클라우드 이메일 필터링 우회 공격은 80%의 시간 동안 작동합니다.

컴퓨터 과학자들이 인기 있는 기업 클라우드 기반 이메일 스팸 필터링 서비스에서 놀랍도록 만연한 잘못된 구성과 이를 활용하는 악용 사례를 발견했습니다. 조사 결과에 따르면 조직은 자신이 알고 있는 것보다 이메일을 통한 사이버 위협에 훨씬 더 개방적입니다.

다가오는 학회에 발표될 논문에서 ACM 웹 2024 컨퍼런스 지난 80월 싱가포르에서 저작 학술 연구팀은 Proofpoint, Barracuda, Mimecast 등과 같은 공급업체가 광범위하게 사용하는 서비스를 조사한 주요 도메인의 최소 XNUMX%에서 우회할 수 있다고 지적했습니다.

캘리포니아 대학교 샌디에이고 대학원 박사 과정 학생이자 논문의 주요 저자인 Sumanth Rao는 "이메일 호스팅 제공업체가 이메일 필터링 서비스에서 도착하는 메시지만 허용하도록 구성되지 않은 경우 필터링 서비스를 우회할 수 있습니다."라고 설명합니다. "라는 제목의필터링되지 않음: 클라우드 기반 이메일 필터링 우회 측정. "

당연한 것처럼 보일 수도 있지만 기업 이메일 시스템과 함께 작동하도록 필터를 설정하는 것은 까다롭습니다. 우회 공격은 필터링 서버와 이메일 서버 간의 불일치, 즉 스패머가 사용하는 IP 주소와 같이 알 수 없는 IP 주소에서 오는 메시지에 Google 및 Microsoft 이메일 서버가 반응하는 방식이 일치하지 않기 때문에 발생할 수 있습니다.

Google 서버는 최초 수신 중에 이러한 메시지를 거부하는 반면, Microsoft 서버는 메시지가 이미 수신자에게 전달되는 "데이터" 명령 중에 해당 메시지를 거부합니다. 이는 필터 설정 방법에 영향을 미칩니다.

그 점을 감안할 때 위험이 높습니다. 피싱 이메일은 여전히 ​​선택되는 초기 액세스 메커니즘으로 남아 있습니다. 사이버 범죄자를 위한.

"이 약점을 완화하기 위해 인바운드 메일을 적절하게 구성하지 않는 메일 관리자는 정문에서 ID를 확인하기 위해 경비원을 배치하지만 고객이 잠금 해제되고 모니터링되지 않는 옆문을 통해서도 들어갈 수 있도록 허용하는 바 소유자와 비슷합니다."라고 Seth는 말합니다. Blank, 이메일 보안 공급업체인 Valimail의 CTO.

피싱에 노출된 기업용 받은 편지함

검사한 후 보낸 사람 정책 프레임 워크 제673자 스팸 필터와 함께 Google 또는 Microsoft 이메일 서버를 사용하는 928개의 .edu 도메인과 88개의 .com 도메인에 대한 (SPF) 특정 구성에서 연구원들은 Google 기반 이메일 시스템의 78%가 우회된 반면, XNUMX개는 우회되었음을 발견했습니다. Microsoft 시스템의 %는 다음과 같습니다.

그들은 필터링과 이메일 전달이 알려지고 신뢰할 수 있는 IP 주소에 사내에 보관되어 있으면 우회 공격이 쉽지 않기 때문에 클라우드 공급업체를 사용할 때 위험이 더 높다고 지적했습니다.

이 백서는 이러한 높은 실패율에 대한 두 가지 주요 이유를 제시합니다. 첫째, 필터링과 이메일 서버를 모두 적절하게 설정하기 위한 문서가 혼란스럽고 불완전하며 종종 무시되거나 잘 이해되지 않거나 쉽게 따르지 않습니다. 둘째, 많은 기업 이메일 관리자는 너무 엄격한 필터 프로필을 적용하면 유효한 메시지가 삭제될까 봐 메시지가 수신자에게 도착하는지 확인하는 데 실수를 합니다. 논문에 따르면 "이로 인해 허용적이고 안전하지 않은 구성이 발생하게 됩니다."라고 합니다.

저자가 언급하지는 않았지만 중요한 요소는 세 가지 주요 이메일 보안 프로토콜인 SPF, 도메인 기반 메시지 인증 보고 및 적합성을 모두 구성한다는 사실입니다(DMARC) 및 DKIM(DomainKeys Identified Mail) — 스팸을 효과적으로 차단하려면 필요합니다. 하지만 그건 전문가에게도 쉽지 않은 일. 필터링과 이메일 전달을 위한 두 클라우드 서비스가 제대로 통신하는지 확인해야 하는 과제에 추가하면 조정 노력이 매우 복잡해집니다. 게다가 필터와 이메일 서버 제품은 대기업 내 두 개의 별도 부서에서 관리되는 경우가 많아 오류 발생 가능성이 더 높습니다.

저자는 “많은 레거시 인터넷 서비스와 마찬가지로 이메일은 현재 현대적인 요구에 부응하는 단순한 사용 사례를 중심으로 설계되었습니다.”라고 썼습니다.

이메일 구성 문서화 지연, 보안 허점 촉발

연구원에 따르면 각 필터링 공급업체가 제공하는 문서의 품질은 다양합니다. 이 백서는 TrendMicro 및 Proofpoint의 필터링 제품에 대한 지침이 특히 오류가 발생하기 쉽고 취약한 구성을 쉽게 생성할 수 있음을 지적합니다. Mimecast 및 Barracuda와 같이 더 나은 문서를 제공하는 공급업체에서도 여전히 구성 오류가 발생하는 비율이 높습니다. 

대부분의 공급업체는 Dark Reading의 논평 요청에 응답하지 않았지만 Barracuda의 제품 마케팅 관리자인 Olesia Klevchuk은 “보안 도구의 적절한 설정과 정기적인 '상태 점검'이 중요합니다. 우리는 고객이 이 문제와 기타 잘못된 구성을 식별하는 데 사용할 수 있는 상태 점검 가이드를 제공합니다."

그녀는 “전부는 아니더라도 대부분의 이메일 필터링 공급업체는 솔루션이 제대로 작동하는지 확인하기 위해 배포 도중과 배포 후에 지원이나 전문 서비스를 제공할 것입니다. 조직은 잠재적인 보안 위험을 방지하기 위해 정기적으로 이러한 서비스를 활용하거나 투자해야 합니다.”

기업 이메일 관리자는 시스템을 강화하고 이러한 우회 공격이 발생하지 않도록 방지할 수 있는 여러 가지 방법을 가지고 있습니다. 논문 작성자가 제안한 한 가지 방법은 필터링 서버의 IP 주소를 모든 이메일 트래픽의 유일한 출처로 지정하고 공격자가 이를 스푸핑할 수 없도록 하는 것입니다. 

저자는 “조직은 필터링 서비스의 이메일만 허용하도록 이메일 서버를 구성해야 합니다.”라고 썼습니다.

Microsoft 문서에는 이메일 방어 옵션이 나와 있습니다. 예를 들어 Exchange 온라인 배포를 위해 이 보호를 활성화하려면 일련의 매개변수를 설정할 것을 권장합니다. 또 다른 방법은 기업에서 이메일 트래픽에 사용하는 모든 도메인 및 하위 도메인에 대해 모든 SPF, DKIM 및 DMARC 프로토콜이 올바르게 지정되었는지 확인하는 것입니다. 언급한 바와 같이, 이는 특히 시간이 지남에 따라 수많은 도메인을 획득하고 그 사용을 잊어버린 대기업이나 장소의 경우 어려울 수 있습니다.

마지막으로 Valimail의 Blank에 따르면 또 다른 솔루션은 필터링 애플리케이션에 다음을 포함하는 것입니다. 인증된 수신자 체인(RFC 8617) 이메일 헤더를 사용하고 내부 계층이 이러한 헤더를 사용하고 신뢰하도록 합니다.”

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack