در گذشته و پیش از توسعه گسترده فناوری، اصول حفاظت از امنیت ایمیل به صورت کاملاً مختصر و مفید بیان میشد. برای مثال فقط به کاربران توصیه میشد که به ایمیل اعتماد نکنند چون این فناوری یک سروریس پیامرسانی ایمن نیست و احراز هویت هم نشده است.
اصول اولیه امنیت ایمیل
البته اصول امنیت ایمیل که در سال 1989 برای کارمندان توصیه میشد همچنان پابرجا هستند و به صورت کلی موارد زیر را در بر میگیرند:
- از رمزهای قوی استفاده کنید؛
- آدرسهای ارسالکننده اسپم را مسدود کنید؛
- به وعدههای جذاب و باورنکردنی اعتماد نکنید؛
- درخواستها را اعتبارسنجی کنید حتی اگر از سمت مراجع قابل اطمینان ارسال شده باشند.
با توجه به افزایش روزافزون اهمیت ایمیل برای کسبوکارها و نقش مؤثر آن در موفقیت سازمانها، بهتازگی کارشناسان امنیتی مجموعه قویتر و پیشرفتهتری از اصول امنیتی سرویسهای ایمیل ارایه دادهاند.
در این مقاله به بررسی موارد زیر میپردازیم:
- آموزش کارمندان درباره اصول امنیت ایمیل؛
- ایجاد رمزهای قوی؛
- خودداری از بکارگیری رمزهای تکراری برای حسابهای کاربری مختلف؛
- تغییر منظم کلمات عبور؛
- استفاده از احراز هویت چند مرحلهای؛
- توجه ویژه به حملات و انواع روشهای فیشینگ؛
- توجه به پیوستهای ایمیلی؛
- خودداری از کلیک بر روی لینکهای درون ایمیل؛
- خودداری از بکارگیری ایمیلهای کاری برای استفادههای شخصی و بالعکس؛
- عدم اتصال به وایفای عمومی؛
- استفاده از ابزارها و پروتکلهای امنیت ایمیل.
در ادامه هر یک از این موارد را مورد بررسی قرار میدهیم.
1. آموزش کارمندان درباره اصول امنیت ایمیل
مدیران سازمانها و تیمهای امنیتی باید با برگذاری دورههای منظم و اجرای طرحهای کارآمد، آموزشهای لازم درباره اصول امنیت ایمیل را به کارمندان ارایه داده و آنها را در جریان جدیدترین سیاستهای امنیتی سازمان قرار دهند. کارمندان هم باید نسبت به میزان نقششان در حفظ امنیت سازمان و مقابله با تهدیدات امنیتی آگاهی داشته باشند.
کسبوکارها باید به ارایه آموزشهای مربوط به امنیت ایمیل در طرحهای آگاهیرسانی امنیتی سازمانشان توجه کنند.
2. ایجاد رمزهای قوی
استفاده از رمزهایی قوی از جمله اصول توصیه شده مهم برای تأمین امنیت ایمیل است. ممکن است تصور کنید پیچیدگی رمز عبور ارتباط مستقیمی با حفظ آن در برابر هکرها دارد. در حالی که کارمندان معمولاً کلمات عبور پیچیده مثل }m}{4p#P@R9w را بر روی کاغذی یادداشت یا در فایلی ذخیره میکنند. بنابراین تنظیم رمزهای بسیار پیچیده هم میتواند مخاطرات امنیتی زیادی را به بار آورد.
بر اساس توصیههای فعلی NIST، طول رمز نقش مؤثری در افزایش ایمنی رمز دارد و نه پیچیدگی آن. حدس کلمات عبوری مثل kittEnsarEadorablE که از اتصال چند کلمه ساخته میشوند سخت و بخاطر سپردنشان آسان است. چنین رمزهایی در برابر حملات واژهنامه که معمولاً رمزهای ضعیف را مورد هدف قرار میدهند مقاوم هستند.
در صورت امتحان دو رمز بالا در وبسایت How Secure Is My Password، متوجه میشوید که کرک }m}{4p#P@R9w توسط یک کامپیوتر، 400 هزار سال زمان میبرد اما این کار برای رمز kittEnsarEadorablE طی 6 تریلیون سال قابل انجام است. کلمات عبور قوی متشکل از چندین کلمه غیرمرتبط هستند. بر اساس ماشین حساب این وبسایت، حدس kittEnsmErryvisitortrEE توسط کامپوتر به 2 سکستیلیون سال زمان نیاز دارد.
NIST به سازمانها توصیه میکند که برخلاف باورهای رایج، استفاده از کاراکترهای ویژه مثل !، # یا $ را در رمزها الزامی نکنند. همچنین نباید استفاده پشت سرهم از یک کاراکتر را ممنوع کرد.
3. خودداری از بکارگیری رمزهای تکراری برای حسابهای کاربری مختلف
استفاده دوباره از کلمات عبور از جمله تهدیدات امنیتی ایمیل محسوب میشود. در صورت هک یکی از حسابهای کاربری دارای رمز مشترک، مهاجمان میتوانند به راحتی به سایر حسابها هم دسترسی پیدا کنند. مجرمان سایبری میدانند که معمولاً امکان استفاده از رمز یکی از حسابهای هک شده کاربر برای دسترسی به سایر حسابهای او وجود دارد. تنظیم یک کلمه عبور مشترک برای حسابهای شخصی و کاری بسیار خطرناک است.
کارمندان باید برای هر حساب از رمزهای منحصربفرد و قوی استفاده کنند. انجام این کار برای بسیاری از کارمندان، بهویژه افرادی که چندین حساب مختلف دارند سخت است. برای حل این چالش، بهتر است از یک برنامه مدیریت کلمه عبور (پسورد منیجر) یا سیستم احراز هویت یکپارچه در سازمانتان استفاده کنید.
4. تغییر منظم کلمات عبور
طی سالهای اخیر بحثهای زیادی درباره فواصل زمانی مناسب برای تغییر رمز صورت گرفته است. در گذشته کارشناسان امنیتی معتقد بودند که تغییر پیوسته و منظم رمزها نقش بسزایی در افزایش ایمنی سیستمها دارد. بنابراین کاربران معمولاً هر سه ماه یکبار رمزهای خود را تغییر میدادند اما بسیاری از کارمندان از انجام این کار تکراری خسته میشدند و از رمزهای نه چندان قوی استفاده میکردند. برای مثال رمز Password1 پس از گذشت 90 روز به عبارت Password2 تغییر میکرد.
NIST الزام کاربران به تغییر رمز براساس یک فاصله زمانی روتین را روش مناسبی نمیداند و توصیه میکند که این کار را به صورت نامنظم و طی فواصل زمانی طولانیتر انجام دهید.
البته بر اساس برخی مقررات مثل PCI DSS تغییر منظم رمزها همچنان الزامی است.
تیمهای امنیتی شرکتها باید مزایای تغییر منظم رمز عبور را با احتمال انتخاب رمزهای ضعیفتری که بهراحتی بخاطر سپرده میشوند و احتمال تشخیصشان نیز بیشتر است، مقایسه کنند.
5. استفاده از احراز هویت چند مرحلهای
احراز هویت چند مرحلهای شامل استفاده از بیش از یک روش (برای مثال استفاده از ترکیب نام کاربری، کلمه عبور و اثر انگشت یا کد یکبار مصرف) برای اعتبارسنجی هویت کاربر است. اضافه کردن یک روش دوم یا سوم یا حتی بیشتر به فرایند احراز هویت، لایههای دفاعی را افزایش میدهد و با مشکلات امنیتی رایج ایمیل مثل حملات جستجوی فراگیر و شناسایی رمز عبور مقابله میکند. براساس پیشبینی مایکروسافت، اجرای احراز هویت چند مرحلهای بر روی حسابهای کاربری تا 99.9 درصد از حملات هک حساب را خنثی میکند.
شرکتها باید استفاده از احراز هویت چند مرحلهای را الزامی کنند. کارمندان نیز باید از احراز هویت چند مرحلهای برای حفاظت از خودشان استفاده کنند.
6. توجه ویژه به حملات و انواع روشهای فیشینگ
با وجود طراحی محصولات امنیت ایمیل، همچنان بسیاری از ایمیلهای اسپم که شامل طرحهای فیشینگ جذاب و پیچیده هستند، از این فیلترها عبور میکنند. هکرها معمولاً حملات سایبری مثل کلاهبرداریهای فیشینگ معمولی، فیشینگ هدفمند یا والینگ را از این طریق اجرا میکنند. کاربران باید همواره مراقب کلاهبرداریهای فیشینگ باشند و در هنگام باز کردن کلیه ایمیلها احتیاط کنند. هرگز به ایمیلهای مشکوک پاسخ ندهید، بر روی لینکهای درون آنها کلیک نکنید و فایلهای پیوست شده به آنها را دانلود نکنید.
تعداد سازمانهایی که طرحهای آگاهیرسانی درباره فیشینگ را در برنامههای آموزشیشان درج میکنند رو به افزایش است. کارمندان باید پس از مراجعه به این طرحها، توانایی شناسایی پیامهای مخاطرهآمیز را داشته و از کلیک بر روی لینکهای ناشناس یا باز کردن پیوستهای نامناسب خودداری کنند.
7. توجه به پیوستهای ایمیلی
حملات فیشینگ معمولاً متکی بر قابلیت ارسال و دریافت پیوستهای حاوی کدهای اجرایی مخرب هستند. نرمافزارهای ضدبدافزاری که کدهای مخرب را تشخیص میدهند، میتوانند پیوستهای مخرب را مسدود کنند اما ممکن است این پیوستها بنام منابع مورد اعتمادی ارسال شده باشند که مهاجمان از هویتشان سوءاستفاده میکنند.
به هر حال حتی در صورت استفاده سازمان از نرمافزارهای مسدودسازی بدافزار و اسکن ایمیل، کارمندان باید همچنان مراقب فایلهای پیوست باشند. اگر فایل پیوست شده به ایمیل، یک فایل اجرایی مثل .exe (نرمافزارهای اجرایی)، .jar (نرمافزارهای جاوا) یا .msi (نصب کننده فایل ویندوز) بود، باید پیش از باز کردن آن احتیاط کنید. فایلهایی مثل اسناد Word، صفحه گستردهها و فایلهای پیدیاف هم میتوانند حاوی کدهای مخرب باشند. بنابراین در صورت برخورد به چنین فایلهایی نیز بسیار مراقب باشید. فایلها را با یک نرمافزار ضدبدافزار اسکن کنید یا آنها را اصلاً باز نکنید.
8. خودداری از کلیک بر روی لینکهای درون ایمیل
لینکهای درج شده در ایمیل میتوانند به دامنه وبی متفاوت با آنچه به نظر میرسد متصل شوند. ممکن است بعضی از لینکها یک دامنه معتبر و شناخته شده مثل www.amazon.com را نمایش دهند اما در اصل کاربر را به یک دامنه مخرب هدایت کنند. مهاجمان همچنین از مجموعه کاراکترهای بینالمللی یا تغییر املای کلمات برای ایجاد دامنههای مخرب مشابه دامنههای بنام استفاده میکنند.
همیشه پیش از کلیک بر روی هر لینکی، ابتدا اشارهگر موس را بر روی لینک ببرید تا مطمئن شوید که مقصد لینک با آنچه نمایش داده شده، یکسان است. در صورت تردید، نشانی مدنظر را به صورت مستقیم در مرورگر تایپ کنید تا نیاز به کلیک بر روی لینکهای درون ایمیل نداشته باشید.
9. خودداری از بکارگیری ایمیلهای کاری برای استفادههای شخصی و بالعکس
اگرچه استفاده از حساب ایمیل کاری برای انجام امور شخصی راحتتر است اما کارمندان باید از انجام این کار خودداری کنند. همچنین هرگز نباید ایمیلهای کاری را از طریق حسابهای کاربری شخصی ارسال کنید. ترکیب و جابجایی حسابهای شخصی و کاری میتواند کارمندان و سازمان را در معرض تهدیدات فیشینگ هدفمند و سایر مخاطرات ایمیلی قرار دهد.
در سیاستهای ایمیل سازمانتان، حتماً همه موارد قابل قبول و محدودیتها را مشخص کنید.
10. عدم اتصال به وایفای عمومی
وایفای عمومی یک موهبت است اما کارمندان باید بدانند که چنین شبکههایی به شدت در معرض حملات امنیتی قرار دارند. در صورت ورود کارمندان به ایمیل سازمانی از طریق وایفای عمومی، هر شخصی در این شبکه میتواند به ایمیل آنها دسترسی پیدا کند. مهاجمان میتوانند از ابزارهای اوپنسورس تفسیر بستههای شبکه مثل Wireshark برای نظارت و دسترسی به اطلاعات شخصی کاربران استفاده کنند.
حتی در صورت عدم بررسی ایمیل پس از اتصال به وایفای عمومی، کاربران باید بدانند که تقریباً نحوه طراحی هر سیستمی بهگونهای است که پس از اتصال دستگاه به یک شبکه، صندوق ورودی ایمیل نیز بهروزرسانی میشود. بنابراین در صورت اتصال کاربران به یک وایفای عمومی، ایمیل آنها هم به این شبکهها متصل میشود و در معرض خطر قرار میگیرد.
بهتر است فقط از شبکههای وای فای امن و شناختهشده استفاده کنید.
11. استفاده از ابزارها و پروتکلهای امنیت ایمیل
سه استاندارد امنیتی زیر نقش مهمی در فیلتر پیامهای اسپم دارند:
- استفاده از DKIM یا (DomainKeys Identified Mail): این پروتکل از رمزنگاری نامتقارن برای پیشگیری از جعل ایمیل استفاده میکند. به هر ایمیل یک امضای دیجیتال اضافه میشود تا متن آن پس از ارسال تغییر نکند. در صورت عدم تطابق امضا با کلید عمومی دامنه ایمیل، پیام مسدود میشود و در غیر این صورت تحویل داده میشود.
- فعال سازی SPF یا (Sender Policy Framework): این پروتکل اطمینان حاصل میکند که ایمیل از منبع اصلی آن ارسال شده و اجازه ارسال پیام از جانب آن دامنه را دارد. اگر اعتبارسنجی با موفقیت همراه بود، ایمیل تحویل داده میشود در غیر این صورت مسدود میشود.
- استفاده از DMARC یا (Domain-based Message Authentication, Reporting and Conformance): DMARC تعمیمی از DKIM و SPF است. با استفاده از DMARC مالکان دامنه میتوانند الزامات SPF و DKIM خود را مشخص کنند. همچنین میتوانند اقداماتی که در صورت عدم انطباق یک پیام با این الزامات باید انجام شوند (مثل ارسال یک گزارش به دامنه فرستنده) تعیین کنند.
این کنترلهای فنی با جعل ایمیل مقابله میکنند اما قابلیت انسداد همه پیامهای ناخواسته را ندارند. بنابراین بهتر است از سایر ابزارهای امنیت ایمیل مثل ضد بدافزار، ضد اسپم، فیلتر ایمیل، درگاههای امنیت ایمیل و سیستمهای نظارت بر ایمیل هم استفاده کنید.
منبع: techtarget