اصول توصیه شده امنیت ایمیل

اصول توصیه شده امنیت ایمیل

در گذشته و پیش از توسعه گسترده فناوری، اصول حفاظت از امنیت ایمیل به صورت کاملاً مختصر و مفید بیان می‌شد. برای مثال فقط به کاربران توصیه می‌شد که به ایمیل اعتماد نکنند چون این فناوری یک سروریس پیام‌رسانی ایمن نیست و احراز هویت هم نشده است.

البته اصول امنیت ایمیل که در سال 1989 برای کارمندان توصیه می‌شد همچنان پابرجا هستند و به صورت کلی موارد زیر را در بر می‌گیرند:

  • از رمزهای قوی استفاده کنید؛
  • آدرس‌های ارسال‌کننده اسپم را مسدود کنید؛
  • به وعده‌های جذاب و باورنکردنی اعتماد نکنید؛
  • درخواست‌ها را اعتبارسنجی کنید حتی اگر از سمت مراجع قابل اطمینان ارسال شده باشند.

با توجه به افزایش روزافزون اهمیت ایمیل برای کسب‌وکارها و نقش مؤثر آن در موفقیت سازمان‌ها، به‌تازگی کارشناسان امنیتی مجموعه‌ قوی‌تر و پیشرفته‌تری از اصول امنیتی سرویس‌های ایمیل ارایه داده‌اند.

در این مقاله به بررسی موارد زیر می‌پردازیم:

  • آموزش کارمندان درباره اصول امنیت ایمیل؛
  • ایجاد رمزهای قوی؛
  • خودداری از بکارگیری رمزهای تکراری برای حساب‌های کاربری مختلف؛
  • تغییر منظم کلمات عبور؛
  • استفاده از احراز هویت چند مرحله‌ای؛
  • توجه ویژه به حملات و انواع روش‌های فیشینگ؛
  • توجه به پیوست‌های ایمیلی؛
  • خودداری از کلیک بر روی لینک‌های درون ایمیل؛
  • خودداری از بکارگیری ایمیل‌های کاری برای استفاده‌های شخصی و بالعکس؛
  • عدم اتصال به وای‌فای عمومی؛
  • استفاده از ابزارها و پروتکل‌های امنیت ایمیل.

در ادامه هر یک از این موارد را مورد بررسی قرار می‌دهیم.

 

1. آموزش کارمندان درباره اصول امنیت ایمیل

آموزش کارمندان درباره اصول امنیت ایمیل

مدیران سازمان‌ها و تیم‌های امنیتی باید با برگذاری دوره‌های منظم و اجرای طرح‌های کارآمد، آموزش‌های لازم درباره اصول امنیت ایمیل را به کارمندان ارایه داده و آنها را در جریان جدیدترین سیاست‌های امنیتی سازمان قرار دهند. کارمندان هم باید نسبت به میزان نقش‌شان در حفظ امنیت سازمان و مقابله با تهدیدات امنیتی آگاهی داشته باشند.

کسب‌وکارها باید به ارایه آموزش‌های مربوط به امنیت ایمیل در طرح‌های آگاهی‌رسانی امنیتی سازمان‌شان توجه کنند.

 

2. ایجاد رمزهای قوی

استفاده از رمزهایی قوی از جمله اصول توصیه شده مهم برای تأمین امنیت ایمیل است. ممکن است تصور کنید پیچیدگی رمز عبور ارتباط مستقیمی با حفظ آن در برابر هکرها دارد. در حالی که کارمندان معمولاً کلمات عبور پیچیده مثل }m}{4p#P@R9w را بر روی کاغذی یادداشت یا در فایلی ذخیره می‌کنند. بنابراین تنظیم رمزهای بسیار پیچیده هم می‌تواند مخاطرات امنیتی زیادی را به بار آورد.

بر اساس توصیه‌های فعلی NIST، طول رمز نقش مؤثری در افزایش ایمنی رمز دارد و نه پیچیدگی آن. حدس کلمات عبوری مثل kittEnsarEadorablE که از اتصال چند کلمه ساخته می‌شوند سخت و بخاطر سپردنشان آسان است. چنین رمزهایی در برابر حملات واژه‌نامه که معمولاً رمزهای ضعیف را مورد هدف قرار می‌دهند مقاوم هستند.

در صورت امتحان دو رمز بالا در وب‌سایت How Secure Is My Password، متوجه می‌شوید که کرک }m}{4p#P@R9w توسط یک کامپیوتر، 400 هزار سال زمان می‌برد اما این کار برای رمز kittEnsarEadorablE طی 6 تریلیون سال قابل انجام است. کلمات عبور قوی متشکل از چندین کلمه غیرمرتبط هستند. بر اساس ماشین حساب این وب‌سایت، حدس kittEnsmErryvisitortrEE توسط کامپوتر به 2 سکستیلیون سال زمان نیاز دارد.

NIST به سازمان‌ها توصیه می‌کند که برخلاف باورهای رایج، استفاده از کاراکترهای ویژه مثل !، # یا $ را در رمزها الزامی نکنند. همچنین نباید استفاده پشت سرهم از یک کاراکتر را ممنوع کرد.

 

3. خودداری از بکارگیری رمزهای تکراری برای حساب‌های کاربری مختلف

استفاده دوباره از کلمات عبور از جمله تهدیدات امنیتی ایمیل محسوب می‌شود. در صورت هک یکی از حساب‌های کاربری دارای رمز مشترک، مهاجمان می‌توانند به راحتی به سایر حساب‌ها هم دسترسی پیدا کنند. مجرمان سایبری می‌دانند که معمولاً امکان استفاده از رمز یکی از حساب‌های هک شده کاربر برای دسترسی به سایر حساب‌های او وجود دارد. تنظیم یک کلمه عبور مشترک برای حساب‌های شخصی و کاری بسیار خطرناک است.

کارمندان باید برای هر حساب از رمزهای منحصربفرد و قوی استفاده کنند. انجام این کار برای بسیاری از کارمندان، به‌ویژه افرادی که چندین حساب مختلف دارند سخت است. برای حل این چالش، بهتر است از یک برنامه مدیریت کلمه عبور (پسورد منیجر) یا سیستم احراز هویت یکپارچه در سازمان‌تان استفاده کنید.

 

4. تغییر منظم کلمات عبور

تغییر منظم کلمات عبور

طی سال‌های اخیر بحث‌های زیادی درباره فواصل زمانی مناسب برای تغییر رمز صورت گرفته است. در گذشته کارشناسان امنیتی معتقد بودند که تغییر پیوسته و منظم رمزها نقش بسزایی در افزایش ایمنی سیستم‌ها دارد. بنابراین کاربران معمولاً هر سه ماه یکبار رمزهای خود را تغییر می‌دادند اما بسیاری از کارمندان از انجام این کار تکراری خسته می‌شدند و از رمزهای نه چندان قوی استفاده می‌کردند. برای مثال رمز Password1 پس از گذشت 90 روز به عبارت Password2 تغییر می‌کرد.

NIST الزام کاربران به تغییر رمز براساس یک فاصله زمانی روتین را روش مناسبی نمی‌داند و توصیه می‌کند که این کار را به صورت نامنظم و طی فواصل زمانی طولانی‌تر انجام دهید.

البته بر اساس برخی مقررات مثل PCI DSS تغییر منظم رمزها همچنان الزامی است.

تیم‌های امنیتی شرکت‌ها باید مزایای تغییر منظم رمز عبور را با احتمال انتخاب رمزهای ضعیف‌تری که به‌راحتی بخاطر سپرده می‌شوند و احتمال تشخیص‌شان نیز بیشتر است، مقایسه کنند.

 

5. استفاده از احراز هویت چند مرحله‌ای

احراز هویت چند مرحله‌ای شامل استفاده از بیش از یک روش (برای مثال استفاده از ترکیب نام کاربری، کلمه عبور و اثر انگشت یا کد یکبار مصرف) برای اعتبارسنجی هویت کاربر است. اضافه کردن یک روش دوم یا سوم یا حتی بیشتر به فرایند احراز هویت، لایه‌های دفاعی را افزایش می‌دهد و با مشکلات امنیتی رایج ایمیل مثل حملات جستجوی فراگیر و شناسایی رمز عبور مقابله می‌کند. براساس پیش‌بینی مایکروسافت، اجرای احراز هویت چند مرحله‌ای بر روی حساب‌های کاربری تا 99.9 درصد از حملات هک حساب را خنثی می‌کند.

شرکت‌ها باید استفاده از احراز هویت چند مرحله‌ای را الزامی کنند. کارمندان نیز باید از احراز هویت چند مرحله‌ای برای حفاظت از خودشان استفاده کنند.

 

6. توجه ویژه به حملات و انواع روش‌های فیشینگ

با وجود طراحی محصولات امنیت ایمیل، همچنان بسیاری از ایمیل‌های اسپم که شامل طرح‌های فیشینگ جذاب و پیچیده هستند، از این فیلترها عبور می‌کنند. هکرها معمولاً حملات سایبری مثل کلاهبرداری‌های فیشینگ معمولی، فیشینگ هدفمند یا والینگ را از این طریق اجرا می‌کنند. کاربران باید همواره مراقب کلاهبرداری‌های فیشینگ باشند و در هنگام باز کردن کلیه ایمیل‌ها احتیاط کنند. هرگز به ایمیل‌های مشکوک پاسخ ندهید، بر روی لینک‌های درون آنها کلیک نکنید و فایل‌های پیوست شده به آنها را دانلود نکنید.

تعداد سازمان‌هایی که طرح‌های آگاهی‌رسانی درباره فیشینگ را در برنامه‌های آموزشی‌شان درج می‌کنند رو به افزایش است. کارمندان باید پس از مراجعه به این طرح‌ها، توانایی شناسایی پیام‌های مخاطره‌آمیز را داشته و از کلیک بر روی لینک‌های ناشناس یا باز کردن پیوست‌های نامناسب خودداری کنند.

 

7. توجه به پیوست‌های ایمیلی

توجه به پیوست‌های ایمیلی

حملات فیشینگ معمولاً متکی بر قابلیت ارسال و دریافت پیوست‌های حاوی کدهای اجرایی مخرب هستند. نرم‌افزارهای ضدبدافزاری که کدهای مخرب را تشخیص می‌دهند، می‌توانند پیوست‌های مخرب را مسدود کنند اما ممکن است این پیوست‌ها بنام منابع مورد اعتمادی ارسال شده باشند که مهاجمان از هویت‌شان سوءاستفاده می‌کنند.

به هر حال حتی در صورت استفاده سازمان از نرم‌افزارهای مسدودسازی بدافزار و اسکن ایمیل، کارمندان باید همچنان مراقب فایل‌های پیوست باشند. اگر فایل پیوست شده به ایمیل، یک فایل اجرایی مثل .exe (نرم‌افزارهای اجرایی)، .jar (نرم‌افزارهای جاوا) یا .msi (نصب کننده فایل ویندوز) بود، باید پیش از باز کردن آن احتیاط کنید. فایل‌هایی مثل اسناد Word، صفحه گسترده‌ها و فایل‌های پی‌دی‌اف هم می‌توانند حاوی کدهای مخرب باشند. بنابراین در صورت برخورد به چنین فایل‌هایی نیز بسیار مراقب باشید. فایل‌ها را با یک نرم‌افزار ضدبدافزار اسکن کنید یا آنها را اصلاً باز نکنید.

 

8. خودداری از کلیک بر روی لینک‌های درون ایمیل

لینک‌های درج شده در ایمیل می‌توانند به دامنه وبی متفاوت با آنچه به نظر می‌رسد متصل شوند. ممکن است بعضی از لینک‌ها یک دامنه معتبر و شناخته شده مثل www.amazon.com را نمایش دهند اما در اصل کاربر را به یک دامنه مخرب هدایت کنند. مهاجمان همچنین از مجموعه کاراکترهای بین‌المللی یا تغییر املای کلمات برای ایجاد دامنه‌های مخرب مشابه دامنه‌های بنام استفاده می‌کنند.

همیشه پیش از کلیک بر روی هر لینکی، ابتدا اشاره‌گر موس را بر روی لینک ببرید تا مطمئن شوید که مقصد لینک با آنچه نمایش داده شده، یکسان است. در صورت تردید، نشانی مدنظر را به صورت مستقیم در مرورگر تایپ کنید تا نیاز به کلیک بر روی لینک‌های درون ایمیل نداشته باشید.

 

9. خودداری از بکارگیری ایمیل‌های کاری برای استفاده‌های شخصی و بالعکس

اگرچه استفاده از حساب ایمیل کاری برای انجام امور شخصی راحت‌تر است اما کارمندان باید از انجام این کار خودداری کنند. همچنین هرگز نباید ایمیل‌های کاری را از طریق حساب‌های کاربری شخصی ارسال کنید. ترکیب و جابجایی حساب‌های شخصی و کاری می‌تواند کارمندان و سازمان را در معرض تهدیدات فیشینگ هدفمند و سایر مخاطرات ایمیلی قرار دهد.

در سیاست‌های ایمیل سازمان‌تان، حتماً همه موارد قابل قبول و محدودیت‌ها را مشخص کنید.

 

10. عدم اتصال به وای‌فای عمومی

عدم اتصال به وای‌فای عمومی

وای‌فای عمومی یک موهبت است اما کارمندان باید بدانند که چنین شبکه‌هایی به شدت در معرض حملات امنیتی قرار دارند. در صورت ورود کارمندان به ایمیل سازمانی از طریق وا‌ی‌فای عمومی، هر شخصی در این شبکه می‌تواند به ایمیل آنها دسترسی پیدا کند. مهاجمان می‌توانند از ابزارهای اوپن‌سورس تفسیر بسته‌های شبکه مثل Wireshark برای نظارت و دسترسی به اطلاعات شخصی کاربران استفاده کنند.

حتی در صورت عدم بررسی ایمیل پس از اتصال به وای‌فای عمومی، کاربران باید بدانند که تقریباً نحوه طراحی هر سیستمی به‌گونه‌ای است که پس از اتصال دستگاه به یک شبکه، صندوق ورودی ایمیل نیز به‌روزرسانی می‌شود. بنابراین در صورت اتصال کاربران به یک وای‌فای عمومی، ایمیل آنها هم به این شبکه‌ها متصل می‌شود و در معرض خطر قرار می‌گیرد.

بهتر است فقط از شبکه‌های وای فای امن و شناخته‌شده استفاده کنید.

 

11. استفاده از ابزارها و پروتکل‌های امنیت ایمیل

سه استاندارد امنیتی زیر نقش مهمی در فیلتر پیام‌های اسپم دارند:

  • استفاده از DKIM یا (DomainKeys Identified Mail): این پروتکل از رمزنگاری نامتقارن برای پیشگیری از جعل ایمیل استفاده می‌کند. به هر ایمیل یک امضای دیجیتال اضافه می‌شود تا متن آن پس از ارسال تغییر نکند. در صورت عدم تطابق امضا با کلید عمومی دامنه ایمیل، پیام مسدود می‌شود و در غیر این صورت تحویل داده می‌شود.
  • فعال سازی SPF یا (Sender Policy Framework): این پروتکل اطمینان حاصل می‌کند که ایمیل از منبع اصلی آن ارسال شده و اجازه ارسال پیام از جانب آن دامنه را دارد. اگر اعتبارسنجی با موفقیت همراه بود، ایمیل تحویل داده می‌شود در غیر این صورت مسدود می‌شود.
  • استفاده از DMARC یا (Domain-based Message Authentication, Reporting and Conformance): DMARC تعمیمی از DKIM و SPF است. با استفاده از DMARC مالکان دامنه می‌توانند الزامات SPF و DKIM خود را مشخص کنند. همچنین می‌توانند اقداماتی که در صورت عدم انطباق یک پیام با این الزامات باید انجام شوند (مثل ارسال یک گزارش به دامنه فرستنده) تعیین کنند.

این کنترل‌های فنی با جعل ایمیل مقابله می‌کنند اما قابلیت انسداد همه پیام‌های ناخواسته را ندارند. بنابراین بهتر است از سایر ابزارهای امنیت ایمیل مثل ضد بدافزار، ضد اسپم، فیلتر ایمیل، درگاه‌های امنیت ایمیل و سیستم‌های نظارت بر ایمیل هم استفاده کنید.

 

منبع: techtarget

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *

سه × 2 =