Attacco di posta di Phishing

Phishing è un tentativo fraudolento di ottenere informazioni sensibili mentre si mascherava come entità o persona rispettabile. Analizzando il comportamento della rete e i flussi di rete, IBM® QRadar® consente agli analisti della sicurezza di determinare se vi sono tentativi di phishing per rubare informazioni personali, come nomi utente, password o numeri di carte di credito, che potrebbero essere successivamente utilizzati per scopi dannosi.

Simulazione della minaccia

Nel Attacco di posta di Phishing, l'attore di minaccia usa una mail travestita come la loro arma e tenta di ingannare il destinatario dell'email nel credere che il messaggio email sia qualcosa di cui hanno bisogno o voglia. Ad esempio, una mail, che presumibilmente sembra essere del reparto risorse umane di un'azienda, potrebbe ingannare gli utenti nel rivelare inavvertitamente le loro password, possibilmente aprendo un attaccante malintenzionato.

Per vedere in che modo QRadar rileva la minaccia, eseguire la simulazione.

Nella scheda Attività di registrazione , fare clic su Mostra di Experience Center.
Fare clic su Simulatore di minaccia.
Individuare la simulazione Attacco di posta di Phishing e fare clic su Esecuzione.

Nella scheda Attività di rete , è possibile visualizzare una serie di flussi di rete che rappresentano l'inizio delle comunicazioni email in QRadar.

Rilevamento della minaccia: QRadar in azione

In questa simulazione, QRadar esamina i flussi di rete provenienti da QRadar Network Insights e confronta tutte le righe oggetto delle email della propria organizzazione con una serie di riferimento che contiene un elenco di oggetti email di phishing noti.

Quando QRadar rileva un flusso di rete che contiene un'email di phishing sospetta e un flusso simile viene osservato cinque volte entro 15 minuti, viene attivata una regola. Per avvertirvi della potenziale minaccia, il CRE (Custom Rule Engine) crea un'offesa chiamata Potenziale posta di phishing ricevuta (Exp Center) e associa tutti i flussi che vi hanno contribuito a quella stessa offesa.

In questa simulazione, il set di riferimento è popolato con i dati per supportare il caso di utilizzo. I set di riferimento sono tipicamente popolati utilizzando un feed di minaccia proveniente da una Threat Intelligence Platform. L'app IBM QRadarThreat Intelligence, disponibile per il download gratuito su IBM Security App Exchange, consente di configurare i feed delle minacce e mantenerli aggiornati in QRadar.

Investigare la minaccia

Il seguente contenuto IBM QRadar viene creato dalla simulazione delle minacce Phishing mail attack . Dopo aver eseguito la simulazione, è possibile utilizzare questo contenuto per tracciare e indagare la minaccia.

Tabella 1. QRadar contenuto per la simulazione Phishing mail attack
Contenuto	Nome
Ricerca salvata	CE: Phishing Mail Attack La ricerca non include i record di flusso IPFIX, che riportano il numero di pacchetti, byte trasferiti e altri dettagli di comunicazione. La ricerca restituisce solo gli eventi che generano offensive.
Flusso in entrata	Flussi in entrata che contengono tre diverse comunicazioni email, una delle quali è considerata sospetta in base all'argomento email.
Regola	EC: Posta di Phishing Potenziale
Evento generato	Potenziale posta di phishing ricevuta (Exp Center) L'origine log per gli eventi generati da QRadar è il CRE (Custom Rule Engine).
Offensiva	Potenziale posta di phishing ricevuta (Exp Center) L'offesa è indicizzata in base al Indirizzo IP di origine, significa che tutti gli eventi che attivano questa regola e che hanno lo stesso indirizzo IP di origine, fanno parte della stessa offensiva. A seconda degli eventi e delle regole che esistono nell'ambiente prima di eseguire il caso d'uso, il nome dell'offensiva potrebbe includere preceduto da < nome offese> o contenente < nome dell'offesa>.