπερθεματίσαμε τα «συνηθισμένα, ωραία πράγματα», με την καθημερινότητα δυστυχώς να επιβεβαιώνει ότι η πολλοστή επανάληψη κρίνεται 100% αναγκαία.
Εδώ και αρκετά χρόνια όλοι συνηγορούμε στον ανθρώπινο παράγοντα και τη σημασία αυτού στο Information & Cyber Security, με αναφορές τύπου «ο πιο αδύναμος κρίκος» (τρέμε Ακρίτα!) και «είμαστε όσο aware όσο ο λιγότερο savvy υπάλληλος / συνέταιρος / συνεργάτης μας». Με μια λέξη, οφείλουμε και/να κάνουμε βήματα προς το «χτίσιμο του Human Firewall».
Του Αργύρη Μακρυγεώργου
SecOps BDM, GR | HU | CY, Fortinet
Στα πλαίσια του παραπάνω, και με διαρκή γνώμονα το “συν Αθηνά και χείρα κίνει», οφείλουμε να υιοθετούμε και next next generation τεχνολογίες (εσκεμμένη η διπλοεγγραφή) που να προστατεύουν το χρήστη, όπως η νέα εξαγορά της Fortinet, Perception Point.
Η συγκεκριμένη λύση αποτελεί τον μεγάλο αδερφό του FortiMail, που, αφού έκανε τη θητεία τους στους Navy Seals, γύρισε σπίτι να βοηθήσει την «οικογενειακή επιχείρηση»!
Όσοι/όσες ακολουθείτε την αρθρογραφία και τις παρουσιάσεις μου, γνωρίζετε ότι δε μιλάω ποτέ για προϊόντα, συνεπώς και εδώ θα μιλήσουμε για pure technological features.
Advanced Cloud Email Security
Δύναται να αποτρέψει επιθέσεις τύπου Phishing, Business Email Compromise (BEC), κακόβουλου λογισμικό, καταλήψεις λογαριασμών (account takeover) ή/και βασισμένες σε zero-day ευπάθειες, σε περιβάλλοντα Microsoft 365, Google Workspace ή οποιαδήποτε άλλη υπηρεσία email βασισμένη στο Cloud. Ακολουθούν σε λίστα πολλά σύγχρονα «καλούδια»:
Prevents All Anti-Phishing AI Models Threat Types
- Two-Step Phishing
- Domain Lookalike Detection
- Login Forms Detection
- Brand Recognition
- URL Lexical Analysis
- Anomaly Detection
Prevents All BEC AI Model Threat Types
- GenAI Decoder™
- Supply-Chain Recognition
- Thread Hijack Protection
- Anomaly Detection
- Content Analysis
- Textual-Obfuscation Detection
Τα δύο πιο σημαντικά χαρακτηριστικά παραμένουν ι) το (anti) phishing δύο σταδίων και ιι) η λεξική ανάλυση.
Στο Phishing δύο σταδίων, η επίθεση εκδηλώνεται σε μεταγενέστερο στάδιο της αλυσίδας. Ένα σύνηθες σενάριο αυτή την περίοδο είναι η αποστολή ενός συνδέσμου που οδηγεί σε σελίδα του SharePoint. Πολλές τεχνολογίες αναγραφής URL (URL rewriting) και πλατφόρμες ανάλυσης απειλών υποδεικνύουν ότι η αρχική σελίδα είναι ασφαλής, καθώς δεν περιέχει άμεσα κακόβουλο περιεχόμενο. Ωστόσο, εντός της σελίδας υπάρχει ένα κουμπί με την ένδειξη «Κάντε κλικ εδώ για να αποκτήσετε πρόσβαση στο έγγραφό σας». Με το πάτημα αυτού του κουμπιού, εκτελούνται ανακατευθύνσεις που τελικά οδηγούν σε μια σελίδα που προσομοιώνει το περιβάλλον του Word Online. Στη συνέχεια, η διαδικασία διακόπτεται και εμφανίζεται μήνυμα σύνδεσης, όπου προβάλλεται μια κακόβουλη ψεύτικη σελίδα σύνδεσης.
Η λύση πραγματοποιεί ενεργό crawling της σελίδας, ακολουθεί τον σύνδεσμο, εκτελεί τις αλληλεπιδράσεις και, ΜΠΟΥΜ!, αποκαλύπτει το ψευδές login page που εμφανίζεται σε μεταγενέστερο στάδιο της επίθεσης. Επιπλέον, σε διαμόρφωση προ παραλαβής (pre-delivery scanning), τέτοιο περιεχόμενο αποκλείεται αυτόματα ΠΡΙΝ φτάσει στο inbox του τελικού χρήστη.
Το δεύτερο κρίσιμο στοιχείο είναι η Λεξική Ανάλυση (Lexical Analysis), που περιλαμβάνει την αποκωδικοποίηση QR κωδίκων σε email αλλά και σε αρχεία PDF.
Οι περισσότερες λύσεις στην αγορά που προσφέρουν ανάλυση QR περιορίζονται στην εξαγωγή του URL και τη σύγκρισή του με βάσεις δεδομένων απειλών (threat intelligence).
Το πρόβλημα με αυτή την προσέγγιση είναι ότι υπάρχει σημαντική απόκλιση μεταξύ των απειλών αυτών και της actual δραστηριότητας σε πραγματικό χρόνο.
Η συγκεκριμένη προσέγγιση περιλαμβάνει την εξαγωγή του URL και τη διαδικασία crawling της σελίδας με τις ίδιες τεχνικές που εφαρμόζουμε και σε κανονικά URLs — ουσιαστικά, η επεξεργασία γίνεται με τον ίδιο ακριβώς μηχανισμό ελέγχου και ανάλυσης – με αποτέλεσμα ένα πέραν του αναμενόμενου catch rate!
Advanced Collaboration Security
Προστατεύει εφαρμογές συνεργασίας στο cloud, όπως πλατφόρμες αποθήκευσης αρχείων (π.χ. Dropbox, OneDrive), εργαλεία ανταλλαγής μηνυμάτων (π.χ. Microsoft Teams, Slack), εφαρμογές CRM και υποστήριξης πελατών (π.χ. Salesforce, Zendesk) και άλλες, από επιθέσεις που βασίζονται σε περιεχόμενο, πραγματοποιώντας αποτελεσματική σάρωση του 100% των δεδομένων μέσα σε δευτερόλεπτα.
Ενδεικτικά κάποιες υποστηριζόμενες εφαρμογές:
Advanced Browser Security
Ενσωματώνεται με οποιονδήποτε περιηγητή (browser) μέσω μιας ελαφριάς επέκτασης (add-on), προσφέροντας προστασία στους περιηγητές και τις εφαρμογές SaaS από επιθέσεις μέσω διαδικτύου (web-borne attacks).
- Next-Gen URL Anti-Evasion
Ανιχνεύει επιθέσεις phishing ακόμη και όταν εφαρμόζονται μηχανισμοί CAPTCHA, γεωγραφικοί περιορισμοί (Geofencing) ή τεχνικές αποφυγής με βάση τον χρόνο (Time-based evasions).
- Browser-Based DLP
Ανιχνεύει χρήστες που ανεβάζουν ή κατεβάζουν ευαίσθητο περιεχόμενο σε οποιαδήποτε web εφαρμογή (π.χ. εφαρμογές Γεννητικής Τεχνητής Νοημοσύνης, email κ.ά.).
- User Security Awareness
Ειδοποιεί τους χρήστες για κακές πρακτικές, όπως η επαναχρησιμοποίηση κωδικών πρόσβασης και ο κίνδυνος διαρροής δεδομένων σε ιστοτόπους τρίτων.
- Correlating Browser & Email Events
Οι διευθύνσεις URL που ανοίγονται στον περιηγητή συσχετίζονται αυτόματα με το αρχικό email, διευκολύνοντας τη διαδικασία διερεύνησης.
- Cross-App Remediation
Θέτει σε καραντίνα emails/αρχεία σε όλες τις προστατευμένες εφαρμογές (π.χ. απομόνωση όλων των email που περιέχουν URL ανιχνευμένο από τον περιηγητή).
- Post-Breach Impact Analysis
Παρέχει ορατότητα σε συμβάντα σύνδεσης χρηστών, ώστε να εντοπίζονται χρήστες που έχουν πέσει θύματα phishing και να εκτελούνται ενέργειες αποκατάστασης.
Παραφράζοντας το συνήθης «κλείσιμό» μου, οφείλω να πω ότι (και) η τεχνολογική υπεροχή (do it before Gartner says so!) είναι ταξίδι… To ταξίδι αυτό, οφείλουμε να το διανύσουμε, λοιπόν, τόσο με εσωτερικούς συνοδοιπόρους, αλλά και με συμμάχους αξιόπιστους Integrators, Service Providers & Κατασκευαστές, όπως τη Fortinet.
