Tietojenkäsittelytieteilijät ovat paljastaneet hämmästyttävän yleisen virheellisen kokoonpanon suosituissa yritysten pilvipohjaisissa sähköpostiroskapostin suodatuspalveluissa sekä hyväksikäytön sen hyödyntämiseksi. Tulokset paljastavat, että organisaatiot ovat paljon avoimempia sähköpostin välityksellä tapahtuville kyberuhkille kuin he tietävät.
Lehdessä, joka esitellään tulevassa yhteydessä ACM Web 2024 -konferenssi Singaporessa toukokuussa kirjoittava akateeminen tutkimusryhmä totesi, että Proofpointin, Barracudan, Mimecastin ja muiden valmistajien laajasti käytössä olevat palvelut voidaan ohittaa vähintään 80 prosentilla heidän tutkimistaan tärkeimmistä aloista.
Suodatuspalvelut voidaan "ohittaa, jos sähköpostin isännöintipalveluntarjoaja ei ole määritetty hyväksymään vain sähköpostin suodatuspalvelusta saapuvia viestejä", selittää Sumanth Rao, jatko-opiskelija Kalifornian yliopistosta San Diegosta ja pääkirjoittaja. otsikolla "Suodattamaton: pilvipohjaisen sähköpostin suodatuksen ohitusten mittaaminen"
Se saattaa tuntua itsestään selvältä, mutta suodattimien asettaminen toimimaan yhdessä yrityksen sähköpostijärjestelmän kanssa on hankalaa. Ohitushyökkäys voi johtua suodatuspalvelimen ja sähköpostipalvelimen välisestä yhteensopimattomuudesta, joka liittyy siihen, miten Googlen ja Microsoftin sähköpostipalvelimet reagoivat viesteihin, jotka tulevat tuntemattomasta IP-osoitteesta, kuten roskapostittajien käyttämästä.
Googlen palvelimet hylkäävät tällaisen viestin sen ensimmäisen vastaanottamisen yhteydessä, kun taas Microsoftin palvelimet hylkäävät sen "Data"-komennon aikana, jolloin viesti on jo toimitettu vastaanottajalle. Tämä vaikuttaa suodattimien asettamiseen.
Panokset ovat korkealla, kun otetaan huomioon phishing-sähköpostit ovat edelleen ensisijainen pääsymekanismi kyberrikollisille.
"Sähköpostin järjestelmänvalvojat, jotka eivät määritä saapuvaa postiaan oikein tämän heikkouden lieventämiseksi, ovat samankaltaisia kuin baarien omistajia, jotka ottavat käyttöön välityslaitteen tarkistaakseen tunnukset pääsisäänkäynnin luona, mutta sallivat asiakkaiden päästä sisään myös lukitsemattomasta, valvomattomasta sivuovesta", Seth sanoo. Blank, Valimailin teknologiajohtaja, sähköpostin tietoturvatoimittaja.
Yritysten postilaatikot ovat laajasti avoinna tietojenkalastelulle
Tutkinnan jälkeen Lähettäjän toimintakehys (SPF) -kohtaiset määritykset 673 .edu-verkkotunnukselle ja 928 .com-verkkotunnukselle, jotka käyttivät joko Googlen tai Microsoftin sähköpostipalvelimia sekä kolmannen osapuolen roskapostisuodattimia, tutkijat havaitsivat, että 88 % Google-pohjaisista sähköpostijärjestelmistä ohitettiin, kun taas 78 % Microsoft-järjestelmistä oli.
Riski on suurempi käytettäessä pilvitoimittajia, koska ohitushyökkäys ei ole yhtä helppoa, kun sekä suodatus että sähköpostin toimitus sijaitsevat tiloissa tunnetuissa ja luotetuissa IP-osoitteissa, he huomauttivat.
Paperi tarjoaa kaksi pääasiallista syytä näihin korkeisiin epäonnistumisprosentteihin: Ensinnäkin sekä suodatus- että sähköpostipalvelimen oikeaa asetusta koskevat asiakirjat ovat hämmentäviä ja epätäydellisiä, ja niitä ei usein huomioida tai niitä ei ymmärretä hyvin tai seurata helposti. Toiseksi monet yrityssähköpostipäälliköt erehtyvät varmistaessaan, että viestit saapuvat vastaanottajille, koska he pelkäävät kelvollisten viestien poistamista, jos he ottavat käyttöön liian tiukan suodatinprofiilin. "Tämä johtaa salliviin ja epävarmoihin kokoonpanoihin", lehden mukaan.
Kirjoittajat eivät maininneet, mutta tärkeä tekijä on se tosiasia, että kaikkien kolmen tärkeimmän sähköpostin suojausprotokollan - SPF, verkkotunnuspohjaisen viestien todennusraportoinnin ja vaatimustenmukaisuuden - määrittäminen (DMARC laajennus) ja DomainKeys Identified Mail (DKIM) – tarvitaan, jotta ne pystyvät todella tehokkaasti estämään roskapostin. Mutta se ei ole helppoa edes asiantuntijoille. Lisää tämä haasteeseen varmistaa, että suodatuksen ja sähköpostin toimituksen kaksi pilvipalvelua kommunikoivat oikein, ja koordinointityöstä tulee erittäin monimutkaista. Käynnistystä varten suodatin- ja sähköpostipalvelintuotteita hallinnoivat usein kaksi erillistä osastoa suuremmissa yrityksissä, mikä tuo entistä enemmän virhemahdollisuuksia.
"Sähköposti, kuten monet vanhat Internet-palvelut, suunniteltiin yksinkertaisen käyttötapauksen ympärille, joka ei nyt vastaa nykyajan vaatimuksia", kirjoittajat kirjoittivat.
Sähköpostin määritysdokumentaation viiveet, kipinöitävät tietoturva-aukot
Kunkin suodatustoimittajan toimittaman dokumentaation laatu vaihtelee tutkijoiden mukaan. Paperi huomauttaa, että TrendMicron ja Proofpointin suodatustuotteiden ohjeet ovat erityisen virhealttiita ja voivat helposti tuottaa haavoittuvia kokoonpanoja. Jopa ne toimittajat, joilla on parempi dokumentaatio, kuten Mimecast ja Barracuda, aiheuttavat edelleen paljon virheellisiä määrityksiä.
Vaikka useimmat myyjät eivät vastanneet Dark Readingin kommenttipyyntöön, Barracudan tuotemarkkinointipäällikkö Olesia Klevchuk sanoo: "Suojaustyökalujen oikea asennus ja säännölliset "terveystarkastukset" ovat tärkeitä. Tarjoamme terveystarkastusoppaan, jonka avulla asiakkaat voivat tunnistaa tämän ja muut virheelliset asetukset."
Hän lisää: "Useimmat, elleivät kaikki, sähköpostin suodatustoimittajat tarjoavat tukea tai asiantuntijapalveluita käyttöönoton aikana ja sen jälkeen varmistaakseen, että heidän ratkaisunsa toimii niin kuin pitääkin. Organisaatioiden tulee ajoittain hyödyntää näitä palveluita ja/tai investoida niihin mahdollisten turvallisuusriskien välttämiseksi.
Yrityssähköpostin järjestelmänvalvojilla on useita tapoja vahvistaa järjestelmiään ja estää näitä ohitushyökkäyksiä. Yksi artikkelin kirjoittajien ehdottama tapa on määrittää suodatuspalvelimen IP-osoite kaiken sähköpostiliikenteen ainoaksi alkuperäksi ja varmistaa, että hyökkääjä ei voi huijata sitä.
"Organisaatioiden on määritettävä sähköpostipalvelimensa hyväksymään vain sähköpostit suodatuspalvelustaan", kirjoittajat kirjoittivat.
Microsoftin dokumentaatio sisältää sähköpostin suojausvaihtoehdot ja suosittelee joukon parametrien asettamista, jotta tämä suojaus voidaan ottaa käyttöön esimerkiksi vaihto-online-käytössä. Toinen on varmistaa, että kaikki SPF-, DKIM- ja DMARC-protokollat on määritetty oikein kaikille verkkotunnuksille ja aliverkkotunnuksille, joita yritys käyttää sähköpostiliikenteeseen. Kuten mainittiin, se voi olla haaste varsinkin suuremmille yrityksille tai paikoille, jotka ovat hankkineet useita verkkotunnuksia ajan myötä ja unohtaneet niiden käytön.
Lopuksi toinen ratkaisu, sanoo Valimail's Blank, "on sisällyttää suodatussovellus Todennettu vastaanotinketju (RFC 8617) sähköpostien otsikot ja sisäinen kerros käyttää ja luottaa näihin otsikoihin."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack
