OPSWAT Proactive DLP (Data Loss Prevention) fő funkciója az érzékeny és bizalmas adatok felderítése és védelme a jogsértésekkel szemben. A konfiguráció néhány módosításával kihasználhatja a Proactive DLP oldalba integrált OCR (optikai karakterfelismerő) technológiát is, amely segíthet a képeken található adathalász tartalmak felismerésében.
Mi az adathalászat?
Az adathalászat olyan kiberbűncselekmény, amelynek során a fenyegető szereplők legitim személynek vagy szervezetnek adják ki magukat, hogy "csalival" rávegyék az érzékeny információk ellopása érdekében a fogékony áldozatokat egy műveletre (pl. egy linkre való kattintás, egy rosszindulatú melléklet telepítése, vagy a fenyegető szereplők hozzáférésének engedélyezése a számítógéphez vagy a szervezet hálózatához).
Az adathalászat leggyakoribb csatornája az e-mail. A kiberbűnözők csalárd üzeneteket küldenek csábító nyelvezettel, hogy elnyerjék a címzett bizalmát, és végül káros lépések megtételére késztessék.
Adathalászat a Microsoft Office makrók használatával
A makró az egyik legnépszerűbb támadási vektor, amelyet a fenyegető szereplők kihasználnak. Ebben a blogban tárgyaltuk, hogyan használják ki a kiberbűnözők az Excel 4.0 makrót rejtett kártevők tárolására.
A támadási lánc általában egy e-maillel kezdődik. Először a támadó egy megtévesztő e-mailt küld ki, amelyről azt állítja, hogy jó hírű forrásból származik. Ez az e-mail általában egy beágyazott rosszindulatú makrót tartalmazó csatolt dokumentumot tartalmaz. Amint az áldozat megnyitja és engedélyezi a makrót, azonnal engedélyezi a rosszindulatú szoftver letöltését, és lehetővé teszi a fertőzési folyamat megkezdését.
Amikor letölt egy Word-dokumentumot (.doc) az internetről, az automatikusan a védett nézetben nyílik meg. Ez az üzemmód elszigeteli a megbízhatatlan webes tartalmakat, hogy korlátozza annak esélyét, hogy véletlenül rosszindulatú programokat, kémprogramokat vagy más potenciálisan káros kódot nyisson meg.
A védett nézet lehetővé teszi a fájl olvasását anélkül, hogy bármilyen potenciális rejtett rosszindulatú programot futtatna. Ha biztos benne, hogy a fájl biztonságos, és változtatásokat szeretne végrehajtani, akkor kattintson a "Szerkesztés engedélyezése" gombra. Ha a fájl makrókat tartalmaz, akkor egy másik biztonsági kapu is megjelenik. A Microsoft Office a "Tartalom engedélyezése" gombon keresztül megkérdezi, hogy engedélyezi-e vagy sem a belső tartalmat.
Egyrészt a fenyegető szereplők olyan makró kihasználási technológiákat találtak ki, amelyekkel megkerülhetők a biztonsági védekezések, beleértve az obfuszkált kódot, a taposást vagy a jelszóval védett fájlokat. Másrészt növelniük kellett a célpontok hiszékenységét azzal, hogy a "Szerkesztés engedélyezése" és a "Tartalom engedélyezése" gombra való kattintást elengedhetetlennek tették. Az olyan üzenetek, mint a "Kérjük, engedélyezze a Szerkesztést és a Tartalmat a dokumentum megtekintéséhez" sikeresen teljesíthetik ezt a stratégiát.
Ez a social engineering taktika egyszerű, mégis hatékony a rosszindulatú programok és a hasznos teher szállítására, olyannyira, hogy ez volt a fejlett rosszindulatú programok kijátszásának módszere a VBA taposásakor vagy az Emotet - a világ legveszélyesebb rosszindulatú programjának- elsődleges terjesztése.
Optikai karakterfelismerés használata az adathalász képek felismerésére
OPSWAT Proactive DLP támogatja az OCR (optikai karakterfelismerést), amely segíthet az adathalász dokumentumok blokkolásában. A technológia az OCR-t szabályos kifejezésekkel (RegEx) és kulcsszavakkal kombinálja az adathalász kulcsszavak felismeréséhez a képeken.
Az OCR egy elterjedt technológia, amelyet a képeken található szöveg felismerésére használnak. Megvizsgálja és kivonja az adatokat a kézzel írott vagy nyomtatott szövegekből - akár szkennelt dokumentumból, akár képből -, majd a szöveget gépileg olvasható formátumba alakítja, amely később adatfeldolgozásra használható. Minél fejlettebb az OCR-rendszer, annál nagyobb felismerési pontosságot biztosít.
Itt egy példa a Proaktív DLP konfigurációra az OPSWAT MetaDefender Core oldalon. . A "Check for Regular Expressions" szakaszban a "RegEx" mezőt használhatja a potenciális adathalász kulcsszavak bevitelére, és a "Keywords" mezőbe minden más releváns kulcsszót (pl. "decrypt", "protected") hozzáadhat a hamis pozitív eredmények csökkentése érdekében.
Ha a fájl adathalász kulcsszavakat tartalmaz, akkor blokkolva lesz. Az alábbiakban a teszt eredménye látható:
OPSWAT Proactive DLP
OPSWAT Proactive DLP felismeri és automatikusan törli az érzékeny és bizalmas adatokat a fájlokban és e-mailekben - beleértve a hitelkártyaszámokat, társadalombiztosítási számokat, IPv4-címeket, CIDR (Classless Inter-Domain Routing) vagy bármilyen egyéni reguláris kifejezést. Az OCR integrálásával a Proactive DLP segít az adathalász dokumentumok blokkolásában és a személyazonosításra alkalmas információk (PII) megjelölésében a képeken és a nem kereshető PDF-fájlokban.
Technológiánk segíti az adatvédelmi szabályozásoknak és az iparági szabványos biztonsági követelményeknek való megfelelést is, mint például a PCI, HIPAA, Gramm-Leach-Bliley, FINRA stb. A proaktív DLP az OPSWAT számos termékének kulcsfontosságú technológiája: MetaDefender Core, MetaDefender ICAP Server, MetaDefender Email Security, MetaDefender Kiosk, és MetaDefender Managed File Transfer.
Ha többet szeretne megtudni a proaktív DLP-ről és arról, hogy az OPSWAT hogyan védheti meg szervezetét,lépjen kapcsolatba kritikus infrastruktúrák kiberbiztonsági szakértőink egyikével.
