اثرات مخرب پستهای الکترونیکی را خنثی کنید
با توجه به افزایش ارسال پستهای الکترونیکی بین کاربران اینترنتی و تمایل سوءاستفادهگران به استفاده از این ابزار برای فرستادن لینکهای مخرب، راهکارهایی امنیتی برای جلوگیری و کاهش خطرات اینچنینی در نظر گرفته شده است.
امروزه پستهای الکترونیکی زیادی در بین کاربران اینترنت ردوبدل میشود که میتوانند حاوی فایلهای پیوست نیز باشند. استفاده زیاد از پستهای الکترونیکی، توجه سوءاستفادهگران اینترنتی را به خود جلب کرده است و متخصصان حوزه امنیت تحقیقاتی را انجام دادهاند که نشان میدهد تعداد زیادی پست الکترونیکی وجود دارد که حاوی فایلهای پیوست و یا لینکهای مخرب هستند که اغلب به صورت هدفمند و علیه سازمانها بودهاند.
بدین ترتیب، سازمان ASD به منظور فراهم کردن راهکاری برای کاهش خطرهای امنیتی که توسط پستهای الکترونیکی مخرب ایجاد شده، گزارشی را گردآوری کرده است و مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) این گزارش را در اختیار مخاطبان قرار داده است.
در این گزارش تعدادی راهکار برای کاهش چنین خطراتی ارایه شده و البته قابل توجه است که همه راهکارهای ارایهشده در این گزارش، لزوما برای تمامی سازمانها مناسب نیست و سازمانها باید با در نظر گرفتن نیازمندیهای کاری و محیط ریسک خود، راهحل کاهشی مناسبی را برای خود انتخاب کنند.
فیلتر کردن پیوستها
یکی از این راهکارها، فیلتر کردن پیوستهاست. پیوستها در پستهای الکترونیکی یکی از ریسکهای امنیتی قابل توجهاند. فیلتر کردن پیوستها، احتمال دریافت محتویات مخرب بر روی سیستم کاربر را تا حد خوبی کاهش میدهد. راهکارهایی نیز برای کاهش پیوستهای مخرب وجود دارند که براساس تاثیری که بر روی امنیت دارند، دستهبندی میشوند.
تبدیل قالب پیوستها، لیست سفید پیوستها بر اساس نوع فایل، مسدود کردن پیوستهای غیرقابل شناسایی و یا رمزگذاریشده، انجام تحلیل پویای خودکار برای پیوستها با اجرای آنها در یک جعبهی شنی، حذف پیوستهایی با محتویات فعال یا به طور بالقوه خطرناک و در نهایت کنترل یا غیرفعال کردن ماکروها در فایلهای آفیس مایکروسافت از اقدامات انجامشده در راستای اثربخشی امنیتی عالی هستند.
تبدیل قالب پیوستها به قالبی دیگر تاثیر بهسزایی در حذف محتویات مخرب دارد. برای نمونه یکی از این تبدیلات، تبدیل فایلهای آفیس مایکروسافت به قالب پیدیاف است.
برای تهیه لیست سفید پیوستها بر اساس نوع فایل، به جای در نظر گرفتن پسوند فایل، محتویات فایل بررسی میشود. انواعی از فایل که اهداف کسبوکار مجاز و مشخصات خطر قابل قبولی برای سازمان دارند، میتوانند در لیست سفید قرار گیرند. توصیه به لیست سفید بیشتر از لیست سیاه است، زیرا در این لیست همهی انواع قابل قبول که میتوانند از طریق پست الکترونیکی دریافت شوند، مشخص میشوند. در صورتی که نوع فایل تشخیص داده شده براساس محتویات آن، با پسوند آن مغایرت داشته باشد، این مورد به عنوان یک مورد مشکوک باید مورد توجه قرار گیرد.
پیوستهای غیرقابل شناسایی و یا رمزگذاریشده قابل اعتماد نیستند چون که محتویات پست الکترونیکی نمیتوانند رمزگشایی و بررسی شوند. بنابراین هر پیوست رمزنگاریشده تا زمانی که بیخطر تلقی نشده است، باید مسدود شود.
تحلیل پویا، قابلیت شناسایی ویژگیهای رفتاری را دارد. بنابراین انجام یک تحلیل پویای خودکار در یک جعبهی شنی میتواند رفتارهای مشکوک در ترافیک شبکه، فایلهای جدید یا تغییریافته و یا تغییرات در رجیستری ویندوز را شناسایی کند.
محتویات فعال مانند ماکروها در فایلهای آفیس مایکروسافت و جاوا اسکریپتها باید قبل از تحویل پیوستها به کاربر، از پستهای الکترونیکی حذف شوند. ابزارهای حذف محتویات فایل باید پیوستها را برای پیدا کردن محتویات فعال نامطلوب براساس کلمات کلیدی یا به صورت اکتشافی بررسی و با بازنویسی آنها اثر نامطلوبشان را خنثی کنند. هر چند که عملیات بررسی و حذف محتویات فعال در پیوستها، پردازشی دشوار است.
باید توجه داشت استفاده از ماکروها در فایلهای آفیس مایکروسافت به شدت افزایش یافته است. از اینرو بهتر است سازمانها برنامههای خود را برای غیرفعال کردن همهی ماکروها به صورت پیشفرض پیکربندی کنند و فقط ماکروهای قابل اعتماد که معمولا توسط افراد با سطح دسترسی بالا نوشته میشوند را بررسی کنند.
بررسی کنترلشده فایلهای آرشیو را راهکارهایی است که اثربخشی امنیتی خوبی را شامل میشود. باید توجه داشت یک فایل مخرب میتواند در کنار فایلهای مجاز دیگر تشکیل یک فایل آرشیو داده و برای مقصدی ارسال شود. برای تشخیص این فایل مخرب، گیرنده باید فایلهای آرشیو را از حالت فشرده خارج کرده و تمامی فایلهای درون آن را از نظر مخرب و یا مجاز بودن بررسی کند.
همچنین بررسی فایلهای آرشیو باید به صورت کنترلشده انجام شود تا بررسیکننده دچار پیمایشهای تو در تو یا حالت منع سرویس نشود. برای نمونه بررسی محتویات پست الکترونیکی که حاوی یک فایل متنی یک گیگابایتی آرشیوشده است و این فایل فقط از فضای خالی تشکیل شده، منابع پردازشی قابل توجهی را اشغال میکند.
نمونه دیگر، فایلهای آرشیو تو در تو هستند. اگر فایل آرشیوی از ۱۶ فایل آرشیو دیگر تشکیل شده باشد و همچنین هر کدام از فایلهای آرشیو جدید نیز از ۱۶ فایل آرشیو دیگر تشکیل شده باشند و این کار تا ۶ سطح ادامه داشته باشد، بررسیکنندهی محتویات پست الکترونیکی باید در حدود یک میلیون فایل را بررسی کند. در این مواقع تنظیم کردن زمان منقضی شدن برای پردازنده، حافظه و دیسک باعث میشود تا اگر کاری بیشتر از زمان تعیینشده ادامه پیدا کرد، آن کار لغو شده و منابع به سیستم بازگردند.
از حالت فشرده درآوردن فایلها از انتهای فایل آرشیو شروع شده و تا زمانی که همهی فایلها ایجاد شوند، ادامه پیدا میکند. یک فایل آرشیو مخرب میتواند بهراحتی به انتهای یک فایل عکس مجاز اضافه شود و در سمت گیرنده با اسکن فایل مجاز عکس، دریافت شود. بنابراین نیاز است تمامی پیوستها از حالت فشرده خارج شده و فایلهای ایجاد شده از آنها با دقت بررسی شود.
لیست سفید فایلهای پیوست بر اساس پسوندشان راهکاری با اثربخشی امنیتی متوسط است. بررسی پیوستها بر اساس پسوند نسبت به بررسی محتویات فایل برای تشخیص نوع فایل، عملی ضعیفتر برای تشخیص مخبر بودن آنهاست. زیرا به راحتی میتوان پسوند فایلها را تغییر داد بدون اینکه اصل فایلها عوض شود. برای نمونه میتوان فایل readme.exe را به readme.doc تغییر نام داد. در این بخش تمام فایلهایی که پسوند مجاز دارند در لیست سفید قرار میگیرند.
راهکارهایی نیز با اثربخشی امنیتی کم وجود دارند که لیست سیاه فایلهای پیوست بر اساس نوعشان، اسکن فایلهای پیوست با نرمافزار ضدویروس، لیست سیاه فایلهای پیوست بر اساس پسوندشان در این دسته قرار میگیرند.
نگهداری یک لیست سفید از محتویات مجاز، چه بر اساس نوع فایل و چه بر اساس پسوند فایل بهتر از نگه داری لیست سیاه از پیوستها بر اساس نوع آنها است. همچنین تهیه و نگهداری لیست سیاهی از همه فایلهای بد، سرباز بیشتری نسبت به لیست سفید دارد. به همین دلیل لیست سیاه در بخش اثربخشی کم قرار گرفته است.
همچنین پیوستها باید با ضدویروسهای بهروزرسانیشده و با قابلیت خوب در تشخیص محتویات مخرب اسکن شوند. برای بیشتر شدن شانس تشخیص، بهتر است از ضدویروسهای مختلف در این زمینه استفاده شود.
استفاده از لیست سیاه برای پیوستها بر اساس پسوندشان تاثیر کمتری نسبت به لیست سفید پیوستها بر اساس پسوند یا نوع فایلها دارد، زیرا پسوند فایلها به راحتی قابل تغییر است.
فیلتر کردن محتوای پست الکترونیکی
اگرچه تعداد حملات ممکن از طریق بدنه پست الکترونیکی نسبت به پیوستهای آن کمتر است، اما فیلتر کردن بدنه یک پست الکترونیکی کمک میکند که محتوای مخرب در متن آن شناسایی و برای جلوگیری از حمله، راهحلی استفاده شود. راهکارهای کاهش بر اساس فیلتر کردن بدنه پست الکترونیکی در دو دسته با سطح امنیتی متفاوت قرار میگیرد.
جایگزینی آدرسهای وب فعال در بدنه پست الکترونیکی با نسخههای غیرفعال از راهکارهایی را اثربخشی امنیتی خوب است. آدرسهای وب فعال به صورت Hyperlink در بدنه پست الکترونیکی ظاهر میشوند و کاربر با کلیک بر روی آنها به یک سایت برده میشود. این آدرسها میتوانند در ظاهر ایمن نشان داده شوند، اما کاربر را به یک آدرس مخرب منتقل کنند.
تعداد آدرسهای وب فعال که در بدنه پست الکترونیکی قرار دارند باید به صورت غیرفعال درآیند تا کارب برای رسیدن به سایت مورد نظر، آدرس را به صورت دستی در مرورگر خود کپی کند، زیرا در این صورت کاربر متوجه مخرب بودن آدرس میشود.
همنین حذف محتویات فعال در بدنه پست الکترونیکی راهکاری با اثربخشی امنیتی متوسط است. در سازمانی که مرورگر کاربر قابلیت اجرای محتویات فعال را داشته باشد، محتویات فعال بدنه پستهای الکترونیکی مانند VB Script و جاوا اسکریپتها، ریسک امنیتی محسوب میشوند. بنابراین بدنه پستهای الکترونیکی که دارای محتویات فعال هستند یا باید دقیق بررسی شوند و یا اینکه برای کاهش ریسکهای امنیتی مسدود شوند. بعد از بررسی بدنه پست الکترونیکی، محتویات فعال میتوانند بازنویسی شوند تا اثر مخربشان از بین برود.
تصدیق فرستنده
بررسی صحت و جامعیت یک پست الکترونیکی میتواند یک سازمان را از دریافت برخی پستهای الکترونیکی مخرب محافظت کند. استراتژیهای کاهش در حیطه تصدیق فرستنده نیز سطح امنیتی متفاوتی دارد که به آنها پرداخته شده است.
پیادهسازی DMARC برای ارتقای چارچوب سیاستهای فرستنده و شناسایی کلیدهای دامنه پستهای الکترونیکی، راهکاری با اثربخشی امنیتی خوب محسوب میشود. DMARC، پستهای الکترونیکی را از نظر چارچوب سیاستهای فرستنده و کلیدهای شناسایی بررسی میکند و مشخص میکند که پست الکترونیکی دریافت شده باید رد شود، به عنوان هرزنامه در نظر گرفته شود و یا هیچ کدام. همچنین DMARC گزارشهایی را درباره اقدامات انجامداده در مورد کارگزارهایی که از آنها پست الکترونیکی دریافت کرده است، ثبت میکند تا صاحب دامنه بتواند آنها را مشاهده و ردگیری کند.
مسدود کردن پستهای الکترونیکی بر اساس آیدی فرستنده و نیز مسدود کردن پستهای الکترونیکی بر اساس شناسایی کلیدهای دامنه پستهای الکترونیکی از راهکاری با اثربخشی امنیتی متوسط هستند.
با بررسی آیدی فرستنده، مشخص میشود که آیا پست الکترونیکی دریافتشده واقعا از سازمانی که ادعا میکند ارسال شده است یا خیر. در صورتی که این بررسی با شکست مواجه شود، پست الکترونیکی مورد نظر مسدود میشود.
شناسایی کلیدهای دامنه پستهای الکترونیکی، یک روش برای تایید دامنه فرستنده یک پست الکترونیکی است که با استفاده از امضاهایی که توسط فرستنده تهیه شده است، انجام میشود. پست الکترونیکی که در شناسایی کلیدهای دامنه شکست خورده است باید مسدود و بررسی شود. همچنین باید به سازمان مربوط به آن گزارش داده شود که این پست الکترونیکی ادعا دارد که از طرف شما فرستاده شده است.
ترکیب لیستهای سیاه هرزنامه و قرنطینه کردن پستهای الکترونیکی بر اساس آیدی فرستنده نیز از راهکارهای با اثربخشی امنیتی کم محسوب میشوند.
به این ترتیب باید ترکیبی از فرستندههایی که پستهای الکترونیکی آنها به عنوان هرزنامه شناسایی شدهاند و آدرسهای آنها باید بدون بررسی مسدود شوند، تهیه کرد. همچنین با بررسی آیدی فرستنده، مشخص میشود که آیا پست الکترونیکی پآپا دریافتشده واقعا از سازمانی که ادعا میکند ارسال شده است یا خیر. گاهی اوقات این بررسی نمیتواند نظر قطعی را در مورد پستهای الکترونیکی دریافتشده اعلام کند. در چنین شرایطی پست الکترونیکی به جای مسدود شدن قرنطینه شده و به کاربران اجازه داده میشود که در صورتی که پست الکترونیکی را مجاز در نظر گرفتهاند، آن را بازیابی کنند.
در نهایت راهکارهایی نیز وجود دارند که اثربخشی امنیتی ضعیف دارند و برچسب زدن پستهای الکترونیکی بر اساس آیدی فرستنده و مشخص کردن پستهای الکترونیکی خارجی از این راهکارهاست.
با بررسی آیدی فرستنده، مشخص میشود که آیا پست الکترونیکی دریافتشده واقعا از سازمانی که ادعا میکند ارسال شده است یا خیر. گاهی اوقات این بررسی نمیتواند نظر قطعی را در مورد پستهای الکترونیکی دریافتشده اعلام کند. در این شرایط به جای مسدود و یا قرنطینه کردن، پستهای الکترونیکی قبل از ارسال به کاربران برچسب بالقوه میخورند و اینگونه به کاربران اطلاعی از احتمال خطر داده میشود و به آنها اجازه میدهند که تصمیماتی برای رد و یا پذیرفتن پستهای الکترونیکی بگیرند.
همچنین بهتر است پستهای الکترونیکی که از سازمانهای خارجی دریافت میشوند با یک سرآیند مشخص شوند. این سرآیند به کاربران هشدار میدهد که در موقع کار کردن با لینکها و پیوستهای درون پست الکترونیکی احتیاط کنند.