Handleiding voor beste praktijken tegen Spoofing
Inhoud
Over dit document Wat is e-mail Spoofing?
E-mail SPOTING-BESCHERMINGSADACK
Layer 1: Geldigheidscontrole op het domein van de verzender Layer 2: Controleer de kop "Van" met DMARC
Layer 3: Vermijd spammers om afgedankte e-mails te verzenden Layer 4: Bepaal kwaadaardige Senders via e-mail domein
Layer 5: Vermindert valse positieve resultaten met SPF of DKIM Verificatie Layer 6: Berichten detecteren met mogelijk vervalste naam
Layer 7: Positief geïdentificeerde steunende e-mail Layer 8: Beveiliging tegen phishing URL’s
Layer 9: Vergroting van de Detectie-mogelijkheid met Cisco Advanced Phishing Protection (APP) Wat kun je nog meer doen met bescherming tegen dakbedekking?
Over dit document
Dit document is voor Cisco-klanten, Cisco-kanaalpartners en Cisco-engineers die Cisco e- mailbeveiliging zullen implementeren. Dit document heeft betrekking op:
Wat is e-mail Spoofing?
●
E-mail SPOTING-BESCHERMINGSADACK
●
Wat kun je nog meer doen met spoofing preventie?
●
Wat is e-mail Spoofing?
E-mail Spoofing is vervalsing van de e-mailkop wanneer het bericht lijkt te zijn ontstaan door iemand of ergens anders dan de echte bron. E-mail Spoofing is een tactiek die gebruikt wordt in phishing en spam campagnes, omdat mensen een e-mail eerder zullen openen als ze denken dat ze verzonden worden door een legitieme, betrouwbare bron. Raadpleeg voor meer informatie over spoofing http://blogs.cisco.com/security/what-is-email-spoofing-and-how-to-detect-it
E-mail spoofing valt in de volgende categorieën:
Categorie Beschrijving Hoofddoel
Direct Domain Spoofing
Imiteer een identiek domein in het "Gebied van" als het domein van de
ontvanger. Werknemers
Naam weergave Decline
De header "From" toont een legitieme zender met een uitvoerende naam
van een organisatie. Ook bekend als Business Email Compromisi (BEC). Werknemers Merk Name
Imitatie
De 'From' header toont een legitieme zender met de merknaam van een bekende organisatie.
Klanten/partner s
Phish URL- gebaseerde aanval
Een e-mail met een URL die probeert gevoelige gegevens te stelen en/of inloginformatie van het slachtoffer in te loggen. Een nep-e-mail van een bank waarin u wordt gevraagd op een link te klikken en uw
Werknemers/p artners
rekeninggegevens te verifiëren is een voorbeeld van een phishing URL- gebaseerde aanval.
Domain Attack (CIP) voor de neef of de keek
De header van "enveloppe van" of "Van" geeft een vergelijkbaar verzender- adres weer dat gelijk is aan een echt adres, in een poging SPF-, DKIM- en DMARC-inspecties te omzeilen.
Werknemers/p artners
Rekening-
overnamebod/gec omprimeerde account
Geef onbevoegde toegang tot een echt e-mailaccount dat aan iemand toebehoort en stuur vervolgens e-mails naar andere slachtoffers als legitieme e-mailrekeninghouder.
Iedereen
De eerste categorie heeft betrekking op misbruik van de domeinnaam van de eigenaar in de waarde "Envelope From" in de internetheader van een e-mail. Cisco e-mailbeveiliging kan deze aanval corrigeren met DNS-verificatie van verzenden om alleen legitieme zenders en hetzelfde resultaat te bereiken via DMARC, DKIM en SPF-verificatie.
De andere categorieën overtreden echter niet volledig het domeingedeelte van het e-mailadres van de afzender, zodat het niet gemakkelijk is om te worden afgeschermd door alleen DNS- tekstrecords of -verificatie te gebruiken. Idealiter zou het best zijn om bepaalde Cisco e-mail security functies te combineren met out-the-box gebaseerde Cisco Advanced Phishing Protection (APP) om tegen dergelijke geavanceerde bedreigingen te vechten. Houd er rekening mee dat de toepassing van de functies van Cisco Email Security van de ene organisatie tot de andere kan verschillen en dat een onjuiste toepassing kan leiden tot een hoge incidentie van valse positieven.
Daarom is het belangrijk om de bedrijfsbehoeften van de organisatie te begrijpen en de functies dienovereenkomstig aan te passen.
E-mail SPOTING-BESCHERMINGSADACK
De veiligheidskenmerken die de beste praktijken voor controle, waarschuwing en afdwinging tegen spoofing aanvallen zijn weergegeven in het onderstaande schema (afbeelding 1). De details van elke functie worden in dit document gegeven. De beste praktijk is een diepgaande defensie- benadering om e-mailspoofing te detecteren. Houd er altijd rekening mee dat aanvallers hun methoden tegen een organisatie in de loop der tijd zullen veranderen, dus is het voor een beheerder van groot belang om eventuele veranderingen te controleren en passende waarschuwingen en handhaving op te volgen.
Afbeelding 1. Cisco e-mail security spa-verdediging pijpleiding
Layer 1: Geldigheidscontrole op het domein van de verzender
Sender Verification is een eenvoudiger manier om e-mail die vanuit een bogus e-maildomein wordt verstuurd, zoals neef domein spoofing (bijvoorbeeld 'c1sc0.com' is het imposter van
'cisco.com') te voorkomen. Cisco Email Security maakt een MX record query voor het domein van het e-mailadres van de afzender en voert een A record lookup uit op de MX-record tijdens het TCP-gesprek. Als de DNS-query NXDOMAIN teruggeeft, zal het het domein als niet-bestaand behandelen. Het is gebruikelijk dat aanvallers de informatie over de zender van de enveloppe samenstellen, zodat de e-mail van een niet-geverifieerde zender wordt geaccepteerd en verder wordt verwerkt. Met deze functie worden alle binnenkomende berichten die de verificatiecontrole niet doorstaan, door Cisco e-mail security verworpen, tenzij het domein van de afzender of IP- adres vooraf is toegevoegd in de "Exception Table".
Best Practice: Configureer Cisco e-mailbeveiliging om de TCP-discussie te weigeren als het e- maildomein van de map sender ongeldig is en alleen legitieme zenders toestaat door het beleid voor e-mailstromen, verificatie van verzendingen en uitzonderingstabel (optioneel) te configureren.
Kijk voor meer informatie op: https://www.cisco.com/c/en/us/support/docs/security/email-security- appliance/200057-Spoof-Protection-using-Sender-Verificati.html
Afbeelding 2. Sectie Klantenverificatie in standaardbeleid voor e-mail stromen.
Layer 2: Controleer de kop "Van" met DMARC
DMARC-verificatie is een belangrijk kenmerk in de strijd tegen "Direct Domain Spoofing"-
aanvallen en omvat ook "Display Name" en "Brand Impersonation"-aanvallen. DMARC verbindt in informatie die voor echt is bevonden met SPF of DKIM (verzendende domeinbron of
handtekening) met wat aan de eindontvanger in de "From"-header wordt aangeboden en controleert of SPF- en/of DKIM-identificatiemiddelen zijn uitgelijnd met de VANAF-header-ID.
Om de DMARC-verificatie te kunnen doorgeven, moet een inkomende e-mail ten minste één van deze authenticatiemechanismen doorgeven. Cisco e-mailbeveiliging stelt de beheerder ook in staat om een DMARC-verificatieprofiel te definiëren om het DMARC-beleid van de
domeineigenaar te omzeilen en om geaggregeerde (RUA)- en mislukking/forensische (RUF)- rapporten naar de domeineigenaren te sturen die helpen om hun verificatieimplementaties in ruil daarvoor te versterken.
Best Practice: Bewerk het standaard DMARC-profiel dat voldoet aan de DMARC-beleidsacties die door de afzender worden geadviseerd. Daarnaast moeten de mondiale instellingen van de
DMARC-verificatie worden bewerkt om een correcte verzameling van rapporten mogelijk te maken. Als het profiel eenmaal correct is geconfigureerd, moet de DMARC-verificatieservice ingeschakeld zijn in het standaardbeleid van het Mail Flow-beleid.
Afbeelding 3. Verificatieprofiel DMARC
Opmerking: DMARC moet worden geïmplementeerd door de eigenaar van het verzendende domein in combinatie met een protocol voor domeincontrole, zoals Cisco Domain Protection.
Wanneer correct geïmplementeerd, helpt DMARC-rechtshandhaving in Cisco e-mail security om te voorkomen dat e-mail over phishing wordt verzonden naar de werknemers tegen onbevoegde zenders of domeinen. Kijk op deze link voor meer informatie over Cisco Domain Protection:
https://www.cisco.com/c/dam/en/us/products/collateral/security/cloud-email-security/at-a-glance- c45-740937.pdf
Layer 3: Vermijd spammers om afgedankte e-mails te verzenden
Doodsaanvallen kunnen een andere algemene vorm van een spamcampagne zijn, waardoor bescherming tegen spam essentieel blijft om frauduleuze e-mails met spam/phishing-elementen effectief te identificeren en te blokkeren. Het gebruik van de antispammotor, wanneer deze
gekoppeld is aan andere goede praktijken, die in dit document grondig worden beschreven, levert de beste resultaten op zonder dat er legitieme e-mails verloren gaan.
Best Practice: Schakel het scannen van anti-spam in het standaard postbeleid in en stel de quarantaineactie in om de gespecificeerde spam-instellingen goed te selecteren. Vergroot de minimale scangrootte van een spambericht tot minimaal 2 M in de wereldwijde instelling.
Afbeelding 4. Instelling van anti-Spam in standaardbeleid voor e-mail
De Spam-drempel kan worden aangepast voor positieve en vermoedelijke spam om de
gevoeligheid te verhogen of te verminderen (figuur 5); echter, ontmoedigt Cisco de beheerder om dit te doen, en gebruikt alleen de standaarddrempels als basislijn, tenzij anders door Cisco verteld wordt.
Afbeelding 5. Vaststelling van drempels voor antisemitisme in het standaardpostbeleid
Als zijdelingse opmerking biedt Cisco Email Security extra Intelligent Multi-Scan (IMS)-motor die verschillende combinaties vanaf de anti-spam motor biedt om de spamvangstsnelheden (meest agressieve vangstsnelheid) te verhogen.
Layer 4: Bepaal kwaadaardige Senders via e-mail domein
Het gebruik van IP-gebaseerde reputatie-detectie (SBRS) om aanvallen van bedelfstoffen te bestrijden is niet langer toereikend om meerdere redenen, in het bijzonder door het feit dat dezelfde bron van IP-adressen kan worden gebruikt om meerdere verzendende domeinen te huisvesten, in welk geval de aard van elk domein anders kan zijn, waardoor SBRS minder effectief wordt om kwaadaardige besmet berichten en spoofing-campagnes te voorkomen. Sender Domain Reputation (SDR) is handig om deze problemen aan te pakken.
Met het behoud van IP-reputatiefiltering op de MTP-verbindingslaag wordt rekening gehouden met het reputatieoordeel op basis van de verzendende domeininformatie die in de MTP-conversatie- en berichtenkoppen wordt gepresenteerd om te bepalen of de e-mail al dan niet moet worden
toegestaan door het inkomende postbeleid. SDR staat aan de top in termen van het effectief voorkomen van spoofing-campagnes uit kwaadaardige bronnen of een domein dat onlangs is geregistreerd, minder dan een week bijvoorbeeld, in een duidelijke poging om de reputatie- scanfunctie te verkennen.
Best Practice: Maak een inkomend contentfilter dat het verzendende domein weergeeft waarin de uitspraak over de SDR-reputatie valt onder "Awful / Poor / Tainted" of het Domeintijdperk minder dan of gelijk is aan 5 dagen. De aanbevolen actie is om het bericht in quarantaine te plaatsen en een kennisgeving te verzenden naar de e-mailbeveiligingsbeheerder en de oorspronkelijke ontvanger. Bekijk de Cisco-video op https://www.youtube.com/watch?v=IBLRQMT3SHU voor meer informatie over de manier waarop u SDR kunt configureren
Afbeelding 6. Content Filter voor SDR reputatie en domeinleeftijd met zowel kennisgeving als quarantaine.
Layer 5: Vermindert valse positieve resultaten met SPF of DKIM Verificatie
Het is zeer belangrijk om SPF of DKIM verificatie (zowel als één) af te dwingen wat betreft het bouwen van meerdere lagen van postseldetectie van punten voor de meeste aanvalstypes. In plaats van een definitieve actie (zoals beëindigen of quarantaine) te nemen, beveelt Cisco aan om een nieuwe header zoals [X-SPF-DKIM] toe te voegen in het bericht dat de SPF- of DKIM-
verificatie niet levert en het resultaat samen te werken met de optie Gedraaid Email Detection (FED), wat we later zullen bedekken, in het belang van een beter overzicht van spoofing-e-mails.
Best Practice: Maak een inhoudfilter dat de resultaten van de controle van SPF of DKIM van elk inkomend bericht dat door vorige inspecties werd doorgegeven inspecteert. Voeg een nieuwe X- header (bijvoorbeeld X-SPF-DKIM=Fail) toe aan het bericht dat de SPF- of DKIM-verificatie faalt en levert aan de volgende laag van scannen - Forged Email Detection (FED).
Afbeelding 7. contentfilter dat berichten met mislukte SPF- of DKIM-resultaten inspecteert
Layer 6: Berichten detecteren met mogelijk vervalste naam
In aanvulling op verificaties van het SFP, DKIM en DMARC is Forged Email Detection (FED) een andere belangrijke verdedigingslinie tegen e-mailspoofing. FED is ideaal om nepaanvallen te verhelpen die de "Van" waarde in de berichttekst misbruiken. Gezien het feit dat u de uitvoerende namen binnen de organisatie reeds kent, kunt u een woordenboek van deze namen maken en dan dat woordenboek in contentfilters verwijzen naar de FED-conditie. Naast uitvoerende namen kunt u ook een woordenboek van neef domeinen of gelijksoortige domeinen creëren, gebaseerd op uw eigen domein door DNSTWIST (https://github.com/elceef/dnstwist) te gebruiken om tegen gelijksoortige domeinspoofing te strijken.
Best Practice: Identificeer de gebruikers in uw organisatie waarvan de berichten waarschijnlijk zullen worden vervalst. Maak een aangepast woordenboek dat rekening houdt met directeuren.
Voor elke uitvoerende naam moet het woordenboek de gebruikersnaam en alle mogelijke gebruikersnamen als termen bevatten (afbeelding 8). Wanneer het woordenboek is voltooid, gebruikt u Forged Email Detection (FED) in het contentfilter om op de "Van"-waarde van binnenkomende berichten af te stemmen op deze woordenboekingangen.
Afbeelding 8. Aangepaste map voor geforceerde e-maildetectie
Het is een optionele actie om een uitzonderingsvoorwaarde toe te voegen voor uw e-maildomein in de "Envelope Sender" om de FED inspectie te omzeilen. U kunt ook een aangepaste "adreslijst"
aanmaken om de FED-inspectie te omzeilen naar een lijst met e-mailadressen die in de kop "Van"
worden weergegeven (afbeelding 9).
Afbeelding 9. Maak een adreslijst om de FED-inspectie te omzeilen
Pas de gedeponeerde Email Detection (FED) eigen actie toe om de "Van" waarde af te halen en het e-mailadres van de eigenlijke envelop in het bericht in te kijken. Voeg geen definitieve actie toe, maar voeg een nieuwe X-header toe (voorbeeld: X-FED=Match) op het bericht dat de conditie bereikte en het bericht aan de volgende inspectielaag blijft leveren (afbeelding 10).
Afbeelding 10. Aanbevolen contentfilterinstelling voor FED
Layer 7: Positief geïdentificeerde steunende e-mail
Het is effectiever om een echte spoofing-campagne te identificeren door te verwijzen naar andere uitspraken van verschillende veiligheidskenmerken in de pijpleiding, zoals de X-header-informatie die wordt geproduceerd met "SPF/DKIM Enforced" en "FED". Beheerders kunnen een contentfilter maken om berichten te identificeren die met beide nieuwe X-headers zijn toegevoegd als gevolg van mislukte SPF / DKIM verificatieresultaten (X-SPF-DKIM=Fail) en die "Van" header
overeenkomen met de FED-woordenboekingangen (X-FED=Match).
De aanbevolen actie kan zijn: ofwel het bericht in quarantaine plaatsen en de ontvanger op de hoogte brengen, ofwel doorgaan met het verzenden van het oorspronkelijke bericht, maar vooraf gaan [MOGELIJK GEFORGEERDE] woorden aan "Onderwerp" als waarschuwing aan de
ontvanger, zoals hieronder weergegeven (afbeelding 11).
Afbeelding 11. Comprimeer alle X-headers in één enkele (laatste) regel
Layer 8: Beveiliging tegen phishing URL’s
Bescherming tegen phishing URL-links zijn opgenomen in de URL en Outdoorfiltering van
onderdelen in Cisco e-mail security. Meervoudige bedreigingen combineren spoofing- en phishing- berichten in een poging om legitiem te zijn voor het doel, waardoor Outbreak Filtering van cruciaal belang is om dergelijke bedreigingen in real-time te helpen detecteren, analyseren en stoppen.
Het is de moeite waard om te weten dat de URL wordt beoordeeld binnen de anti-spammotor en zal worden gebruikt als onderdeel van het besluit voor spamdetectie. Als de anti-spam motor het bericht niet stopt met URL als spam, zal het worden geëvalueerd door zowel URL als Outbreak Filtering in het laatste deel van de veiligheidspijplijn.
Aanbeveling: Maak een regel van het contentfilter die URL met een "boosaardige" reputatiescore blokkeert en richt de URL met een "neutrale" reputatiescore naar Cisco Security Proxy (afbeelding 12). Filters van bedreigingen inschakelen door berichtwijziging in te schakelen. Met URL Reformer kan verdachte URL’s worden geanalyseerd door Cisco Security Proxy (afbeelding 13). Kijk voor meer informatie op: https://www.cisco.com/c/en/us/support/docs/security/email-security-
appliance/118775-technote-esa-00.html
Afbeelding 12. contentfilter voor URL-oplossingen
Afbeelding 13. Laat URL-herschrijven in Outdoorkleding filteren
Layer 9: Vergroting van de Detectie-mogelijkheid met Cisco Advanced Phishing Protection (APP)
Cisco biedt Advanced Phishing Protection (APP), waarin automatisch leren wordt geïntegreerd, lokale identiteit en relationsmodellen combineren met gedragsanalyses, om beter te beschermen tegen op identiteit gebaseerde bedreigingen. APP stelt de beheerder ook in staat om
kwaadaardige e-mails uit de inbox van de gebruikers te verwijderen om draadfraude of andere geavanceerde aanvallen te voorkomen; en biedt een gedetailleerde zichtbaarheid in de activiteit van e-mailaanvallen, met inbegrip van totaal beveiligde berichten en verboden aanvallen. Ga voor meer informatie naar de volgende links:
https://www.cisco.com/c/dam/en/us/products/collateral/security/cloud-email-security/at-a-glance- c45-740894.pdf
Aanbeveling: Cisco APP is een out-of-the-box oplossing in de cloud. Beheerders voeren e-
mailjournalisten uit op de e-mailserver zoals Exchange en Office 365 om de headerinformatie van alle inkomende berichten in Cisco APP te behouden voor verdere analyse zonder enige
menselijke programmeeractie. De beheerders bekijken de aanvalsklassen die Cisco APP heeft geïdentificeerd (afbeelding 14) en configureren beleid dat de mogelijkheid bevat om de beheerder te waarschuwen, het bericht te verwijderen of het bericht in quarantaine te plaatsen naar een alternatieve map op basis van de aanvalstypen (afbeelding 15).
Afbeelding 14. Cisco APP vult automatisch de aanvallen-klassen op het hoofddashboard in
Afbeelding 15. De beleidsinstelling in Cisco APP die de actie automatiseren als het bericht overeenkomt met het geselecteerde aanvalstype.
Wat kun je nog meer doen met bescherming tegen dakbedekking?
Vele spoofs kunnen worden verholpen door een paar eenvoudige voorzorgsmaatregelen te nemen, waaronder, maar niet beperkt tot:
Beperk het gebruik van gefloten domeinen in de Host Access Table (HAT) aan een paar kernpartners
●
Volg en update leden in de SPOOF_ALLOW sendergroep altijd, als u één door de instructies te volgen die in de best practice link gegeven zijn.
●
Laat de graymaildetectie toe en plaats ze ook in de spamquarantaine
●
Maar het belangrijkste van alles is, om SPF, DKIM en DMARC in te schakelen en ze op de juiste manier te implementeren. De leidraad voor het publiceren van gegevens over SPF, DKIM en DMARC valt echter buiten het toepassingsgebied van dit document. Raadpleeg voor dat doel het volgende witboek: https://www.cisco.com/c/dam/en/us/products/collateral/security/esa-spf-dkim- dmarc.pdf
We begrijpen ook de uitdaging om e-mailaanvallen te verhelpen, zoals de taping campagnes die hier worden besproken. Als u vragen hebt over het uitvoeren van deze beste praktijken, kunt u contact opnemen met Cisco Technical Support door een case te openen. U kunt ook uw Cisco- accountteam bereiken voor een oplossing en ontwerpadvies. Ga voor meer informatie over Cisco Email Security naar http://www.cisco.com/c/en/us/products/security/emailsecurity/index.html