سازمان ASD گزارشی را بهمنظور ارائه راهکارهایی برای کاهش خطرهای امنیتی ایجادشده توسط پستهای الکترونیکی، گردآوری کردهاست که تعدادی راهکار برای کاهش چنین خطراتی ارائه شده و البته قابلتوجه است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، با توجه به افزایش ارسال پستهای الکترونیکی بین کاربران اینترنتی و تمایل سوءاستفادهگران به استفاده از این ابزار برای فرستادن لینکهای مخرب، راهکارهای امنیتی برای جلوگیری و کاهش خطرات اینچنینی در نظر گرفته شدهاست.
امروزه پستهای الکترونیکی زیادی در بین کاربران اینترنت ردوبدل میشود که میتوانند حاوی فایلهای پیوست نیز باشند. استفاده فراوان از پستهای الکترونیکی، توجه سوءاستفادهگران اینترنتی را به خود جلب کردهاست و طبق بررسیهای متخصصان حوزه امنیت تعداد زیادی پست الکترونیکی حاوی فایلهای پیوست و یا لینکهای مخرب وجود دارد که اغلب بهصورت هدفمند و علیه سازمانها بودهاند.
بدین ترتیب، سازمان ASD گزارشی را بهمنظور ارائه راهکارهایی برای کاهش خطرهای امنیتی ایجادشده توسط پستهای الکترونیکی، گردآوری کردهاست که تعدادی راهکار برای کاهش چنین خطراتی ارائه شده و البته قابلتوجه است که همه راهکارهای ارائهشده در این گزارش، لزوما برای تمامی سازمانها مناسب نیست و سازمانها باید با در نظر گرفتن نیازمندیهای کاری و محیط ریسک خود، راهحل کاهشی مناسبی را برای خود انتخاب کنند.
فیلتر کردن پیوستها
یکی از این راهکارها، فیلتر کردن پیوستهاست. پیوستها در پستهای الکترونیکی یکی از ریسکهای امنیتی قابلتوجهاند. فیلتر کردن پیوستها، احتمال دریافت محتویات مخرب بر روی سیستم کاربر را تا حد قابل توجهی کاهش میدهد. راهکارهایی نیز برای کاهش پیوستهای مخرب وجود دارند که بر اساس تاثیرشان بر روی امنیت، دستهبندی میشوند.
تبدیل قالب پیوستها، لیست سفید پیوستها بر اساس نوع فایل، مسدود کردن پیوستهای غیرقابل شناسایی و یا رمزگذاریشده، انجام تحلیل پویای خودکار برای پیوستها با اجرای آنها در یک جعبه شنی، حذف پیوستهایی با محتویات فعال یا بهطور بالقوه خطرناک و درنهایت کنترل یا غیرفعال کردن ماکروها در فایلهای آفیس مایکروسافت از اقدامات انجامشده در راستای اثربخشی امنیتی عالی هستند.
تبدیل قالب پیوستها به قالبی دیگر تأثیر بهسزایی در حذف محتویات مخرب دارد. برای نمونه، تبدیل فایلهای آفیس مایکروسافت به قالب پیدیاف.
برای تهیه لیست سفید پیوستها بر اساس نوع فایل به جای در نظر گرفتن پسوند فایل، محتویات فایل بررسی میشود. انواعی از فایل که اهداف کسبوکار مجاز و مشخصات خطر قابلقبولی برای سازمان دارند، میتوانند در لیست سفید قرار گیرند. توصیه به لیست سفید بیشتر از لیست سیاه است، زیرا در این لیست همه انواع قابلقبول که میتوانند از طریق پست الکترونیکی دریافت شوند، مشخص میشوند. درصورتیکه نوع فایل تشخیص دادهشده براساس محتویات آن با پسوند آن مغایرت داشتهباشد این مورد بهعنوان یک مورد مشکوک باید مورد توجه قرار گیرد.
پیوستهای غیرقابل شناسایی و یا رمزگذاریشده قابلاعتماد نیستند چون محتویات پست الکترونیکی نمیتوانند رمزگشایی و بررسی شوند؛ بنابراین هر پیوست رمزنگاریشده تا زمانیکه بیخطر تلقی نشده است باید مسدود شود.
تحلیل پویا، قابلیت شناسایی ویژگیهای رفتاری را دارد؛ بنابراین انجام یک تحلیل پویای خودکار در یک جعبه شنی میتواند رفتارهای مشکوک در ترافیک شبکه، فایلهای جدید یا تغییریافته و یا تغییرات در رجیستری ویندوز را شناسایی کند.
محتویات فعال مانند ماکروها در فایلهای آفیس مایکروسافت و جاوا اسکریپتها باید قبل از تحویل پیوستها به کاربر از پستهای الکترونیکی حذف شوند. ابزارهای حذف محتویات فایل باید پیوستها را برای پیدا کردن محتویات فعال نامطلوب بر اساس کلمات کلیدی یا بهصورت اکتشافی بررسی و با بازنویسی آنها اثر نامطلوبشان را خنثی کنند. هرچند که عملیات بررسی و حذف محتویات فعال در پیوستها، پردازشی دشوار است.
باید توجه داشت استفاده از ماکروها در فایلهای آفیس مایکروسافت بهشدت افزایش یافتهاست. از اینرو بهتر است سازمانها برنامههای خود را برای غیرفعال کردن همه ماکروها بهصورت پیشفرض پیکربندی کنند و فقط ماکروهای قابل اعتماد نوشتهشده توسط افراد با سطح دسترسی بالا را بررسی کنند.
بررسی کنترلشده فایلهای آرشیو، راهکاری است که اثربخشی امنیتی خوبی را شامل میشود. باید توجه داشت یک فایل مخرب میتواند در کنار فایلهای مجاز دیگر تشکیل یک فایل آرشیو داده و برای مقصدی ارسال شود. برای تشخیص این فایل مخرب، گیرنده باید فایلهای آرشیو را از حالت فشرده خارج کرده و تمامی فایلهای درون آن را از نظر مخرب و یا مجاز بودن بررسی کند.
همچنین بررسی فایلهای آرشیو باید به صورت کنترلشده انجام شود تا بررسیکننده دچار پیمایشهای تو در تو یا حالت منع سرویس نشود. برای نمونه بررسی محتویات پست الکترونیکی که حاوی یک فایل متنی یک گیگابایتی آرشیوشده است و این فایل فقط از فضای خالی تشکیل شده، منابع پردازشی قابل توجهی را اشغال میکند.
نمونه دیگر، فایلهای آرشیو تو در تو هستند. اگر فایل آرشیوی از ۱۶ فایل آرشیو دیگر تشکیل شدهباشد و همچنین هرکدام از فایلهای آرشیو جدید نیز از ۱۶ فایل آرشیو دیگر تشکیل شدهباشند و این کار تا ۶ سطح ادامه داشتهباشد، بررسیکننده محتویات پست الکترونیکی باید در حدود یکمیلیون فایل را بررسی کند. در این مواقع تنظیم زمان منقضی شدن برای پردازنده، حافظه و دیسک باعث میشود تا اگر کاری بیشتر از زمان تعیینشده ادامه پیدا کرد، آن کار لغو شده و منابع به سیستم بازگردند.
از حالت فشرده درآوردن فایلها از انتهای فایل آرشیو شروع شده و تا زمانی که همه فایلها ایجاد شوند، ادامه پیدا میکند. یک فایل آرشیو مخرب میتواند بهراحتی به انتهای یک فایل عکس مجاز اضافه شود و در سمت گیرنده با اسکن فایل مجاز عکس، دریافت شود. بنابراین نیاز است تمامی پیوستها از حالت فشرده خارج شده و فایلهای ایجاد شده از آنها با دقت بررسی شود.
لیست سفید فایلهای پیوست بر اساس پسوندشان راهکاری با اثربخشی امنیتی متوسط است. بررسی پیوستها بر اساس پسوند نسبت به بررسی محتویات فایل برای تشخیص نوع فایل، عملی ضعیفتر برای تشخیص مخبر بودن آنهاست؛ زیرا بهراحتی میتوان پسوند فایلها را تغییر داد بدون اینکه اصل فایلها عوض شود. برای نمونه میتوان فایل readme.exe را به readme.doc تغییر نام داد. در این بخش تمام فایلهایی که پسوند مجاز دارند در لیست سفید قرار میگیرند.
راهکارهایی نیز با اثربخشی امنیتی کم وجود دارند که لیست سیاه فایلهای پیوست بر اساس نوعشان، اسکن فایلهای پیوست با نرمافزار ضدویروس، لیست سیاه فایلهای پیوست بر اساس پسوندشان در این دسته قرار میگیرند.
نگهداری یک لیست سفید از محتویات مجاز، چه بر اساس نوع فایل و چه بر اساس پسوند فایل بهتر از نگهداری لیست سیاه از پیوستها بر اساس نوع آنها است. همچنین تهیه و نگهداری لیست سیاهی از همه فایلهای بد، سرباز بیشتری نسبت به لیست سفید دارد. به همین دلیل لیست سیاه در بخش اثربخشی کم قرار گرفتهاست.
همچنین پیوستها باید با ضدویروسهای بهروزرسانیشده و با قابلیت خوب در تشخیص محتویات مخرب اسکن شوند. برای بیشتر شدن شانس تشخیص، بهتر است از ضدویروسهای مختلف در این زمینه استفاده شود.
استفاده از لیست سیاه برای پیوستها بر اساس پسوندشان تاثیر کمتری نسبت به لیست سفید پیوستها بر اساس پسوند یا نوع فایلها دارد، زیرا پسوند فایلها بهراحتی قابل تغییر است.
فیلتر کردن محتوای پست الکترونیکی
اگرچه تعداد حملات ممکن از طریق بدنه پست الکترونیکی نسبت به پیوستهای آن کمتر است، اما فیلتر کردن بدنه یک پست الکترونیکی کمک میکند که محتوای مخرب در متن آن شناسایی و برای جلوگیری از حمله، راهحلی استفاده شود. راهکارهای کاهش بر اساس فیلتر کردن بدنه پست الکترونیکی در دو دسته با سطح امنیتی متفاوت قرار میگیرد.
جایگزینی آدرسهای وب فعال در بدنه پست الکترونیکی با نسخههای غیرفعال از راهکارهای اثربخشی امنیتی خوب است. آدرسهای وب فعال بهصورت Hyperlink در بدنه پست الکترونیکی ظاهر میشوند و کاربر با کلیک بر روی آنها به یک سایت برده میشود. این آدرسها میتوانند در ظاهر ایمن نشان داده شوند، اما کاربر را به یک آدرس مخرب منتقل کنند.
تعداد آدرسهای وب فعال که در بدنه پست الکترونیکی قرار دارند باید بهصورت غیرفعال درآیند تا کاربر برای رسیدن به سایت مورد نظر، آدرس را بهصورت دستی در مرورگر خود کپی کند، زیرا در این صورت کاربر متوجه مخرب بودن آدرس میشود.
همچنین حذف محتویات فعال در بدنه پست الکترونیکی راهکاری با اثربخشی امنیتی متوسط است. در سازمانی که مرورگر کاربر قابلیت اجرای محتویات فعال را داشتهباشد، محتویات فعال بدنه پستهای الکترونیکی مانند VB Script و جاوا اسکریپتها، ریسک امنیتی محسوب میشوند؛ بنابراین بدنه پستهای الکترونیکی که دارای محتویات فعال هستند یا باید دقیق بررسی شوند و یا اینکه برای کاهش ریسکهای امنیتی مسدود شوند. بعد از بررسی بدنه پست الکترونیکی، محتویات فعال میتوانند بازنویسی شوند تا اثر مخربشان از بین برود.
تصدیق فرستنده
بررسی صحت و جامعیت یک پست الکترونیکی میتواند یک سازمان را از دریافت برخی پستهای الکترونیکی مخرب محافظت کند. استراتژیهای کاهش در حیطه تصدیق فرستنده نیز سطح امنیتی متفاوتی دارد که به آنها پرداخته شدهاست.
پیادهسازی DMARC برای ارتقای چارچوب سیاستهای فرستنده و شناسایی کلیدهای دامنه پستهای الکترونیکی، راهکاری با اثربخشی امنیتی خوب محسوب میشود. DMARC، پستهای الکترونیکی را از نظر چارچوب سیاستهای فرستنده و کلیدهای شناسایی بررسی میکند و مشخص میکند که پست الکترونیکی دریافت شده باید رد شود، بهعنوان هرزنامه در نظر گرفته شود و یا هیچکدام. همچنین DMARC گزارشهایی را درباره اقدامات انجامداده در مورد کارگزارهایی که از آنها پست الکترونیکی دریافت کردهاست، ثبت میکند تا صاحب دامنه بتواند آنها را مشاهده و ردگیری کند.
مسدود کردن پستهای الکترونیکی بر اساس نام کاربری فرستنده و نیز مسدود کردن پستهای الکترونیکی بر اساس شناسایی کلیدهای دامنه پستهای الکترونیکی از راهکاری با اثربخشی امنیتی متوسط هستند.
با بررسی نام کاربری فرستنده، مشخص میشود که آیا پست الکترونیکی دریافتشده واقعا از سازمانی که ادعا میکند ارسال شدهاست یا خیر. درصورتیکه این بررسی با شکست مواجه شود، پست الکترونیکی موردنظر مسدود میشود.
شناسایی کلیدهای دامنه پستهای الکترونیکی، یک روش برای تأیید دامنه فرستنده یک پست الکترونیکی است که با استفاده از امضاهای تهیه شده توسط فرستنده انجام میشود. پست الکترونیکی که در شناسایی کلیدهای دامنه شکست خوردهاست باید مسدود و بررسی شود. همچنین باید به سازمان مربوط به آن گزارش داده شود که این پست الکترونیکی ادعا دارد از طرف شما فرستاده شدهاست.
ترکیب لیستهای سیاه هرزنامه و قرنطینه کردن پستهای الکترونیکی بر اساس نام کاربری فرستنده نیز از راهکارهای با اثربخشی امنیتی کم محسوب میشوند.
به این ترتیب باید ترکیبی از فرستندههایی که پستهای الکترونیکی آنها بهعنوان هرزنامه شناسایی شدهاند و آدرسهای آنها باید بدون بررسی مسدود شوند، تهیه کرد. گاهی اوقات این بررسی نمیتواند نظر قطعی را در مورد پستهای الکترونیکی دریافتشده اعلام کند. در چنین شرایطی پست الکترونیکی به جای مسدود شدن قرنطینه شده و به کاربران اجازه داده میشود درصورتیکه پست الکترونیکی را مجاز در نظر گرفتهاند، آن را بازیابی کنند.
درنهایت راهکارهایی نیز وجود دارند که اثربخشی امنیتی ضعیف دارند و برچسب زدن پستهای الکترونیکی بر اساس نام کاربری فرستنده و مشخص کردن پستهای الکترونیکی خارجی از این راهکارهاست.
با بررسی نام کاربری فرستنده، مشخص میشود که آیا پست الکترونیکی دریافتشده واقعا از سازمانی که ادعا میکند ارسال شدهاست یا خیر. گاهی اوقات این بررسی نمیتواند نظر قطعی را در مورد پستهای الکترونیکی دریافتشده اعلام کند. در این شرایط به جای مسدود و یا قرنطینه کردن، پستهای الکترونیکی قبل از ارسال به کاربران برچسب بالقوه میخورند و اینگونه به کاربران درباره احتمال خطر اطلاع داده میشود و به آنها اجازه میدهند که تصمیماتی برای رد و یا پذیرفتن پستهای الکترونیکی بگیرند.
همچنین بهتر است پستهای الکترونیکی که از سازمانهای خارجی دریافت میشوند با یک سرآیند مشخص شوند. این سرآیند به کاربران هشدار میدهد که موقع کار با لینکها و پیوستهای درون پست الکترونیکی احتیاط کنند.