Jak SOC chroni przed phishingiem – przykłady praktyczne.

Biorąc pod uwagę fakt, że phishing to wciąż zdecydowanie najczęściej stosowane narzędzie do przeprowadzania cyberataków oraz fakt, że mimo istniejących „tysięcy” metod, które mają na celu przed nim zabezpieczać, wciąż istnieją sposoby na przechytrzenie nawet doświadczonych adminów, chcemy pokazać na podstawie praktycznych przykładów, jak specjaliści z działu SOC radzą sobie z zagrożeniami phishingowymi.

SOC nie zajmuję się tylko reakcją na incydenty phishingowe oraz zapobieganiem ich dalszej eskalacji, ale przede wszystkim zajmuje się zapobieganiem ich skutkom, wykorzystując do tego narzędzia analityczno-detekcyjne.

Przyjrzyjmy się bliżej kilku przykładom, jak dokładnie to wygląda.

Monitorowanie i analiza zagrożeń phishingowych

Zespoły SOC korzystają z narzędzi stosujących tzw. threat intelligence (np. nowoczesne systemy SIEM i XDR), dzięki czemu może regularnie analizować aktualne kampanie phishingowe. Dzięki temu możliwe są działania:

• Identyfikowanie nowych metod ataków – np. fałszywe strony logowania lub sztuczki socjotechniczne.
• Monitorowanie phishingowych domen i adresów IP – Systemy wykorzystywane do świadczenia usługi SOC korzystają z baz danych, które pomagają wykrywać złośliwe adresy URL jeszcze przed ich użyciem w ataku.

Daje to możliwość proaktywnego blokowania zagrożeń.

Idąc dalej, integracja systemów SIEM (przypomnijmy – Security Information and Event Management) oraz XDR (przypomnijmy – Extended Detection and Response) z bazami Threat Intelligence, a także często z systemami antyspamowymi  umożliwia zespołom SOC:

• Filtrowanie podejrzanych e-maili jeszcze przed ich dostarczeniem – poprzez analizę nagłówków wiadomości, adresów nadawców i linków (analiza reputacji domen i nadawców)
• Automatyczna blokada dostępu do złośliwych stron – jeśli systemy posiadają odpowiednio zaimplementowaną regułą, to w sytuacji typu użytkownik klika w link phishingowy, system może natychmiast przerwać połączenie.
• Dodatek sandbox – podejrzane wiadomości i załączniki mogą uruchamiane w izolowanym środowisku, aby sprawdzić ich działanie.

Dzięki automatycznym regułom wstępna analiz zagrożenia może być przeprowadzona bez konieczności ręcznej interwencji zespołu SOC, po prostu, jeśli system wykryje phishing, to e-mail zostaje natychmiast zablokowany lub oznaczony jako zagrożenie.

Reakcja na incydenty phishingowe

Przy pisaniu tego typu artykułu, należy też opowiedzieć nt. procesu samej reakcji na incydenty. Oczywiście nawet przy najlepszych zabezpieczeniach phishing może przedostać się do skrzynek użytkowników.

W takich przypadkach SOC odpowiada za:

• Jak najszybszą izolację zagrożenia – jeśli użytkownik już kliknął w link phishingowy, to zadaniem zespołu SOC jest natychmiast odciąć jego sesję i wyizolować dostęp do sieci.
• Zarządzanie incydentem – głównym zadaniem zespołu SOC jest analiza zebranych logów, dlatego w dalszej kolejności musi on zweryfikować czy atak dotknął innych użytkowników.

Jeśli te warunki są spełnione, to zespołowi SOC udaje się zminimalizować skutki wykrytych ataków.

Edukacja i symulacje phishingowe

Należy na koniec wspomnieć o jednej bardzo ważnej kwestii, bez której żadna infrastruktura nie będzie bezpieczna – nie da się ochronić organizacji przed phishingiem bez zbudowania świadomości pracowników nt. cyberbezpieczeństwa.

Właśnie dlatego zespół SOC prowadzi szkolenia dla personelu i przeprowadza symulacje phishingowe, których wyniki pomagają użytkownikom rozpoznawać zagrożenia.

Działania te obejmują:

• Wysyłanie fałszywych wiadomości phishingowych – klasyczne sprawdzenie, ilu pracowników da się nabrać i kliknie w podejrzany link.
• Szkolenia na podstawie rzeczywistych incydentów – czyli praktyczna analiza prawdziwych ataków phishingowych, które już dotknęły organizację.

Najlepszy system cyberbezpieczeństwa to własna głowa, dlatego dobrze przeszkolony pracownik to podstawa obrony przed phishingiem.

Dziękujemy, że dotarli Państwo do końca naszej lektury.

Polecamy usługi Grupy E, polegające na wdrażaniu systemów cyberbezpieczeństwa, a także zapraszamy do bezpłatnej konsultacji dot. poprawy poziomu cyberodporności i dostosowania usługi SOC do Państwa potrzeb.