Guida alle best practice per l'anti-spoofing - Sommario - Cisco
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Guida alle best practice per l'anti-spoofing
Sommario
Informazioni sul documento
Che cos'è lo spoofing della posta elettronica?
Flusso di lavoro difesa spoofing e-mail
Livello 1: Controllo di validità sul dominio del mittente
Livello 2: Verificare l'intestazione "Da" utilizzando DMARC
Livello 3: Impedisci agli spammer di inviare e-mail falsificate
Livello 4: Individuazione mittenti dannosi tramite dominio di posta elettronica
Livello 5: Riduzione dei falsi positivi con i risultati della verifica SPF o DKIM
Livello 6: Rileva messaggi con nome mittente probabilmente contraffatto
Livello 7: Messaggio di posta elettronica con spoofing identificato positivamente
Livello 8: Protezione dagli URL di phishing
Livello 9: Migliora la funzionalità di rilevamento spoofing con Cisco Advanced Phishing Protection
(APP)
Cosa si può fare di più con la prevenzione dello spoofing?
Informazioni sul documento
Questo documento è destinato ai clienti Cisco, ai channel partner Cisco e ai tecnici Cisco che
implementeranno Cisco Email Security. Il presente documento riguarda:
● Che cos'è lo spoofing della posta elettronica?
● Flusso di lavoro difesa spoofing e-mail
● Che altro si può fare con la prevenzione dello spoofing?
Che cos'è lo spoofing della posta elettronica?
Lo spoofing delle e-mail è una falsificazione dell'intestazione dell'e-mail in cui il messaggio sembra
provenire da qualcuno o da un luogo diverso dall'origine effettiva. Lo spoofing delle e-mail è una
tattica utilizzata nelle campagne di phishing e spam perché è più probabile che gli utenti aprano
un'e-mail quando ritengono che sia stata inviata da una fonte legittima e affidabile. Per ulteriori
informazioni sullo spoofing, visitare il sito Web all'indirizzo http://blogs.cisco.com/security/what-is-
email-spoofing-and-how-to-detect-it
Lo spoofing delle e-mail rientra nelle seguenti categorie:
Destinazio
Categoria Descrizione
principale
Spoofing diretto Rappresentare un dominio identico nella "Busta Da" come dominio del
Dipenden
del dominio destinatario.
Nome
L'intestazione "Da" mostra un mittente legittimo con il nome esecutivo di
visualizzato Dipenden
un'organizzazione. Nota anche come BEC (Business Email Compromise).
inganno
Rappresentazion L'intestazione "Da" mostra un mittente legittimo con il nome del marchio di Clienti/par
e del nome del
una nota organizzazione.
marchio
Un'email con un URL che tenta di rubare dati sensibili e/o informazioni di
Attacco basato su login dalla vittima. Un esempio di attacco basato su URL di phishing è una Dipenden
URL di phishing falsa e-mail inviata da una banca che richiede di fare clic su un ner
collegamento e verificare i dettagli dell'account.
Attacco a un Il valore dell'intestazione "Busta da" o "Da" mostra un indirizzo del mittente
Dipenden
cugino o a un simile che rappresenta un indirizzo reale, nel tentativo di eludere le
ner
dominio simile ispezioni SPF, DKIM e DMARC.
Presa in conto / Ottenere l'accesso non autorizzato a un account di posta elettronica reale
Conto che appartiene a qualcuno e quindi inviare e-mail ad altre vittime come Tutti
compromesso legittimo proprietario dell'account di posta elettronica.
La prima categoria riguarda gli abusi del nome di dominio del proprietario nel valore "Busta da"
nell’intestazione Internet di un messaggio di posta elettronica. Cisco Email Security può porre
rimedio a questo attacco utilizzando la verifica DNS del mittente per consentire solo i mittenti
legittimi e lo stesso risultato può essere raggiunto a livello globale utilizzando la verifica DMARC,
DKIM e SPF.
Tuttavia, le altre categorie non violano completamente la parte del dominio dell’indirizzo di posta
elettronica del mittente, quindi non è facile essere scoraggiati utilizzando i record di testo DNS o la
sola verifica del mittente. Idealmente, sarebbe meglio combinare alcune funzionalità di Cisco
Email Security con la protezione avanzata anti-phishing (APP) di Cisco pronta per l'uso per
combattere queste minacce avanzate. L'applicazione delle funzionalità di Cisco Email Security
può variare da un'organizzazione all'altra e un'applicazione scorretta può portare a un'elevata
incidenza di falsi positivi, quindi è importante comprendere le esigenze aziendali
dell'organizzazione e personalizzare le funzionalità di conseguenza.
Flusso di lavoro difesa spoofing e-mail
Le funzioni di sicurezza che trattano le best practice per il monitoraggio, l'avviso e l'applicazione
contro gli attacchi di spoofing sono illustrate nel diagramma sottostante (Figura 1). In questo
documento vengono forniti i dettagli di ciascuna funzionalità. La procedura ottimale è un approccio
di difesa approfondita per rilevare lo spoofing delle e-mail. Tenere sempre presente che gli autori
di attacchi modificheranno i propri metodi nei confronti di un'organizzazione nel corso del tempo,
pertanto è molto importante per un amministratore monitorare eventuali modifiche e seguire con
avvertenze e applicazione appropriate.
Figura 1. Pipeline Cisco Email Security Spoof Defense
Livello 1: Controllo di validità sul dominio del mittente La verifica del mittente è un modo più semplice per impedire l'invio di e-mail da un dominio falso, come lo spoofing del dominio del cugino (ad esempio 'c1sc0.com' è il impostore di 'cisco.com'). Cisco Email Security esegue una query sui record MX per il dominio dell'indirizzo e-mail del mittente ed esegue una ricerca dei record A sul record MX durante la conversazione SMTP. Se la query DNS restituisce NXDOMAIN, il dominio verrà considerato inesistente. È una tecnica comune per gli aggressori falsificare le informazioni sul mittente della busta in modo che l'e-mail da un mittente non verificato venga accettata ed elaborata ulteriormente. Utilizzando questa funzione, tutti i messaggi in arrivo che non superano il controllo di verifica verranno rifiutati da Cisco Email Security a meno che il dominio o l'indirizzo IP del mittente non sia stato preaggiunto nella "Tabella delle eccezioni". Procedure ottimali: Configurare Cisco Email Security in modo che rifiuti la conversazione SMTP se il dominio e-mail del campo mittente busta non è valido e consentire solo ai mittenti legittimi configurando il criterio del flusso di posta, la verifica del mittente e la tabella delle eccezioni (facoltativo). Per maggiori informazioni, visitare: https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/200057-Spoof- Protection-using-Sender-Verificati.html Figura 2. Sezione Verifica mittente nei criteri predefiniti del flusso di posta.
Livello 2: Verificare l'intestazione "Da" utilizzando DMARC La verifica DMARC è una funzione molto potente per combattere lo "spoofing diretto del dominio" e include anche gli attacchi "Display Name" e "Brand Impersonation". DMARC è collegato alle informazioni autenticate con SPF o DKIM (origine del dominio di invio o firma) con le informazioni presentate al destinatario finale nell'intestazione "Da" e verifica che gli identificativi SPF e/o DKIM siano allineati con l'identificativo dell'intestazione FROM. Per superare la verifica DMARC, un messaggio e-mail in arrivo deve superare almeno uno di questi meccanismi di autenticazione. Cisco Email Security consente inoltre all'amministratore di definire un profilo di verifica DMARC per ignorare i criteri DMARC del proprietario del dominio e inviare rapporti di aggregazione (RUA) e di errore/indagine legale (RUF) ai proprietari del dominio, al fine di rafforzare le distribuzioni di autenticazione in cambio. Procedure ottimali: Modificare il profilo DMARC predefinito conforme alle azioni dei criteri DMARC consigliate dal mittente. È inoltre necessario modificare le impostazioni globali della verifica DMARC per consentire la generazione corretta del report. Dopo aver configurato il profilo in modo appropriato, è necessario abilitare il servizio di verifica DMARC nei criteri predefiniti dei criteri di flusso della posta. Figura 3. Profilo di verifica DMARC
Nota: Il DMARC deve essere implementato dal proprietario del dominio di invio insieme a uno strumento di monitoraggio del dominio, ad esempio Cisco Domain Protection. Se implementata correttamente, l'applicazione DMARC in Cisco Email Security contribuisce a proteggere i messaggi di phishing inviati ai dipendenti da mittenti o domini non autorizzati. Per ulteriori informazioni su Cisco Domain Protection, visitare questo collegamento: https://www.cisco.com/c/dam/en/us/products/collateral/security/cloud-email-security/at-a-glance- c45-740937.pdf Livello 3: Impedisci agli spammer di inviare e-mail falsificate Gli attacchi di tipo spoofing possono costituire un'altra forma comune di campagna di posta indesiderata, pertanto abilitare la protezione antispam è ancora essenziale per identificare efficacemente le e-mail fraudolente che contengono elementi di spam/phishing e bloccarle in modo positivo. L'uso del motore antispam, se abbinato ad altre azioni di best practice, accuratamente descritte in questo documento, fornisce i migliori risultati senza la perdita di e-mail legittime. Procedure ottimali: Abilita l'analisi della posta indesiderata nei criteri di posta predefiniti e imposta l'azione di quarantena sulle impostazioni di posta indesiderata identificate in modo positivo. Aumentare le dimensioni minime di analisi per il messaggio di posta indesiderata ad almeno 2 MB nell'impostazione globale. Figura 4. Impostazione della protezione dalla posta indesiderata nei criteri di posta elettronica predefiniti
la soglia della posta indesiderata può essere regolata in modo da aumentare o ridurre la sensibilità in caso di posta indesiderata positiva o sospetta (figura 5); tuttavia, Cisco sconsiglia all'amministratore di effettuare questa operazione e di utilizzare solo le soglie predefinite come base, a meno che Cisco non comunichi il contrario. Figura 5. Impostazione delle soglie antispam nei criteri di posta elettronica predefiniti Come nota rapida, Cisco Email Security offre un motore IMS (Intelligent Multi-Scan) aggiuntivo che offre una combinazione diversa dal motore antispam a favore dell'aumento delle velocità di ricezione della posta indesiderata (velocità di ricezione più aggressiva). Livello 4: Individuazione mittenti dannosi tramite dominio di posta elettronica L'utilizzo del rilevamento della reputazione basato su IP (SBRS) per combattere gli attacchi di tipo spoof non è più sufficiente a causa di diversi motivi, in particolare per il fatto che la stessa origine di indirizzi IP può essere utilizzata per ospitare più domini di invio. In questo caso, la natura di ogni dominio può essere diversa, pertanto l'utilizzo del rilevamento della reputazione basato su IP può risultare meno efficace per prevenire i messaggi infetti dannosi e le campagne di spoofing. La reputazione del dominio mittente (SDR, Sender Domain Reputation) è particolarmente utile per risolvere questi problemi. Mantenendo il filtro della reputazione IP a livello di connessione SMTP, il verdetto della reputazione basato sulle informazioni del dominio di invio presentate nella conversazione SMTP e
nelle intestazioni dei messaggi verrà preso in considerazione per determinare se l'e-mail deve essere consentita o meno dal criterio di posta in arrivo. SDR è in cima in termini di prevenzione efficace delle campagne di spoofing da fonti dannose o un dominio che è stato recentemente registrato, meno di una settimana, per esempio, nel chiaro tentativo di superare la funzionalità di scansione della reputazione. Procedure ottimali: Creare un filtro dei contenuti in arrivo che acquisisca il dominio di invio in cui il verdetto sulla reputazione dell'SDR rientra in Awful / Poor / Tainted o il dominio Age è inferiore o uguale a 5 giorni. L'azione consigliata è quella di mettere in quarantena il messaggio e inviare una notifica all'amministratore della sicurezza e-mail e al destinatario originale. Per ulteriori informazioni su come configurare SDR, vedere il video di Cisco all'indirizzo https://www.youtube.com/watch?v=IBLRQMT3SHU Figura 6. Filtro dei contenuti per la reputazione dell'SDR e l'età del dominio con le azioni di notifica e quarantena. Livello 5: Riduzione dei falsi positivi con i risultati della verifica SPF o DKIM Èimperativo applicare la verifica SPF o DKIM (entrambe o una delle due) per costruire più livelli di rilevamento e-mail spoof per la maggior parte dei tipi di attacco. Anziché adottare un'azione finale (come il rilascio o la quarantena), Cisco consiglia di aggiungere una nuova intestazione come [X- SPF-DKIM] sul messaggio che non supera la verifica SPF o DKIM e di cooperare con la funzione Forged Email Detection (FED) che verrà illustrata più avanti, in favore di una maggiore percentuale di messaggi di spoofing. Procedure ottimali: Crea un filtro contenuti che controlla i risultati della verifica SPF o DKIM di ogni messaggio in arrivo passato tramite ispezioni precedenti. Aggiungere una nuova intestazione X (ad esempio X-SPF-DKIM=Fail) sul messaggio che non supera la verifica SPF o DKIM e passa al livello successivo di scansione - Forged Email Detection (FED). Figura 7. Filtro dei contenuti che controlla i messaggi con risultati SPF o DKIM errati
Livello 6: Rileva messaggi con nome mittente probabilmente contraffatto A complemento delle verifiche SPF, DKIM e DMARC, Forged Email Detection (FED) è un'altra importante linea di difesa contro lo spoofing della posta elettronica. La FED è ideale per porre rimedio agli attacchi spoof che abusano del valore "Da" nel corpo del messaggio. Poiché si conoscono già i nomi dei dirigenti all'interno dell'organizzazione, è possibile creare un dizionario di tali nomi e quindi fare riferimento a tale dizionario con la condizione FED nei filtri dei contenuti. Oltre ai nomi esecutivi, potete anche creare un dizionario di domini cugini o di domini con aspetto simile, basato sul vostro dominio utilizzando DNSTWIST (https://github.com/elceef/dnstwist) per confrontarsi con lo spoofing dei domini con aspetto simile. Procedure ottimali: Identificare gli utenti dell'organizzazione i cui messaggi potrebbero essere falsificati. Creare un dizionario personalizzato per i dirigenti. Per ogni nome esecutivo, il dizionario deve includere il nome utente e tutti i possibili nomi utente come termini (Figura 8). Quando il dizionario è completo, usare FED (Forged Email Detection) nel filtro contenuti per far corrispondere il valore "From" dai messaggi in arrivo con queste voci del dizionario. Figura 8. Directory personalizzata per il rilevamento di messaggi falsi Èun'azione opzionale per aggiungere una condizione di eccezione per il tuo dominio e-mail nel "Mittente busta" per evitare l'ispezione FED. In alternativa, è possibile creare un "Elenco indirizzi" personalizzato per ignorare l'ispezione FED in un elenco di indirizzi e-mail visualizzati
nell'intestazione "Da" (Figura 9). Figura 9. Creazione dell'elenco indirizzi per ignorare l'ispezione FED Applicare l'azione proprietaria Forged Email Detection (FED) per eliminare il valore "From" (Da) e rivedere l'indirizzo e-mail effettivo del mittente della busta nella casella di posta del messaggio. Anziché applicare un'azione finale, aggiungere una nuova intestazione X (ad esempio: X- FED=Corrispondenza) sul messaggio che soddisfa la condizione e continuare a recapitare il messaggio al livello di ispezione successivo (Figura 10). Figura 10. Impostazione del filtro del contenuto consigliata per FED Livello 7: Messaggio di posta elettronica con spoofing identificato positivamente Èpiù efficace identificare una vera e propria campagna di spoofing facendo riferimento ad altri verdetti emessi da varie funzionalità di sicurezza in fase di elaborazione, come le informazioni X- header prodotte da "SPF/ DKIM Enforcement" e "FED". Gli amministratori possono creare un filtro contenuti per identificare i messaggi aggiunti con entrambe le nuove intestazioni X a causa di errori nei risultati della verifica SPF/DKIM (X-SPF-DKIM=Fail) e l'intestazione "From" corrispondente alle voci del dizionario FED (X-FED=Match). L'azione consigliata può essere quella di mettere in quarantena il messaggio e avvisare il destinatario oppure continuare a recapitare il messaggio originale ma anteporre le parole [POSSIBILE FALSIFICAZIONE] alla riga "Oggetto" come avviso al destinatario, come illustrato di seguito (Figura 11). Figura 11. Combinazione di tutte le intestazioni X in un'unica regola (finale)
Livello 8: Protezione dagli URL di phishing Il filtro URL ed epidemie è integrato nel filtro Cisco Email Security. Le minacce miste combinano i messaggi di spoofing e phishing nel tentativo di apparire più legittime per la destinazione; pertanto, abilitare il filtro epidemie è fondamentale per rilevare, analizzare e bloccare tali minacce in tempo reale. È importante sapere che la reputazione dell'URL viene valutata all'interno del motore antispam e che verrà usata come parte della decisione per il rilevamento della posta indesiderata. Se il motore della protezione dalla posta indesiderata non arresta il messaggio con l'URL come posta indesiderata, il messaggio viene valutato dal filtro URL ed epidemie nell'ultima parte della pipeline di sicurezza. Raccomandazione: Creare una regola di filtro dei contenuti che blocchi gli URL con un punteggio di reputazione "dannoso" e reindirizzi l'URL con un punteggio di reputazione "neutro" al proxy di sicurezza Cisco (Figura 12). Abilitare i filtri epidemie di minaccia abilitando la modifica dei messaggi. La riscrittura degli URL consente di analizzare gli URL sospetti tramite Cisco Security Proxy (Figura 13). Per maggiori informazioni, visitare: https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118775-technote- esa-00.html Figura 12. Filtro dei contenuti per la reputazione degli URL Figura 13. Abilitazione della riscrittura degli URL nel filtro epidemie
Livello 9: Migliora la funzionalità di rilevamento spoofing con Cisco Advanced Phishing Protection (APP) Cisco offre Advanced Phishing Protection (APP), che integra l'apprendimento automatico, combinando la modellazione di identità e relazioni locali con l'analisi del comportamento, per una migliore protezione dalle minacce basate sull'inganno di identità. APP consente inoltre all'amministratore di rimuovere i messaggi di posta elettronica dannosi dalle caselle di posta degli utenti per prevenire frodi via cavo o altri attacchi avanzati; e fornisce una visibilità dettagliata sull'attività di attacco via e-mail, inclusi i messaggi protetti e gli attacchi prevenuti. Per maggiori informazioni, visitare i seguenti link: https://www.cisco.com/c/dam/en/us/products/collateral/security/cloud-email-security/at-a-glance- c45-740894.pdf Raccomandazione: Cisco APP è una soluzione preconfigurata nel cloud. Gli amministratori eseguono l'e-mail journaling sul server di posta come Exchange e Office 365 per conservare le informazioni dell'intestazione di tutti i messaggi in arrivo in Cisco APP per ulteriori analisi senza alcun intervento umano di programmazione. Gli amministratori esaminano le classi di attacco identificate da Cisco APP (Figura 14) e configurano i criteri che includono la possibilità di avvisare l'amministratore, eliminare il messaggio o metterlo in quarantena su una cartella alternativa in base ai tipi di attacco (Figura 15). Figura 14. Cisco APP popola automaticamente le classi di attacco sul dashboard principale
Figura 15. L'impostazione dei criteri in Cisco APP che automatizza l'azione se il messaggio
corrisponde al tipo di attacco selezionato.
Cosa si può fare di più con la prevenzione dello spoofing?
Èpossibile correggere molte falsificazioni adottando alcune semplici precauzioni, tra cui:
● Limitare l'utilizzo dei domini whitelist nella tabella HAT (Host Access Table) a pochi partner
aziendali principali
● Tenere sempre traccia e aggiornare i membri nel gruppo mittente SPOOF_ALLOW, se ne è
stato creato uno seguendo le istruzioni fornite nel collegamento delle procedure consigliate.
● Abilitare il rilevamento della posta indesiderata e metterli anche in quarantena
Ma, cosa più importante, abilitare SPF, DKIM e DMARC e implementarli in modo appropriato.
Tuttavia, le indicazioni su come pubblicare i record SPF, DKIM e DMARC esulano dall'ambito del
presente documento. A tal fine, consultare il seguente white paper:
https://www.cisco.com/c/dam/en/us/products/collateral/security/esa-spf-dkim-dmarc.pdf
Comprendiamo inoltre la sfida di porre rimedio agli attacchi tramite e-mail, come le campagne di
spoofing discusse qui. In caso di domande sull'implementazione di queste best practice, contatta il
supporto tecnico Cisco aprendo una richiesta. In alternativa, rivolgiti al tuo Account Team Cisco
per ottenere una soluzione e una guida alla progettazione. Per ulteriori informazioni su Cisco
Email Security, visitare il sito
http://www.cisco.com/c/en/us/products/security/emailsecurity/index.htmlPuoi anche leggere
