اثرات مخرب پست‌های الکترونیکی را خنثی کنید

با توجه به افزایش ارسال پست‌های الکترونیکی بین کاربران اینترنتی و تمایل سوءاستفاده‌گران به استفاده از این ابزار برای فرستادن لینک‌های مخرب، راهکارهایی امنیتی برای جلوگیری و کاهش خطرات این‌چنینی در نظر گرفته شده است.

به گزارش پایداری ملی، امروزه پست‌های الکترونیکی زیادی در بین کاربران اینترنت ردوبدل می‌شود که می‌توانند حاوی فایل‌های پیوست نیز باشند. استفاده زیاد از پست‌های الکترونیکی، توجه سوءاستفاده‌گران اینترنتی را به خود جلب کرده‌ است و متخصصان حوزه‌ امنیت تحقیقاتی را انجام داده‌اند که نشان‌ می‌دهد تعداد زیادی پست‌ الکترونیکی وجود دارد که حاوی فایل‌های پیوست و یا لینک‌های مخرب هستند که اغلب به صورت هدفمند و علیه سازمان‌ها بوده‌اند.

بدین ترتیب، سازمان ASD به منظور فراهم کردن راهکاری برای کاهش خطرهای امنیتی که توسط پست‌های الکترونیکی مخرب ایجاد شده، گزارشی را گردآوری کرده است و مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) این گزارش را در اختیار مخاطبان قرار داده است.

در این گزارش تعدادی راهکار برای کاهش چنین خطراتی ارایه شده و البته قابل توجه است که همه راهکارهای ارایه‌شده در این گزارش، لزوما برای تمامی سازمان‌ها مناسب نیست و سازمان‌ها باید با در نظر گرفتن نیازمندی‌های کاری و محیط ریسک خود، راه‌حل کاهشی مناسبی را برای خود انتخاب کنند.

فیلتر کردن پیوست‌ها

یکی از این راهکارها، فیلتر کردن پیوست‌هاست. پیوست‌ها در پست‌های الکترونیکی یکی از ریسک‌های امنیتی قابل توجه‌اند. فیلتر کردن پیوست‌ها، احتمال دریافت محتویات مخرب بر روی سیستم کاربر را تا حد خوبی کاهش می‌دهد. راهکارهایی نیز برای کاهش پیوست‌های مخرب وجود دارند که براساس تاثیری که بر روی امنیت دارند، دسته‌بندی می‌شوند.

تبدیل قالب پیوست‌ها، لیست سفید پیوست‌ها بر اساس نوع فایل، مسدود کردن پیوست‌های غیرقابل شناسایی و یا رمزگذاری‌شده، انجام تحلیل پویای خودکار برای پیوست‌ها با اجرای آن‌ها در یک جعبه‌ی شنی، حذف پیوست‌هایی با محتویات فعال یا به طور بالقوه خطرناک و در نهایت کنترل یا غیرفعال کردن ماکروها در فایل‌های آفیس مایکروسافت از اقدامات انجام‌شده در راستای اثربخشی امنیتی عالی هستند.

تبدیل قالب پیوست‌ها به قالبی دیگر تاثیر به‌سزایی در حذف محتویات مخرب دارد. برای نمونه یکی از این تبدیلات، تبدیل فایل‌های آفیس مایکروسافت به قالب پی‌دی‌اف است.

برای تهیه لیست سفید پیوست‌ها بر اساس نوع فایل، به جای در نظر گرفتن پسوند فایل، محتویات فایل بررسی می‌شود. انواعی از فایل که اهداف کسب‌وکار مجاز و مشخصات خطر قابل قبولی برای سازمان دارند، می‌توانند در لیست سفید قرار گیرند. توصیه به لیست سفید بیشتر از لیست سیاه است، زیرا در این لیست همه‌ی انواع قابل قبول که می‌توانند از طریق پست الکترونیکی دریافت شوند، مشخص می‌شوند. در صورتی که نوع فایل تشخیص داده شده براساس محتویات آن، با پسوند آن مغایرت داشته باشد، این مورد به عنوان یک مورد مشکوک باید مورد توجه قرار گیرد.

پیوست‌های غیرقابل شناسایی و یا رمزگذاری‌شده قابل اعتماد نیستند چون که محتویات پست الکترونیکی نمی‌توانند رمزگشایی و بررسی شوند. بنابراین هر پیوست رمزنگاری‌شده تا زمانی که بی‌خطر تلقی نشده است، باید مسدود شود.

تحلیل پویا، قابلیت شناسایی ویژگی‌های رفتاری را دارد. بنابراین انجام یک تحلیل پویای خودکار در یک جعبه‌ی شنی می‌تواند رفتارهای مشکوک در ترافیک شبکه، فایل‌های جدید یا تغییریافته و یا تغییرات در رجیستری ویندوز را شناسایی کند.

محتویات فعال مانند ماکروها در فایل‌های آفیس مایکروسافت و جاوا اسکریپت‌ها باید قبل از تحویل پیوست‌ها به کاربر، از پست‌های الکترونیکی حذف شوند. ابزارهای حذف محتویات فایل باید پیوست‌ها را برای پیدا کردن محتویات فعال نامطلوب براساس کلمات کلیدی یا به صورت اکتشافی بررسی و با بازنویسی آن‌ها اثر نامطلوبشان را خنثی کنند. هر چند که عملیات بررسی و حذف محتویات فعال در پیوست‌ها، پردازشی دشوار است.

باید توجه داشت استفاده از ماکروها در فایل‌های آفیس مایکروسافت به شدت افزایش یافته است. از این‌رو بهتر است سازمان‌ها برنامه‌های خود را برای غیرفعال کردن همه‌ی ماکروها به صورت پیش‌فرض پیکربندی کنند و فقط ماکروهای قابل اعتماد که معمولا توسط افراد با سطح دسترسی بالا نوشته می‌شوند را بررسی کنند.

بررسی کنترل‌شده فایل‌های آرشیو را راهکارهایی است که اثربخشی امنیتی خوبی را شامل می‌شود. باید توجه داشت یک فایل مخرب می‌تواند در کنار فایل‌های مجاز دیگر تشکیل یک فایل آرشیو داده و برای مقصدی ارسال شود. برای تشخیص این فایل مخرب، گیرنده باید فایل‌های آرشیو را از حالت فشرده خارج کرده و تمامی فایل‌های درون آن را از نظر مخرب و یا مجاز بودن بررسی کند.

همچنین بررسی فایل‌های آرشیو باید به صورت کنترل‌شده انجام شود تا بررسی‌کننده دچار پیمایش‌های تو در تو یا حالت منع سرویس نشود. برای نمونه بررسی محتویات پست الکترونیکی که حاوی یک فایل متنی یک گیگابایتی آرشیوشده است و این فایل فقط از فضای خالی تشکیل شده، منابع پردازشی قابل توجهی را اشغال می‌کند.

نمونه‌ دیگر، فایل‌های آرشیو تو در تو هستند. اگر فایل آرشیوی از ۱۶ فایل آرشیو دیگر تشکیل شده باشد و هم‌چنین هر کدام از فایل‌های آرشیو جدید نیز از ۱۶ فایل آرشیو دیگر تشکیل شده باشند و این کار تا ۶ سطح ادامه داشته باشد، بررسی‌کننده‌ی محتویات پست الکترونیکی باید در حدود یک میلیون فایل را بررسی کند. در این مواقع تنظیم کردن زمان منقضی شدن برای پردازنده، حافظه و دیسک باعث می‌شود تا اگر کاری بیشتر از زمان تعیین‌شده ادامه پیدا کرد، آن کار لغو شده و منابع به سیستم بازگردند.

از حالت فشرده درآوردن فایل‌ها از انتهای فایل آرشیو شروع شده و تا زمانی که همه‌ی فایل‌ها ایجاد شوند، ادامه پیدا می‌کند. یک فایل آرشیو مخرب می‌تواند به‌راحتی به انتهای یک فایل عکس مجاز اضافه شود و در سمت گیرنده با اسکن فایل مجاز عکس، دریافت شود. بنابراین نیاز است تمامی پیوست‌ها از حالت فشرده خارج شده و فایل‌های ایجاد شده از آن‌ها با دقت بررسی شود.

لیست سفید فایل‌های پیوست بر اساس پسوندشان راهکاری با اثربخشی امنیتی متوسط است. بررسی پیوست‌ها بر اساس پسوند نسبت به بررسی محتویات فایل برای تشخیص نوع فایل، عملی ضعیف‌تر برای تشخیص مخبر بودن آنهاست. زیرا به راحتی می‌توان پسوند فایل‌ها را تغییر داد بدون اینکه اصل فایل‌ها عوض شود. برای نمونه می‌توان فایل readme.exe را به readme.doc تغییر نام داد. در این بخش تمام فایل‌هایی که پسوند مجاز دارند در لیست سفید قرار می‌گیرند.

راهکارهایی نیز با اثربخشی امنیتی کم وجود دارند که لیست سیاه فایل‌های پیوست بر اساس نوعشان، اسکن فایل‌های پیوست با نرم‌افزار ضدویروس، لیست سیاه فایل‌های پیوست بر اساس پسوندشان در این دسته قرار می‌گیرند.

نگه‌داری یک لیست سفید از محتویات مجاز، چه بر اساس نوع فایل و چه بر اساس پسوند فایل بهتر از نگه داری لیست سیاه از پیوست‌ها بر اساس نوع آنها است. همچنین تهیه و نگه‌داری لیست سیاهی از همه فایل‌های بد، سرباز بیشتری نسبت به لیست سفید دارد. به همین دلیل لیست سیاه در بخش اثربخشی کم قرار گرفته است.

همچنین پیوست‌ها باید با ضدویروس‌های به‌روزرسانی‌شده و با قابلیت خوب در تشخیص محتویات مخرب اسکن شوند. برای بیشتر شدن شانس تشخیص، بهتر است از ضدویروس‌های مختلف در این زمینه استفاده شود.

استفاده از لیست سیاه برای پیوست‌ها بر اساس پسوندشان تاثیر کمتری نسبت به لیست سفید پیوست‌ها بر اساس پسوند یا نوع فایل‌ها دارد، زیرا پسوند فایل‌ها به راحتی قابل تغییر است.

فیلتر کردن محتوای پست الکترونیکی

اگرچه تعداد حملات ممکن از طریق بدنه پست الکترونیکی نسبت به پیوست‌های آن کمتر است، اما فیلتر کردن بدنه یک پست الکترونیکی کمک می‌کند که محتوای مخرب در متن آن شناسایی و برای جلوگیری از حمله، راه‌حلی استفاده شود. راه‌کارهای کاهش بر اساس فیلتر کردن بدنه پست الکترونیکی در دو دسته با سطح امنیتی متفاوت قرار می‌گیرد.

جایگزینی آدرس‌های وب فعال در بدنه پست الکترونیکی با نسخه‌های غیرفعال از راهکارهایی را اثربخشی امنیتی خوب است. آدرس‌های وب فعال به صورت Hyperlink در بدنه پست الکترونیکی ظاهر می‌شوند و کاربر با کلیک بر روی آنها به یک سایت برده می‌شود. این آدرس‌ها می‌توانند در ظاهر ایمن نشان داده شوند، اما کاربر را به یک آدرس مخرب منتقل کنند.

تعداد آدرس‌های وب فعال که در بدنه پست الکترونیکی قرار دارند باید به صورت غیرفعال درآیند تا کارب برای رسیدن به سایت مورد نظر، آدرس را به صورت دستی در مرورگر خود کپی کند، زیرا در این صورت کاربر متوجه مخرب بودن آدرس می‌شود.

همنین حذف محتویات فعال در بدنه پست الکترونیکی راهکاری با اثربخشی امنیتی متوسط است. در سازمانی که مرورگر کاربر قابلیت اجرای محتویات فعال را داشته باشد، محتویات فعال بدنه پست‌های الکترونیکی مانند VB Script و جاوا اسکریپت‌ها، ریسک امنیتی محسوب می‌شوند. بنابراین بدنه پست‌های الکترونیکی که دارای محتویات فعال هستند یا باید دقیق بررسی شوند و یا اینکه برای کاهش ریسک‌های امنیتی مسدود شوند. بعد از بررسی بدنه پست‌ الکترونیکی، محتویات فعال می‌توانند بازنویسی شوند تا اثر مخربشان از بین برود.

تصدیق فرستنده

بررسی صحت و جامعیت یک پست الکترونیکی می‌تواند یک سازمان را از دریافت برخی پست‌های الکترونیکی مخرب محافظت کند. استراتژی‌های کاهش در حیطه تصدیق فرستنده نیز سطح امنیتی متفاوتی دارد که به آنها پرداخته شده است.

پیاده‌سازی DMARC برای ارتقای چارچوب سیاست‌های فرستنده و شناسایی کلیدهای دامنه پست‌های الکترونیکی، راهکاری با اثربخشی امنیتی خوب محسوب می‌شود. DMARC، پست‌های الکترونیکی را از نظر چارچوب سیاست‌های فرستنده و کلیدهای شناسایی بررسی می‌کند و مشخص می‌کند که پست الکترونیکی دریافت شده باید رد شود، به عنوان هرزنامه در نظر گرفته شود و یا هیچ کدام. همچنین DMARC گزارش‌هایی را درباره اقدامات انجام‌داده در مورد کارگزارهایی که از آنها پست الکترونیکی دریافت کرده است، ثبت می‌کند تا صاحب دامنه بتواند آنها را مشاهده و ردگیری کند.

مسدود کردن پست‌های الکترونیکی بر اساس آی‌دی فرستنده و نیز مسدود کردن پست‌های الکترونیکی بر اساس شناسایی کلیدهای دامنه پست‌های الکترونیکی از راهکاری با اثربخشی امنیتی متوسط هستند.

با بررسی آی‌دی فرستنده، مشخص می‌شود که آیا پست‌ الکترونیکی دریافت‌شده واقعا از سازمانی که ادعا می‌کند ارسال شده است یا خیر. در صورتی که این بررسی با شکست مواجه شود، پست‌ الکترونیکی مورد نظر مسدود می‌شود.

شناسایی کلیدهای دامنه پست‌های الکترونیکی، یک روش برای تایید دامنه فرستنده یک پست‌ الکترونیکی است که با استفاده از امضاهایی که توسط فرستنده تهیه شده است، انجام می‌شود. پست‌ الکترونیکی که در شناسایی کلیدهای دامنه شکست خورده است باید مسدود و بررسی شود. همچنین باید به سازمان مربوط به آن گزارش داده شود که این پست‌ الکترونیکی ادعا دارد که از طرف شما فرستاده شده است.

ترکیب لیست‌های سیاه هرزنامه و قرنطینه کردن پست‌های الکترونیکی بر اساس آی‌دی فرستنده نیز از راهکارهای با اثربخشی امنیتی کم محسوب می‌شوند.

به این ترتیب باید ترکیبی از فرستنده‌هایی که پست‌های الکترونیکی آنها به عنوان هرزنامه شناسایی شده‌اند و آدرس‌های آنها باید بدون بررسی مسدود شوند، تهیه کرد. همچنین با بررسی آی‌دی فرستنده، مشخص می‌شود که آیا پست‌ الکترونیکی پآپا دریافت‌شده واقعا از سازمانی که ادعا می‌کند ارسال شده است یا خیر. گاهی اوقات این بررسی نمی‌تواند نظر قطعی را در مورد پست‌های الکترونیکی دریافت‌شده اعلام کند. در چنین شرایطی پست‌ الکترونیکی به جای مسدود شدن قرنطینه شده و به کاربران اجازه داده می‌شود که در صورتی که پست‌ الکترونیکی را مجاز در نظر گرفته‌اند، آن را بازیابی کنند.

در نهایت راهکارهایی نیز وجود دارند که اثربخشی امنیتی ضعیف دارند و برچسب زدن پست‌های الکترونیکی بر اساس آی‌دی فرستنده و مشخص کردن پست‌های الکترونیکی خارجی از این راهکارهاست.

با بررسی آی‌دی فرستنده، مشخص می‌شود که آیا پست‌ الکترونیکی دریافت‌شده واقعا از سازمانی که ادعا می‌کند ارسال شده است یا خیر. گاهی اوقات این بررسی نمی‌تواند نظر قطعی را در مورد پست‌های‌ الکترونیکی دریافت‌شده اعلام کند. در این شرایط به جای مسدود و یا قرنطینه کردن، پست‌های‌ الکترونیکی قبل از ارسال به کاربران برچسب بالقوه می‌خورند و اینگونه به کاربران اطلاعی از احتمال خطر داده می‌شود و به آنها اجازه می‌دهند که تصمیماتی برای رد و یا پذیرفتن پست‌های الکترونیکی بگیرند.

همچنین بهتر است پست‌های الکترونیکی که از سازمان‌های خارجی دریافت می‌شوند با یک سرآیند مشخص شوند. این سرآیند به کاربران هشدار می‌دهد که در موقع کار کردن با لینک‌ها و پیوست‌های درون پست‌ الکترونیکی احتیاط کنند.

منبع: ایسنا

گزارش خطا