• No results found

Handleiding voor beste praktijken tegen Spoofing

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Handleiding voor beste praktijken tegen Spoofing"

Copied!
12
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 12 pagina )

Hele tekst

(1)

Handleiding voor beste praktijken tegen Spoofing

Inhoud

Over dit document Wat is e-mail Spoofing?

E-mail SPOTING-BESCHERMINGSADACK

Layer 1: Geldigheidscontrole op het domein van de verzender Layer 2: Controleer de kop "Van" met DMARC

Layer 3: Vermijd spammers om afgedankte e-mails te verzenden Layer 4: Bepaal kwaadaardige Senders via e-mail domein

Layer 5: Vermindert valse positieve resultaten met SPF of DKIM Verificatie Layer 6: Berichten detecteren met mogelijk vervalste naam

Layer 7: Positief geïdentificeerde steunende e-mail Layer 8: Beveiliging tegen phishing URL’s

Layer 9: Vergroting van de Detectie-mogelijkheid met Cisco Advanced Phishing Protection (APP) Wat kun je nog meer doen met bescherming tegen dakbedekking?

Over dit document

Dit document is voor Cisco-klanten, Cisco-kanaalpartners en Cisco-engineers die Cisco e- mailbeveiliging zullen implementeren. Dit document heeft betrekking op:

Wat is e-mail Spoofing?

E-mail SPOTING-BESCHERMINGSADACK

Wat kun je nog meer doen met spoofing preventie?

Wat is e-mail Spoofing?

E-mail Spoofing is vervalsing van de e-mailkop wanneer het bericht lijkt te zijn ontstaan door iemand of ergens anders dan de echte bron. E-mail Spoofing is een tactiek die gebruikt wordt in phishing en spam campagnes, omdat mensen een e-mail eerder zullen openen als ze denken dat ze verzonden worden door een legitieme, betrouwbare bron. Raadpleeg voor meer informatie over spoofing http://blogs.cisco.com/security/what-is-email-spoofing-and-how-to-detect-it

E-mail spoofing valt in de volgende categorieën:

Categorie Beschrijving Hoofddoel

Direct Domain Spoofing

Imiteer een identiek domein in het "Gebied van" als het domein van de

ontvanger. Werknemers

Naam weergave Decline

De header "From" toont een legitieme zender met een uitvoerende naam

van een organisatie. Ook bekend als Business Email Compromisi (BEC). Werknemers Merk Name

Imitatie

De 'From' header toont een legitieme zender met de merknaam van een bekende organisatie.

Klanten/partner s

Phish URL- gebaseerde aanval

Een e-mail met een URL die probeert gevoelige gegevens te stelen en/of inloginformatie van het slachtoffer in te loggen. Een nep-e-mail van een bank waarin u wordt gevraagd op een link te klikken en uw

Werknemers/p artners

(2)

rekeninggegevens te verifiëren is een voorbeeld van een phishing URL- gebaseerde aanval.

Domain Attack (CIP) voor de neef of de keek

De header van "enveloppe van" of "Van" geeft een vergelijkbaar verzender- adres weer dat gelijk is aan een echt adres, in een poging SPF-, DKIM- en DMARC-inspecties te omzeilen.

Werknemers/p artners

Rekening-

overnamebod/gec omprimeerde account

Geef onbevoegde toegang tot een echt e-mailaccount dat aan iemand toebehoort en stuur vervolgens e-mails naar andere slachtoffers als legitieme e-mailrekeninghouder.

Iedereen

De eerste categorie heeft betrekking op misbruik van de domeinnaam van de eigenaar in de waarde "Envelope From" in de internetheader van een e-mail. Cisco e-mailbeveiliging kan deze aanval corrigeren met DNS-verificatie van verzenden om alleen legitieme zenders en hetzelfde resultaat te bereiken via DMARC, DKIM en SPF-verificatie.

De andere categorieën overtreden echter niet volledig het domeingedeelte van het e-mailadres van de afzender, zodat het niet gemakkelijk is om te worden afgeschermd door alleen DNS- tekstrecords of -verificatie te gebruiken. Idealiter zou het best zijn om bepaalde Cisco e-mail security functies te combineren met out-the-box gebaseerde Cisco Advanced Phishing Protection (APP) om tegen dergelijke geavanceerde bedreigingen te vechten. Houd er rekening mee dat de toepassing van de functies van Cisco Email Security van de ene organisatie tot de andere kan verschillen en dat een onjuiste toepassing kan leiden tot een hoge incidentie van valse positieven.

Daarom is het belangrijk om de bedrijfsbehoeften van de organisatie te begrijpen en de functies dienovereenkomstig aan te passen.

E-mail SPOTING-BESCHERMINGSADACK

De veiligheidskenmerken die de beste praktijken voor controle, waarschuwing en afdwinging tegen spoofing aanvallen zijn weergegeven in het onderstaande schema (afbeelding 1). De details van elke functie worden in dit document gegeven. De beste praktijk is een diepgaande defensie- benadering om e-mailspoofing te detecteren. Houd er altijd rekening mee dat aanvallers hun methoden tegen een organisatie in de loop der tijd zullen veranderen, dus is het voor een beheerder van groot belang om eventuele veranderingen te controleren en passende waarschuwingen en handhaving op te volgen.

Afbeelding 1. Cisco e-mail security spa-verdediging pijpleiding

(3)

Layer 1: Geldigheidscontrole op het domein van de verzender

Sender Verification is een eenvoudiger manier om e-mail die vanuit een bogus e-maildomein wordt verstuurd, zoals neef domein spoofing (bijvoorbeeld 'c1sc0.com' is het imposter van

'cisco.com') te voorkomen. Cisco Email Security maakt een MX record query voor het domein van het e-mailadres van de afzender en voert een A record lookup uit op de MX-record tijdens het TCP-gesprek. Als de DNS-query NXDOMAIN teruggeeft, zal het het domein als niet-bestaand behandelen. Het is gebruikelijk dat aanvallers de informatie over de zender van de enveloppe samenstellen, zodat de e-mail van een niet-geverifieerde zender wordt geaccepteerd en verder wordt verwerkt. Met deze functie worden alle binnenkomende berichten die de verificatiecontrole niet doorstaan, door Cisco e-mail security verworpen, tenzij het domein van de afzender of IP- adres vooraf is toegevoegd in de "Exception Table".

Best Practice: Configureer Cisco e-mailbeveiliging om de TCP-discussie te weigeren als het e- maildomein van de map sender ongeldig is en alleen legitieme zenders toestaat door het beleid voor e-mailstromen, verificatie van verzendingen en uitzonderingstabel (optioneel) te configureren.

Kijk voor meer informatie op: https://www.cisco.com/c/en/us/support/docs/security/email-security- appliance/200057-Spoof-Protection-using-Sender-Verificati.html

Afbeelding 2. Sectie Klantenverificatie in standaardbeleid voor e-mail stromen.

(4)

Layer 2: Controleer de kop "Van" met DMARC

DMARC-verificatie is een belangrijk kenmerk in de strijd tegen "Direct Domain Spoofing"-

aanvallen en omvat ook "Display Name" en "Brand Impersonation"-aanvallen. DMARC verbindt in informatie die voor echt is bevonden met SPF of DKIM (verzendende domeinbron of

handtekening) met wat aan de eindontvanger in de "From"-header wordt aangeboden en controleert of SPF- en/of DKIM-identificatiemiddelen zijn uitgelijnd met de VANAF-header-ID.

Om de DMARC-verificatie te kunnen doorgeven, moet een inkomende e-mail ten minste één van deze authenticatiemechanismen doorgeven. Cisco e-mailbeveiliging stelt de beheerder ook in staat om een DMARC-verificatieprofiel te definiëren om het DMARC-beleid van de

domeineigenaar te omzeilen en om geaggregeerde (RUA)- en mislukking/forensische (RUF)- rapporten naar de domeineigenaren te sturen die helpen om hun verificatieimplementaties in ruil daarvoor te versterken.

Best Practice: Bewerk het standaard DMARC-profiel dat voldoet aan de DMARC-beleidsacties die door de afzender worden geadviseerd. Daarnaast moeten de mondiale instellingen van de

DMARC-verificatie worden bewerkt om een correcte verzameling van rapporten mogelijk te maken. Als het profiel eenmaal correct is geconfigureerd, moet de DMARC-verificatieservice ingeschakeld zijn in het standaardbeleid van het Mail Flow-beleid.

Afbeelding 3. Verificatieprofiel DMARC

(5)

Opmerking: DMARC moet worden geïmplementeerd door de eigenaar van het verzendende domein in combinatie met een protocol voor domeincontrole, zoals Cisco Domain Protection.

Wanneer correct geïmplementeerd, helpt DMARC-rechtshandhaving in Cisco e-mail security om te voorkomen dat e-mail over phishing wordt verzonden naar de werknemers tegen onbevoegde zenders of domeinen. Kijk op deze link voor meer informatie over Cisco Domain Protection:

https://www.cisco.com/c/dam/en/us/products/collateral/security/cloud-email-security/at-a-glance- c45-740937.pdf

Layer 3: Vermijd spammers om afgedankte e-mails te verzenden

Doodsaanvallen kunnen een andere algemene vorm van een spamcampagne zijn, waardoor bescherming tegen spam essentieel blijft om frauduleuze e-mails met spam/phishing-elementen effectief te identificeren en te blokkeren. Het gebruik van de antispammotor, wanneer deze

gekoppeld is aan andere goede praktijken, die in dit document grondig worden beschreven, levert de beste resultaten op zonder dat er legitieme e-mails verloren gaan.

Best Practice: Schakel het scannen van anti-spam in het standaard postbeleid in en stel de quarantaineactie in om de gespecificeerde spam-instellingen goed te selecteren. Vergroot de minimale scangrootte van een spambericht tot minimaal 2 M in de wereldwijde instelling.

Afbeelding 4. Instelling van anti-Spam in standaardbeleid voor e-mail

(6)

De Spam-drempel kan worden aangepast voor positieve en vermoedelijke spam om de

gevoeligheid te verhogen of te verminderen (figuur 5); echter, ontmoedigt Cisco de beheerder om dit te doen, en gebruikt alleen de standaarddrempels als basislijn, tenzij anders door Cisco verteld wordt.

Afbeelding 5. Vaststelling van drempels voor antisemitisme in het standaardpostbeleid

Als zijdelingse opmerking biedt Cisco Email Security extra Intelligent Multi-Scan (IMS)-motor die verschillende combinaties vanaf de anti-spam motor biedt om de spamvangstsnelheden (meest agressieve vangstsnelheid) te verhogen.

Layer 4: Bepaal kwaadaardige Senders via e-mail domein

Het gebruik van IP-gebaseerde reputatie-detectie (SBRS) om aanvallen van bedelfstoffen te bestrijden is niet langer toereikend om meerdere redenen, in het bijzonder door het feit dat dezelfde bron van IP-adressen kan worden gebruikt om meerdere verzendende domeinen te huisvesten, in welk geval de aard van elk domein anders kan zijn, waardoor SBRS minder effectief wordt om kwaadaardige besmet berichten en spoofing-campagnes te voorkomen. Sender Domain Reputation (SDR) is handig om deze problemen aan te pakken.

Met het behoud van IP-reputatiefiltering op de MTP-verbindingslaag wordt rekening gehouden met het reputatieoordeel op basis van de verzendende domeininformatie die in de MTP-conversatie- en berichtenkoppen wordt gepresenteerd om te bepalen of de e-mail al dan niet moet worden

(7)

toegestaan door het inkomende postbeleid. SDR staat aan de top in termen van het effectief voorkomen van spoofing-campagnes uit kwaadaardige bronnen of een domein dat onlangs is geregistreerd, minder dan een week bijvoorbeeld, in een duidelijke poging om de reputatie- scanfunctie te verkennen.

Best Practice: Maak een inkomend contentfilter dat het verzendende domein weergeeft waarin de uitspraak over de SDR-reputatie valt onder "Awful / Poor / Tainted" of het Domeintijdperk minder dan of gelijk is aan 5 dagen. De aanbevolen actie is om het bericht in quarantaine te plaatsen en een kennisgeving te verzenden naar de e-mailbeveiligingsbeheerder en de oorspronkelijke ontvanger. Bekijk de Cisco-video op https://www.youtube.com/watch?v=IBLRQMT3SHU voor meer informatie over de manier waarop u SDR kunt configureren

Afbeelding 6. Content Filter voor SDR reputatie en domeinleeftijd met zowel kennisgeving als quarantaine.

Layer 5: Vermindert valse positieve resultaten met SPF of DKIM Verificatie

Het is zeer belangrijk om SPF of DKIM verificatie (zowel als één) af te dwingen wat betreft het bouwen van meerdere lagen van postseldetectie van punten voor de meeste aanvalstypes. In plaats van een definitieve actie (zoals beëindigen of quarantaine) te nemen, beveelt Cisco aan om een nieuwe header zoals [X-SPF-DKIM] toe te voegen in het bericht dat de SPF- of DKIM-

verificatie niet levert en het resultaat samen te werken met de optie Gedraaid Email Detection (FED), wat we later zullen bedekken, in het belang van een beter overzicht van spoofing-e-mails.

Best Practice: Maak een inhoudfilter dat de resultaten van de controle van SPF of DKIM van elk inkomend bericht dat door vorige inspecties werd doorgegeven inspecteert. Voeg een nieuwe X- header (bijvoorbeeld X-SPF-DKIM=Fail) toe aan het bericht dat de SPF- of DKIM-verificatie faalt en levert aan de volgende laag van scannen - Forged Email Detection (FED).

Afbeelding 7. contentfilter dat berichten met mislukte SPF- of DKIM-resultaten inspecteert

(8)

Layer 6: Berichten detecteren met mogelijk vervalste naam

In aanvulling op verificaties van het SFP, DKIM en DMARC is Forged Email Detection (FED) een andere belangrijke verdedigingslinie tegen e-mailspoofing. FED is ideaal om nepaanvallen te verhelpen die de "Van" waarde in de berichttekst misbruiken. Gezien het feit dat u de uitvoerende namen binnen de organisatie reeds kent, kunt u een woordenboek van deze namen maken en dan dat woordenboek in contentfilters verwijzen naar de FED-conditie. Naast uitvoerende namen kunt u ook een woordenboek van neef domeinen of gelijksoortige domeinen creëren, gebaseerd op uw eigen domein door DNSTWIST (https://github.com/elceef/dnstwist) te gebruiken om tegen gelijksoortige domeinspoofing te strijken.

Best Practice: Identificeer de gebruikers in uw organisatie waarvan de berichten waarschijnlijk zullen worden vervalst. Maak een aangepast woordenboek dat rekening houdt met directeuren.

Voor elke uitvoerende naam moet het woordenboek de gebruikersnaam en alle mogelijke gebruikersnamen als termen bevatten (afbeelding 8). Wanneer het woordenboek is voltooid, gebruikt u Forged Email Detection (FED) in het contentfilter om op de "Van"-waarde van binnenkomende berichten af te stemmen op deze woordenboekingangen.

Afbeelding 8. Aangepaste map voor geforceerde e-maildetectie

Het is een optionele actie om een uitzonderingsvoorwaarde toe te voegen voor uw e-maildomein in de "Envelope Sender" om de FED inspectie te omzeilen. U kunt ook een aangepaste "adreslijst"

(9)

aanmaken om de FED-inspectie te omzeilen naar een lijst met e-mailadressen die in de kop "Van"

worden weergegeven (afbeelding 9).

Afbeelding 9. Maak een adreslijst om de FED-inspectie te omzeilen

Pas de gedeponeerde Email Detection (FED) eigen actie toe om de "Van" waarde af te halen en het e-mailadres van de eigenlijke envelop in het bericht in te kijken. Voeg geen definitieve actie toe, maar voeg een nieuwe X-header toe (voorbeeld: X-FED=Match) op het bericht dat de conditie bereikte en het bericht aan de volgende inspectielaag blijft leveren (afbeelding 10).

Afbeelding 10. Aanbevolen contentfilterinstelling voor FED

Layer 7: Positief geïdentificeerde steunende e-mail

Het is effectiever om een echte spoofing-campagne te identificeren door te verwijzen naar andere uitspraken van verschillende veiligheidskenmerken in de pijpleiding, zoals de X-header-informatie die wordt geproduceerd met "SPF/DKIM Enforced" en "FED". Beheerders kunnen een contentfilter maken om berichten te identificeren die met beide nieuwe X-headers zijn toegevoegd als gevolg van mislukte SPF / DKIM verificatieresultaten (X-SPF-DKIM=Fail) en die "Van" header

overeenkomen met de FED-woordenboekingangen (X-FED=Match).

De aanbevolen actie kan zijn: ofwel het bericht in quarantaine plaatsen en de ontvanger op de hoogte brengen, ofwel doorgaan met het verzenden van het oorspronkelijke bericht, maar vooraf gaan [MOGELIJK GEFORGEERDE] woorden aan "Onderwerp" als waarschuwing aan de

ontvanger, zoals hieronder weergegeven (afbeelding 11).

Afbeelding 11. Comprimeer alle X-headers in één enkele (laatste) regel

(10)

Layer 8: Beveiliging tegen phishing URL’s

Bescherming tegen phishing URL-links zijn opgenomen in de URL en Outdoorfiltering van

onderdelen in Cisco e-mail security. Meervoudige bedreigingen combineren spoofing- en phishing- berichten in een poging om legitiem te zijn voor het doel, waardoor Outbreak Filtering van cruciaal belang is om dergelijke bedreigingen in real-time te helpen detecteren, analyseren en stoppen.

Het is de moeite waard om te weten dat de URL wordt beoordeeld binnen de anti-spammotor en zal worden gebruikt als onderdeel van het besluit voor spamdetectie. Als de anti-spam motor het bericht niet stopt met URL als spam, zal het worden geëvalueerd door zowel URL als Outbreak Filtering in het laatste deel van de veiligheidspijplijn.

Aanbeveling: Maak een regel van het contentfilter die URL met een "boosaardige" reputatiescore blokkeert en richt de URL met een "neutrale" reputatiescore naar Cisco Security Proxy (afbeelding 12). Filters van bedreigingen inschakelen door berichtwijziging in te schakelen. Met URL Reformer kan verdachte URL’s worden geanalyseerd door Cisco Security Proxy (afbeelding 13). Kijk voor meer informatie op: https://www.cisco.com/c/en/us/support/docs/security/email-security-

appliance/118775-technote-esa-00.html

Afbeelding 12. contentfilter voor URL-oplossingen

Afbeelding 13. Laat URL-herschrijven in Outdoorkleding filteren

(11)

Layer 9: Vergroting van de Detectie-mogelijkheid met Cisco Advanced Phishing Protection (APP)

Cisco biedt Advanced Phishing Protection (APP), waarin automatisch leren wordt geïntegreerd, lokale identiteit en relationsmodellen combineren met gedragsanalyses, om beter te beschermen tegen op identiteit gebaseerde bedreigingen. APP stelt de beheerder ook in staat om

kwaadaardige e-mails uit de inbox van de gebruikers te verwijderen om draadfraude of andere geavanceerde aanvallen te voorkomen; en biedt een gedetailleerde zichtbaarheid in de activiteit van e-mailaanvallen, met inbegrip van totaal beveiligde berichten en verboden aanvallen. Ga voor meer informatie naar de volgende links:

https://www.cisco.com/c/dam/en/us/products/collateral/security/cloud-email-security/at-a-glance- c45-740894.pdf

Aanbeveling: Cisco APP is een out-of-the-box oplossing in de cloud. Beheerders voeren e-

mailjournalisten uit op de e-mailserver zoals Exchange en Office 365 om de headerinformatie van alle inkomende berichten in Cisco APP te behouden voor verdere analyse zonder enige

menselijke programmeeractie. De beheerders bekijken de aanvalsklassen die Cisco APP heeft geïdentificeerd (afbeelding 14) en configureren beleid dat de mogelijkheid bevat om de beheerder te waarschuwen, het bericht te verwijderen of het bericht in quarantaine te plaatsen naar een alternatieve map op basis van de aanvalstypen (afbeelding 15).

Afbeelding 14. Cisco APP vult automatisch de aanvallen-klassen op het hoofddashboard in

(12)

Afbeelding 15. De beleidsinstelling in Cisco APP die de actie automatiseren als het bericht overeenkomt met het geselecteerde aanvalstype.

Wat kun je nog meer doen met bescherming tegen dakbedekking?

Vele spoofs kunnen worden verholpen door een paar eenvoudige voorzorgsmaatregelen te nemen, waaronder, maar niet beperkt tot:

Beperk het gebruik van gefloten domeinen in de Host Access Table (HAT) aan een paar kernpartners

Volg en update leden in de SPOOF_ALLOW sendergroep altijd, als u één door de instructies te volgen die in de best practice link gegeven zijn.

Laat de graymaildetectie toe en plaats ze ook in de spamquarantaine

Maar het belangrijkste van alles is, om SPF, DKIM en DMARC in te schakelen en ze op de juiste manier te implementeren. De leidraad voor het publiceren van gegevens over SPF, DKIM en DMARC valt echter buiten het toepassingsgebied van dit document. Raadpleeg voor dat doel het volgende witboek: https://www.cisco.com/c/dam/en/us/products/collateral/security/esa-spf-dkim- dmarc.pdf

We begrijpen ook de uitdaging om e-mailaanvallen te verhelpen, zoals de taping campagnes die hier worden besproken. Als u vragen hebt over het uitvoeren van deze beste praktijken, kunt u contact opnemen met Cisco Technical Support door een case te openen. U kunt ook uw Cisco- accountteam bereiken voor een oplossing en ontwerpadvies. Ga voor meer informatie over Cisco Email Security naar http://www.cisco.com/c/en/us/products/security/emailsecurity/index.html

Referenties

Download het nu ( PDF - 12 pagina - 1.22 MB )

GERELATEERDE DOCUMENTEN

CUCM RTMT-tramlokaties in CLI

Cisco Advanced Malware Protection Service Server Cisco Advanced Malware Protection Service-logboek Cisco AXL-webservice..

Maak security eenvoudig met het Cisco SecureX platform

Lees in dit e-book meer over de oplossingen die Cisco biedt om dreigingen weer onder controle te krijgen, zonder de noodzaak voor een complex systeem.. Wereldwijd zijn

Cisco ONS voedingsspecificaties

In dit document worden het totale energieverbruik en de maximale thermische belasting van het ONS 15454 multiservice provisioningplatform (MSPP) beschreven.. Het legt

Cisco Success Network (CSN) op Cisco security

Dit document bevat de informatie over de optie Cisco Success Network die beschikbaar zou zijn als onderdeel van de release van AsyncOS 13.5.1 voor de Cisco e-mail security

Handleiding Cisco Webex via de browser voor docenten

Als je niet van plan bent de applicatie te installeren en je wilt deze pop-up niet elke keer wegklikken, vink dan ‘Mijn keuze voor wbx-koppelingen onthouden’ aan.. Firefox is

Cisco CallManager-servicecrisis

Dit document bevat informatie over een crash van Cisco CallManager, hoe u kunt bepalen of u een crash hebt ervaren, de informatie om de technische ondersteuning van Cisco te

Cisco IOS op rol gebaseerde toegangscontrole met dm: Configuratietoestemming tussen operationele groepen scheiden

commands configure include all access-list commands configure include all ip access-list commands configure include all interface commands configure include all zone-pair

URL-filtering en configuratie en beste praktijken voor Cisco security

U kunt bijvoorbeeld URL's met een neutrale of onbekende reputatie herschrijven om deze naar de Cisco Web Security Proxy te sturen voor een klik-tijd evaluatie van hun