چگونه مانع تحمیل اثرات سوء و مخرب ایمیل‌ها شویم؟ ۱۵ شهریور, ۱۳۹۵

امروزه استفاده از پست‌های الکترونیکی در بین کاربران اینترنت بسیار متداول و به همین دلیل توجه بدخواهان زیادی را نیز به خود جلب کرده است.

اقتصاد پرس: در این گزارش راهکارهایی برای کاهش خطرات امنیتی که توسط پست‌های الکترونیکی مخرب ایجاد شده‌اند، مطرح می‌شود.

سازمان‌ها باید سعی کنند با توجه به استفاده‌ای که از پست‌های الکترونیکی دارند، از روش‌های مؤثری برای در امان ماندن از آثار مخرب آنها استفاده کنند.

امروزه پست‌های الکترونیکی زیادی در بین کاربران اینترنت ردوبدل می‌شود. این پست‌ها می‌توانند حاوی فایل‌های پیوست  نیز باشند.

طی تحقیقاتی که توسط متخصصان حوزه امنیت انجام شده، تعداد زیادی پست‌های الکترونیکی حاوی فایل‌های پیوست یا لینک‌های مخرب جاسازی شده شناسایی شده که در اغلب موارد هدفمند و علیه سازمان‌ها بوده‌اند.

این گزارش توسط سازمان ASD و به منظور فراهم کردن راهکاری برای کاهش خطرهای امنیتی که توسط پست‌های الکترونیکی مخرب ایجاد شده‌اند، گردآوری شده است.

البته هر راهکار ارایه شده در این گزارش از دید ماهر، لزوما برای تمامی سازمان‌ها مناسب نیست و سازمان‌ها باید با در نظر گرفتن نیازمندی‌های کاری و محیط ریسک خود، راه‌حل کاهشی مناسبی را برای خود انتخاب کنند.

• فیلتر کردن پیوست‌ها

پیوست‌ها در پست‌های الکترونیکی یکی از ریسک‌های امنیتی قابل توجه‌اند. فیلتر کردن پیوست‌ها، احتمال دریافت محتویات مخرب بر روی سیستم کاربر را تا حد خوبی کاهش می‌دهد.

۱٫   اثربخشی امنیتی عالی در تبدیل قالب پیوست‌ها

تبدیل قالب پیوست‌ها به قالبی دیگر تاثیر بسزایی در حذف محتویات مخرب دارد. برای نمونه یکی از این تبدیلات، تبدیل فایل‌های آفیس مایکروسافت به قالب پی‌دی‌اف است.

۲٫   لیست سفید پیوست‌ها براساس نوع فایل

در این لیست برای تعیین نوع فایل، به جای در نظر گرفتن پسوند فایل، محتویات فایل بررسی می‌شود. انواعی از فایل که اهداف کسب‌وکار مجاز و مشخصات خطر قابل قبولی برای سازمان دارند، می‌توانند در لیست سفید قرار گیرند. توصیه به لیست سفید بیشتر از لیست سیاه  است، زیرا در این لیست همه انواع قابل قبول که می‌توانند از طریق پست الکترونیکی دریافت شوند، مشخص می‌شوند.

در صورتیکه نوع فایل تشخیص داده شده براساس محتویات آن، با پسوند آن مغایرت داشته باشد، این مورد به عنوان یک مورد مشکوک باید مورد توجه قرار گیرد.

۳٫ مسدود کردن پیوست‌های غیرقابل شناسایی یا رمزگذاری شده

پیوست‌های غیرقابل شناسایی یا رمزگذاری شده قابل اعتماد نیستند چون که محتویات پست الکترونیکی نمی‌توانند رمزگشایی و بررسی شوند. هر پیوست رمزنگاری شده تا زمانیکه بی‌خطر تلقی نشده است، باید مسدود شود.

۴٫ انجام تحلیل پویای خودکار برای پیوست‌ها با اجرای آن‌ها در یک جعبه شنی

تحلیل پویا، قابلیت شناسایی ویژگی‌های رفتاری را دارد. بنابراین انجام یک تحلیل پویای خودکار در یک جعبه شنی می‌تواند رفتارهای مشکوک در ترافیک شبکه، فایل‌های جدید یا تغییر یافته یا تغییرات در رجیستری ویندوز را شناسایی کند.

۵٫ حذف پیوست‌هایی با محتویات فعال یا به طور بالقوه خطرناک

محتویات فعال مانند ماکروها در فایل‌های آفیس مایکروسافت و جاوا اسکریپت‌ها باید قبل از تحویل پیوست‌ها به کاربر، از پست‌های الکترونیکی حذف شوند. ابزارهای حذف محتویات فایل باید پیوست‌ها را برای پیدا کردن محتویات فعال نامطلوب براساس کلمات کلیدی یا به صورت اکتشافی بررسی و با بازنویسی آنها اثر نامطلوبشان را خنثی کنند. هر چند که عملیات بررسی و حذف محتویات فعال در پیوست‌ها، پردازشی دشوار است.

۶٫ کنترل یا غیرفعال کردن ماکروها در فایل‌های آفیس مایکروسافت

استفاده از ماکروها در فایل‌های آفیس مایکروسافت به شدت افزایش یافته است. از این رو بهتر است سازمان‌ها برنامه‌های خود را برای غیرفعال کردن همه‌ی ماکروها به صورت پیش‌فرض پیکربندی و فقط ماکروهای قابل اعتماد که معمولا توسط افراد با سطح دسترسی بالا نوشته می‌شوند را بررسی کنند.

• اثربخشی امنیتی خوب

۱٫    بررسی کنترل شده فایل‌های آرشیو

یک فایل مخرب می‌تواند در کنار فایل‌های مجاز دیگر تشکیل یک فایل آرشیو داده و برای مقصدی ارسال شود. برای تشخیص این فایل مخرب، گیرنده باید فایل‌های آرشیو را از حالت فشرده خارج کرده و تمامی فایل‌های درون آن را از نظر مخرب یا مجاز بودن بررسی کند.

بررسی فایل‌های آرشیو باید به صورت کنترل شده انجام شود تا بررسی کننده دچار پیمایش‌های تو در تو یا حالت منع سرویس نشود.

برای نمونه بررسی محتویات پست الکترونیکی که حاوی یک فایل متنی یک گیگابایتی آرشیو شده و این فایل فقط از فضای خالی تشکیل شده، منابع پردازشی قابل توجهی را اشغال می‌کند. نمونه دیگر، فایل‌های آرشیو تو در تو هستند.

اگر فایل آرشیوی از ۱۶ فایل آرشیو دیگر تشکیل شده باشد و همچنین هر کدام از فایل‌های آرشیو جدید نیز از ۱۶ فایل آرشیو دیگر تشکیل شده باشند و این کار تا ۶ سطح ادامه داشته باشد، بررسی کننده محتویات پست الکترونیکی باید در حدود یک میلیون فایل را بررسی کند.

در این مواقع تنظیم کردن زمان منقضی شدن برای پردازنده، حافظه و دیسک باعث می‌شود تا اگر کاری بیشتر از زمان تعیین شده ادامه پیدا کرد، آن کار لغو شده و منابع به سیستم بازگردند.

از حالت فشرده درآوردن فایل‌ها از انتهای فایل آرشیو شروع شده و تا زمانیکه همه فایل‌ها ایجاد شوند، ادامه پیدا می‌کند. یک فایل آرشیو مخرب می‌تواند به راحتی به انتهای یک فایل عکس مجاز اضافه شود و در سمت گیرنده با اسکن فایل مجاز عکس، دریافت شود. بنابراین نیاز است تمامی پیوست‌ها از حالت فشرده خارج شده و فایل‌های ایجاد شده از آن‌ها با دقت بررسی شود.

• اثربخشی امنیتی متوسط

۱٫ لیست سفید فایل‌های پیوست براساس پسوندشان

بررسی پیوست‌ها براساس پسوندشان نسبت به بررسی محتویات فایل برای تشخیص نوع فایل، عملی ضعیف‌تر برای تشخیص بدخواهانه بودن آنهاست؛ زیرا به راحتی می‌توان پسوند فایل‌ها را تغییر داد بدون اینکه اصل فایل‌ها عوض شود. برای نمونه می‌توان فایل readme.exe را به readme.doc تغییر نام داد. در این بخش تمام فایل‌هایی که پسوند مجاز دارند در لیست سفید قرار می‌گیرند.

• اثربخشی امنیتی کم

۱٫ لیست سیاه فایل‌های پیوست براساس نوع خودشان

نگهداری یک لیست سفید از محتویات مجاز، چه براساس  نوع فایل و چه براساس پسوند فایل، بهتر از نگهداری یک لیست سیاه از پیوست‌ها بر اساس نوع آنهاست. همچنین تهیه و نگهداری لیست سیاهی از همه فایل‌های بد، سربار بیشتری نسبت به لیست سفید دارد. به همین دلیل این دسته در بخش اثر بخشی کم قرار گرفته است.

۲٫ اسکن فایل‌های پیوست با نرم‌افزار ضدویروس

پیوست‌ها باید با ضدویروس‌های به روزرسانی شده و با قابلیت خوب در تشخیص محتویات مخرب اسکن شوند. برای بیشتر شدن شانس تشخیص بهتر است از ضدویروس‌های مختلف در این زمینه استفاده شود.

۳٫ لیست سیاه فایل‌های پیوست براساس پسوندشان

استفاده از لیست سیاه برای پیوست‌ها براساس پسوندشان تأثیر کمتری نسبت به لیست سفید پیوست‌ها براساس پسوند یا نوع فایل‌ها دارد. واضح است که فایل‌ها به راحتی قابل تغییر است.

• فیلتر کردن محتوای پست الکترونیکی

اگرچه تعداد حملات ممکن از طریق پست الکترونیکی نسبت به پیوست‌های آن کمتر است، اما فیلتر کردن بدنه یک پست الکترونیکی کمک می‌کند که محتوای بدخواه در متن آن شناسایی و برای جلوگیری از آن حمله، راه‌حلی استفاده شود.

راهکارهای کاهش براساس فیلتر کردن بدنه پست الکترونیکی در ادامه آورده شده‌اند. این راهکارها در دو دسته با سطح امنیتی متفاوت قرار می‌گیرند.

۱٫ اثربخشی امنیتی خوب (جایگزینی آدرس‌های وب فعال در بدنه پست الکترونیکی با نسخه‌های غیرفعال)

آدرس‌های وب فعال به صورت Hyperlink در بدنه پست الکترونیکی ظاهر می‌شود و کاربر با کلیک بر روی آنها به یک سایت برده می‌شود. این آدرس‌ها می‌تواند در ظاهر ایمن نشان داده شوند اما کاربر را به یک آدرس مخرب منتقل کنند.

تمامی آدرس‌های وب فعال که در بدنه پست الکترونیکی قرار دارند باید به صورت غیرفعال درآیند تا کاربر برای رسیدن به سایت مورد نظر، آدرس را به صورت دستی در مرورگر خود کپی کند. در این حالت کاربر متوجه بدخواهانه بودن آدرس می‌شود.

۲٫ اثربخشی امنیتی متوسط (حذف محتویات فعال در بدنه پست الکترونیکی)

در سازمانی که مرورگر کاربر قابلیت اجرای محتویات فعال را داشته باشد، محتویات فعال بدنه پست‌های الکترونیکی مانند VB Script و جاوا اسکریپت‌ها، ریسک امنیتی محسوب می‌شود.

بنابراین بدنه پست‌های الکترونیکی که دارای محتویات فعال هستند یا باید دقیق بررسی شوند یا اینکه برای کاهش ریسک‌های امنیتی مسدود شود. بعد از بررسی بدنه پست الکترونیکی، محتویات فعال می‌تواند بازنویسی شود تا اثر مخربش از بین رود.

• تصدیق فرستنده (اثربخشی امنیتی خوب)

بررسی صحت و جامعیت یک پست الکترونیکی می‌تواند یک سازمان را از دریافت برخی از پست‌های الکترونیکی مخرب محافظت کند. استراتژی‌های کاهش در حیطه تصدیق فرستنده در ادامه سطوح امنیتی متفاوت بررسی شده‌اند.

۱٫ پیاده‌سازی DMARC برای ارتقای چارچوب سیاست‌های فرستنده و شناسایی کلیدهای دامنه پست‌های الکترونیکی: DMARC، پست‌های الکترونیکی را از نظر چارچوب سیاست‌های فرستنده و کلیدهای شناسایی بررسی می‌کند و مشخص می‌کند که پست الکترونیکی دریافت شده باید رد شود، به عنوان هرزنامه در نظر گرفته شود یا هیچکدام. همچنین DMARC گزارش‌هایی  را درباره اقدامات انجام داده در مورد کارگزارهایی که از آنها پست الکترونیکی دریافت کرده است، ثبت می‌کند تا صاحب دامنه بتواند آنها را مشاهده و ردگیری کند.

۲٫ اثربخشی امنیتی متوسط (مسدود کردن پست‌های الکترونیکی براساس ID فرستنده)

با بررسی ID فرستنده مشخص می‌شود که آیا پست الکترونیکی دریافت شده واقعا از سازمانی که ادعا می‌کند ارسال شده است یا خیر. در صورتیکه این بررسی با شکست مواجه شود یا به عبارت دیگر شکست سخت رخ دهد، پست الکترونیکی مورد نظر مسدود می‌شود.

مسدود کردن پست‌های الکترونیکی براساس شناسایی کلیدهای دامنه پست‌های الکترونیکی:  شناسایی کلیدهای دامنه پست‌های الکترونیکی، یک روش برای تأیید دامنه فرستنده یک پست الکترونیکی است که با استفاده از امضاهایی که توسط فرستنده تهیه شده است، انجام می‌شود.

پست الکترونیکی که در شناسایی کلیدهای دامنه شکست خورده است باید مسدود و بررسی شود. همچنین باید به سازمان مربوط به آن گزارش داده شود که این پست الکترونیکی ادها دارد از طرف شما فرستاده شده است.

• اثربخشی امنیتی کم (ترکیب لیست‌های سیاه هرزنامه)

فرستنده‌هایی که پست‌های الکترونیکی آنها به عنوان هرزنامه شناسایی شده‌اند و آدرس‌های آنها باید بدون بررسی مسدود شوند.

۱٫ قرنطینه کردن پست‌های الکترونیکی براساس ID فرستنده

با بررسی آی‌دی فرستنده، مشخص می‌شود که آیا پست الکترونیکی دریافت شده واقعا از سازمانی که ادعا می‌کند ارسال شده است یا خیر. گاهی اوقات این بررسی نمی‌تواند نظر قطعی را در مورد پست‌های الکترونیکی دریافت شده اعلام کند یا به عبارت دیگر شکست نرم اتفاق افتاده است. در چنین شرایطی پست الکترونیکی به جای مسدود شدن قرنطینه شده و به کاربران اجازه داده می‌شود که در صورتیکه پست الکترونیکی را مجاز در نظر گرفته‌اند، آن را بازیابی کنند.

• اثربخشی امنیتی ضعیف (برچسب زدن پست‌های الکترونیکی براساس ID فرستنده)

با بررسی آی‌دی فرستنده، مشخص می‌شود که آیا پست الکترونیکی دریافت شده واقعا از سازمانی که ادعا می‌کند ارسال شده است یا خیر. گاهی اوقات این بررسی نمی‌تواند نظر قطعی را در مورد پست‌های الکترونیکی دریافت شده اعلام شده اعلام کند یا به عبارت دیگر شکست نرم اتفاق افتاده است. در این شرایط به جای مسدود یا قرنطینه کردن پست‌های الکترونیکی قبل از ارسال به کاربران برچسب بالقوه مخرب می‌خورند و این گونه به کاربران اطلاعی از احتمال خطر داده می‌شود و به آنها اجازه می‌دهد که تصمیماتی برای رد یا پذیرفتن پست‌های الکترونیکی بگیرد.

۱٫ مشخص کردن پست‌های الکترونیکی خارجی

بهتر است که پست‌های الکترونیکی که از سازمان‌های خارجی دریافت می‌شوند با یک سرآیند اضافه مشخص شوند. این سرآیند به کاربران هشدار می‌دهد که در موقع کار کردن با لینک‌ها و پیوست‌های درون پست الکترونیکی احتیاط کنند.

به گزارش تسنیم، در نهایت امروزه استفاده از پست الکترونیکی در بین کاربران اینترنت و سازمان‌ها افزایش یافته است. به طبع آن بدافزارهای این حوزه نیز رشد زیادی داشته‌اند. به این ترتیب آشنایی با راهکارهایی جهت افزایش امنیت پست الکترونیکی اهمیت زیادی دارد.

منبع:تسنیم



پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *