سازمانها باید سعی کنند با توجه به استفادهای که از پستهای الکترونیکی دارند، از روشهای مؤثری برای در امان ماندن از آثار مخرب آنها استفاده کنند.
امروزه پستهای الکترونیکی زیادی در بین کاربران اینترنت ردوبدل میشود. این پستها میتوانند حاوی فایلهای پیوست نیز باشند.
طی تحقیقاتی که توسط متخصصان حوزه امنیت انجام شده، تعداد زیادی پستهای الکترونیکی حاوی فایلهای پیوست یا لینکهای مخرب جاسازی شده شناسایی شده که در اغلب موارد هدفمند و علیه سازمانها بودهاند.
این گزارش توسط سازمان ASD و به منظور فراهم کردن راهکاری برای کاهش خطرهای امنیتی که توسط پستهای الکترونیکی مخرب ایجاد شدهاند، گردآوری شده است.
البته هر راهکار ارایه شده در این گزارش از دید ماهر، لزوما برای تمامی سازمانها مناسب نیست و سازمانها باید با در نظر گرفتن نیازمندیهای کاری و محیط ریسک خود، راهحل کاهشی مناسبی را برای خود انتخاب کنند.
• فیلتر کردن پیوستها
پیوستها در پستهای الکترونیکی یکی از ریسکهای امنیتی قابل توجهاند. فیلتر کردن پیوستها، احتمال دریافت محتویات مخرب بر روی سیستم کاربر را تا حد خوبی کاهش میدهد.
1. اثربخشی امنیتی عالی در تبدیل قالب پیوستها
تبدیل قالب پیوستها به قالبی دیگر تاثیر بسزایی در حذف محتویات مخرب دارد. برای نمونه یکی از این تبدیلات، تبدیل فایلهای آفیس مایکروسافت به قالب پیدیاف است.
2. لیست سفید پیوستها براساس نوع فایل
در این لیست برای تعیین نوع فایل، به جای در نظر گرفتن پسوند فایل، محتویات فایل بررسی میشود. انواعی از فایل که اهداف کسبوکار مجاز و مشخصات خطر قابل قبولی برای سازمان دارند، میتوانند در لیست سفید قرار گیرند. توصیه به لیست سفید بیشتر از لیست سیاه است، زیرا در این لیست همه انواع قابل قبول که میتوانند از طریق پست الکترونیکی دریافت شوند، مشخص میشوند.
در صورتیکه نوع فایل تشخیص داده شده براساس محتویات آن، با پسوند آن مغایرت داشته باشد، این مورد به عنوان یک مورد مشکوک باید مورد توجه قرار گیرد.
3. مسدود کردن پیوستهای غیرقابل شناسایی یا رمزگذاری شده
پیوستهای غیرقابل شناسایی یا رمزگذاری شده قابل اعتماد نیستند چون که محتویات پست الکترونیکی نمیتوانند رمزگشایی و بررسی شوند. هر پیوست رمزنگاری شده تا زمانیکه بیخطر تلقی نشده است، باید مسدود شود.
4. انجام تحلیل پویای خودکار برای پیوستها با اجرای آنها در یک جعبه شنی
تحلیل پویا، قابلیت شناسایی ویژگیهای رفتاری را دارد. بنابراین انجام یک تحلیل پویای خودکار در یک جعبه شنی میتواند رفتارهای مشکوک در ترافیک شبکه، فایلهای جدید یا تغییر یافته یا تغییرات در رجیستری ویندوز را شناسایی کند.
5. حذف پیوستهایی با محتویات فعال یا به طور بالقوه خطرناک
محتویات فعال مانند ماکروها در فایلهای آفیس مایکروسافت و جاوا اسکریپتها باید قبل از تحویل پیوستها به کاربر، از پستهای الکترونیکی حذف شوند. ابزارهای حذف محتویات فایل باید پیوستها را برای پیدا کردن محتویات فعال نامطلوب براساس کلمات کلیدی یا به صورت اکتشافی بررسی و با بازنویسی آنها اثر نامطلوبشان را خنثی کنند. هر چند که عملیات بررسی و حذف محتویات فعال در پیوستها، پردازشی دشوار است.
6. کنترل یا غیرفعال کردن ماکروها در فایلهای آفیس مایکروسافت
استفاده از ماکروها در فایلهای آفیس مایکروسافت به شدت افزایش یافته است. از این رو بهتر است سازمانها برنامههای خود را برای غیرفعال کردن همهی ماکروها به صورت پیشفرض پیکربندی و فقط ماکروهای قابل اعتماد که معمولا توسط افراد با سطح دسترسی بالا نوشته میشوند را بررسی کنند.
• اثربخشی امنیتی خوب
1. بررسی کنترل شده فایلهای آرشیو
یک فایل مخرب میتواند در کنار فایلهای مجاز دیگر تشکیل یک فایل آرشیو داده و برای مقصدی ارسال شود. برای تشخیص این فایل مخرب، گیرنده باید فایلهای آرشیو را از حالت فشرده خارج کرده و تمامی فایلهای درون آن را از نظر مخرب یا مجاز بودن بررسی کند.
بررسی فایلهای آرشیو باید به صورت کنترل شده انجام شود تا بررسی کننده دچار پیمایشهای تو در تو یا حالت منع سرویس نشود.
برای نمونه بررسی محتویات پست الکترونیکی که حاوی یک فایل متنی یک گیگابایتی آرشیو شده و این فایل فقط از فضای خالی تشکیل شده، منابع پردازشی قابل توجهی را اشغال میکند. نمونه دیگر، فایلهای آرشیو تو در تو هستند.
اگر فایل آرشیوی از 16 فایل آرشیو دیگر تشکیل شده باشد و همچنین هر کدام از فایلهای آرشیو جدید نیز از 16 فایل آرشیو دیگر تشکیل شده باشند و این کار تا 6 سطح ادامه داشته باشد، بررسی کننده محتویات پست الکترونیکی باید در حدود یک میلیون فایل را بررسی کند.
در این مواقع تنظیم کردن زمان منقضی شدن برای پردازنده، حافظه و دیسک باعث میشود تا اگر کاری بیشتر از زمان تعیین شده ادامه پیدا کرد، آن کار لغو شده و منابع به سیستم بازگردند.
از حالت فشرده درآوردن فایلها از انتهای فایل آرشیو شروع شده و تا زمانیکه همه فایلها ایجاد شوند، ادامه پیدا میکند. یک فایل آرشیو مخرب میتواند به راحتی به انتهای یک فایل عکس مجاز اضافه شود و در سمت گیرنده با اسکن فایل مجاز عکس، دریافت شود. بنابراین نیاز است تمامی پیوستها از حالت فشرده خارج شده و فایلهای ایجاد شده از آنها با دقت بررسی شود.
• اثربخشی امنیتی متوسط
1. لیست سفید فایلهای پیوست براساس پسوندشان
بررسی پیوستها براساس پسوندشان نسبت به بررسی محتویات فایل برای تشخیص نوع فایل، عملی ضعیفتر برای تشخیص بدخواهانه بودن آنهاست؛ زیرا به راحتی میتوان پسوند فایلها را تغییر داد بدون اینکه اصل فایلها عوض شود. برای نمونه میتوان فایل readme.exe را به readme.doc تغییر نام داد. در این بخش تمام فایلهایی که پسوند مجاز دارند در لیست سفید قرار میگیرند.
• اثربخشی امنیتی کم
1. لیست سیاه فایلهای پیوست براساس نوع خودشان
نگهداری یک لیست سفید از محتویات مجاز، چه براساس نوع فایل و چه براساس پسوند فایل، بهتر از نگهداری یک لیست سیاه از پیوستها بر اساس نوع آنهاست. همچنین تهیه و نگهداری لیست سیاهی از همه فایلهای بد، سربار بیشتری نسبت به لیست سفید دارد. به همین دلیل این دسته در بخش اثر بخشی کم قرار گرفته است.
2. اسکن فایلهای پیوست با نرمافزار ضدویروس
پیوستها باید با ضدویروسهای به روزرسانی شده و با قابلیت خوب در تشخیص محتویات مخرب اسکن شوند. برای بیشتر شدن شانس تشخیص بهتر است از ضدویروسهای مختلف در این زمینه استفاده شود.
3. لیست سیاه فایلهای پیوست براساس پسوندشان
استفاده از لیست سیاه برای پیوستها براساس پسوندشان تأثیر کمتری نسبت به لیست سفید پیوستها براساس پسوند یا نوع فایلها دارد. واضح است که فایلها به راحتی قابل تغییر است.
• فیلتر کردن محتوای پست الکترونیکی
اگرچه تعداد حملات ممکن از طریق پست الکترونیکی نسبت به پیوستهای آن کمتر است، اما فیلتر کردن بدنه یک پست الکترونیکی کمک میکند که محتوای بدخواه در متن آن شناسایی و برای جلوگیری از آن حمله، راهحلی استفاده شود.
راهکارهای کاهش براساس فیلتر کردن بدنه پست الکترونیکی در ادامه آورده شدهاند. این راهکارها در دو دسته با سطح امنیتی متفاوت قرار میگیرند.
1. اثربخشی امنیتی خوب (جایگزینی آدرسهای وب فعال در بدنه پست الکترونیکی با نسخههای غیرفعال)
آدرسهای وب فعال به صورت Hyperlink در بدنه پست الکترونیکی ظاهر میشود و کاربر با کلیک بر روی آنها به یک سایت برده میشود. این آدرسها میتواند در ظاهر ایمن نشان داده شوند اما کاربر را به یک آدرس مخرب منتقل کنند.
تمامی آدرسهای وب فعال که در بدنه پست الکترونیکی قرار دارند باید به صورت غیرفعال درآیند تا کاربر برای رسیدن به سایت مورد نظر، آدرس را به صورت دستی در مرورگر خود کپی کند. در این حالت کاربر متوجه بدخواهانه بودن آدرس میشود.
2. اثربخشی امنیتی متوسط (حذف محتویات فعال در بدنه پست الکترونیکی)
در سازمانی که مرورگر کاربر قابلیت اجرای محتویات فعال را داشته باشد، محتویات فعال بدنه پستهای الکترونیکی مانند VB Script و جاوا اسکریپتها، ریسک امنیتی محسوب میشود.
بنابراین بدنه پستهای الکترونیکی که دارای محتویات فعال هستند یا باید دقیق بررسی شوند یا اینکه برای کاهش ریسکهای امنیتی مسدود شود. بعد از بررسی بدنه پست الکترونیکی، محتویات فعال میتواند بازنویسی شود تا اثر مخربش از بین رود.
• تصدیق فرستنده (اثربخشی امنیتی خوب)
بررسی صحت و جامعیت یک پست الکترونیکی میتواند یک سازمان را از دریافت برخی از پستهای الکترونیکی مخرب محافظت کند. استراتژیهای کاهش در حیطه تصدیق فرستنده در ادامه سطوح امنیتی متفاوت بررسی شدهاند.
1. پیادهسازی DMARC برای ارتقای چارچوب سیاستهای فرستنده و شناسایی کلیدهای دامنه پستهای الکترونیکی: DMARC، پستهای الکترونیکی را از نظر چارچوب سیاستهای فرستنده و کلیدهای شناسایی بررسی میکند و مشخص میکند که پست الکترونیکی دریافت شده باید رد شود، به عنوان هرزنامه در نظر گرفته شود یا هیچکدام. همچنین DMARC گزارشهایی را درباره اقدامات انجام داده در مورد کارگزارهایی که از آنها پست الکترونیکی دریافت کرده است، ثبت میکند تا صاحب دامنه بتواند آنها را مشاهده و ردگیری کند.
2. اثربخشی امنیتی متوسط (مسدود کردن پستهای الکترونیکی براساس ID فرستنده)
با بررسی ID فرستنده مشخص میشود که آیا پست الکترونیکی دریافت شده واقعا از سازمانی که ادعا میکند ارسال شده است یا خیر. در صورتیکه این بررسی با شکست مواجه شود یا به عبارت دیگر شکست سخت رخ دهد، پست الکترونیکی مورد نظر مسدود میشود.
مسدود کردن پستهای الکترونیکی براساس شناسایی کلیدهای دامنه پستهای الکترونیکی: شناسایی کلیدهای دامنه پستهای الکترونیکی، یک روش برای تأیید دامنه فرستنده یک پست الکترونیکی است که با استفاده از امضاهایی که توسط فرستنده تهیه شده است، انجام میشود.
پست الکترونیکی که در شناسایی کلیدهای دامنه شکست خورده است باید مسدود و بررسی شود. همچنین باید به سازمان مربوط به آن گزارش داده شود که این پست الکترونیکی ادها دارد از طرف شما فرستاده شده است.
• اثربخشی امنیتی کم (ترکیب لیستهای سیاه هرزنامه)
فرستندههایی که پستهای الکترونیکی آنها به عنوان هرزنامه شناسایی شدهاند و آدرسهای آنها باید بدون بررسی مسدود شوند.
1. قرنطینه کردن پستهای الکترونیکی براساس ID فرستنده
با بررسی آیدی فرستنده، مشخص میشود که آیا پست الکترونیکی دریافت شده واقعا از سازمانی که ادعا میکند ارسال شده است یا خیر. گاهی اوقات این بررسی نمیتواند نظر قطعی را در مورد پستهای الکترونیکی دریافت شده اعلام کند یا به عبارت دیگر شکست نرم اتفاق افتاده است. در چنین شرایطی پست الکترونیکی به جای مسدود شدن قرنطینه شده و به کاربران اجازه داده میشود که در صورتیکه پست الکترونیکی را مجاز در نظر گرفتهاند، آن را بازیابی کنند.
• اثربخشی امنیتی ضعیف (برچسب زدن پستهای الکترونیکی براساس ID فرستنده)
با بررسی آیدی فرستنده، مشخص میشود که آیا پست الکترونیکی دریافت شده واقعا از سازمانی که ادعا میکند ارسال شده است یا خیر. گاهی اوقات این بررسی نمیتواند نظر قطعی را در مورد پستهای الکترونیکی دریافت شده اعلام شده اعلام کند یا به عبارت دیگر شکست نرم اتفاق افتاده است. در این شرایط به جای مسدود یا قرنطینه کردن پستهای الکترونیکی قبل از ارسال به کاربران برچسب بالقوه مخرب میخورند و این گونه به کاربران اطلاعی از احتمال خطر داده میشود و به آنها اجازه میدهد که تصمیماتی برای رد یا پذیرفتن پستهای الکترونیکی بگیرد.
1. مشخص کردن پستهای الکترونیکی خارجی
بهتر است که پستهای الکترونیکی که از سازمانهای خارجی دریافت میشوند با یک سرآیند اضافه مشخص شوند. این سرآیند به کاربران هشدار میدهد که در موقع کار کردن با لینکها و پیوستهای درون پست الکترونیکی احتیاط کنند.
به گزارش تسنیم، در نهایت امروزه استفاده از پست الکترونیکی در بین کاربران اینترنت و سازمانها افزایش یافته است. به طبع آن بدافزارهای این حوزه نیز رشد زیادی داشتهاند. به این ترتیب آشنایی با راهکارهایی جهت افزایش امنیت پست الکترونیکی اهمیت زیادی دارد.