اگرچه تعداد مسیرهای اجرای حملات سایبری رو به افزایش است اما همچنان ایمیل از جمله مسیرهای پرکاربرد برای اجرای حملات هدفمند و فرصتطلبانه محسوب میشود. از طرفی با افزایش تعداد و پیچیدگی حملات سایبری، کارایی فناوریهای امنیت ایمیل سنتی کاهش یافته و حفاظت کافی را برای سازمانها فراهم نمیکنند. کسبوکارها نیز معمولاً تا پیش از وقوع نفوذهای امنیتی، اطلاعات چندان زیادی نسبت به نوع و میزان عملکرد راهکارهای امنیتیشان ندارند.
تأثیر کاهش و افزایش نرخ تشخیص ایمیلهای مخرب و مثبت کاذب بر روی فرایندهای کاری
امروزه مجرمان سایبری از انواع تکنیکهای پیشگیری از تشخیص، جعل، حملات باجافزاری پیچیده، تصاحب حساب کاربری، آسیبپذیری روز صفر و غیره برای اجرای انواع تهدیدات پیشرفته مثل حملات فیشینگ هدفمند استفاده میکنند. راهکارهای امنیت ایمیل نیز قابلیت محافظت از سازمانها در برابر چنین تهدیداتی را ندارند.
این پیچیدگی چشمانداز تهدیدات در ترکیب با تداوم استفاده از فناوریهای قدیمی مثل محیطهای سندباکس سنتی منجر به کاهش نرخ تشخیص شده است. در نتیجه بسیاری از این تهدیدات امنیتی، سازوکارهای حفاظتی را بهراحتی دور زده و افراد را مورد هدف قرار میدهند.
مبالغ پرداختی باج به مهاجمان نیز رو به افزایش است و سازمانها میلیونها دلار و برای کلاهبرداریهای بیتکوینی حتی صدها هزار دلار هم به مجرمان باج میدهند در حالی که پرداخت باج نباید به امری عادی تبدیل شود.
از طرفی شناسایی ایمیلهای سالم و بیخطر به عنوان موارد مخرب توسط راهکارهای امنیت ایمیل، تأثیرات منفی بر عملکرد سازمان دارد. برای مثال در چنین شرایطی ایمیلهای مهم به دست کاربران مدنظر نمیرسند و کاربران نیز به تدریج از سیستم امنیت ایمیل سرخورده میشوند و توجه چندانی به هشدارهای آن نخواهند داشت. در نتیجه سازمانها نیز در معرض مخاطرات امنیتی جدی قرار میگیرند.
در ادامه یکسری نکات و چالشهای تأثیرگذار بر روی ایمنسازی سیستمهای ایمیل سازمانی را مورد توجه قرار میدهیم.
-
تأثیر خلأهای فناوری بر نرخ تشخیص
سیستمهای امنیت ایمیلی معمولاً مجهز به فناوریهای لازم برای تشخیص تهدیدات پیچیده و در حال پیشرفت نیستند.
-
مخفی شدن بدافزارها در بستههای نرمافزاری
مهاجمان از تکنیکهای بستهبندی بدافزار برای پیشگیری از شناسایی بدافزارها توسط ابزارهای تحلیل بدافزار استفاده میکنند.
-
عدم کارایی تکنیکهای تشخیص مبتنی بر امضا
در بسیاری از راهکارهای امنیتی از آنتیویروسهای معمولی برای شناسایی بدافزار استفاده میشود. این برنامهها از پایگاه داده حاوی کدهای مخرب (به اسم فایل امضا) برای تشخیص بدافزارها استفاده میکنند. در حالی که مهاجمان پیشرفته میتوانند با تغییر کد بدافزارهای خودشان این تکنیک را به راحتی دور بزنند. همچنین در صورت عدم وجود کدهای جدید و کمیاب در پایگاه داده این آنتیویروسها، امکان تشخیص و شناسایی این تهدیدات وجود ندارد. بنابراین استفاده از آنتیویروسهای رایج و معمولی ممکن است با موفقیت همراه نباشد.
-
کندی و بیتأثیر بودن محیطهای سندباکس
اگرچه معمولاً از محیط سندباکس برای اسکن پویا استفاده میشود اما یک ماشین مجازی نمیتواند بر چالشهایی که توسط بدافزارهای پیشرفته ایجاد میشوند، غلبه کند. برای مثال بعضی بدافزارها برای اجرا به خط فرمان نیاز دارند یا به نحوی تنظیم شدند که پیش از شروع اجرای فرمانها، مدتی در حال استراحت و سکون باشند. محیطهای سندباکس قادر به اجرای چنین بدافزارهایی نیستند چون گزینهای برای خط فرمان ندارند و معمولاً به اندازه لازم منتظر باقی نمیمانند تا امکان تشخیص استفادههای مخرب از خط فرمان را پیدا کنند. چنین مواردی ممکن است مانع از شناسایی بدافزار در یک محیط مجازی شوند.
-
محدودیت چابکی سیستم، عاملی برای کاهش قدرت شناسایی تهدیدات جدید و پیشرفته
عدم انعطافپذیری برای یادگیری و تنظیم تکنیکها و الگوریتمهای تشخیص تهدید براساس تغییرات موجود در حملات از جمله دلایل کاهش نرخ تشخیص راهکارهای امنیتی و تنزل آن به مرور زمان است.
با توجه به سرعت بالای تغییر و تحولات تهدیدات سایبری، راهکارهای امنیت ایمیلی امروزی که قابلیت حفاظت در برابر تهدیدات را دارند، ممکن است در آینده کارایی چندان زیادی نداشته باشند مگر اینکه فناوری به کار رفته در آنها چابک و انعطافپذیر باشد و از قوانین و منطق جدید اضافه شده توسط تیمهای مرکز عملیات امنیتی، مدیران بخش فناوری اطلاعات یا فروشندگان راهکار پشتیبانی کند.
بسیاری از کارشناسان امنیتی معتقدند که یادگیری ماشینی، راهکاری کارآمد برای مقابله با همه کارزارهای ایمیل مخرب است. در حالی که ترکیب فناوری شناسایی و واکنش حرفهای به حوادث، چابکی و راحتی تنظیم سیستم امنیت ایمیل بر اساس سیاستها و قوانین، نقش مؤثرتری در دستیابی به بالاترین نرخ تشخیص مثبت و کمترین نرخ تشخیص مثبت کاذب دارد.
آگاهی از تعداد مهاجمانی که راهکارهای امنیت ایمیل را دور میزنند و توانایی ایجاد فوری منطق جدیدی که به شناسایی چنین مواردی در آینده کمک میکنند، به بهترین نتایج منجر خواهد شد.
سیستمهای چابک میتوانند با استفاده از روشهای زیر به تشخیص الگوهای جدید کمک کنند و منطق جدیدی جهت افزایش نرخ تشخیص مثبت اضافه کنند:
- راهکار امنیتی قادر به استفاده از فهرست سیاه برای مقابله با بعضی ایمیلها است. البته احتمال ارسال ایمیل مخرب از سوی فرستنده جدید یا فرستنده مجاز و سالم در حملات فیشینگ جدید هم وجود دارد. با پیادهسازی یک راهکار امنیت ایمیل منعطف جهت واکنش سریع با این حملات، میتوانید تصمیمات و منطق جدید را به صورت پویا مستقر کنید.
- مهاجمان از وبسایتهای جعلی که مشابه وبسایتهایی مثل WeTransfer طراحی شدهاند برای توزیع فایلهای مخرب استفاده میکنند. شبکه و سیستمهای شخصی یا سازمانی کاربرانی که چنین محتواهای مخربی را دانلود میکنند نیز آلوده میشود.
مهاجمان معمولاً از وبسایتهایی با صفحه ورود جعلی برای سرقت اطلاعاتی مثل نام کاربری، رمز عبور و اطلاعات پرداخت کاربران استفاده میکنند. آنها در حملات فیشینگ، محصولات برندهای محبوب و پرکاربرد در محیطهای اداری (مثل آفیس 365) را جعل میکنند.
ابزارهایی مثل Weebly یا Wix، الگوهایی رایگان، سریع و ساده برای طراحی وبسایت در اختیار مهاجمان قرار میدهند. سیستم امنیت ایمیل باید با استفاده از تکنیکهایی مثل تشخیص تصویر و همچنین پیگیری و بررسی لینکهای فعال در وبسایت، چنین وبسایتهای آلوده پیچیدهای را شناسایی کند. توانایی اضافه کردن منطق جدید، تنظیم قابلیتهای تشخیص تصویر و افزودن لینک وبسایتهای فیشینگ جدید به سازوکارهای تشخیص، امکان تفسیر کارزارهای حمله جدید را پیش از اجرا و نفوذ به سیستم قربانیان فراهم میکند.
-
فقدان منابع و زیرساختهای واکنش به حادثه
در راستای افزایش نرخ تشخیص مثبت و کاهش تشخیصهای مثبت کاذب با راهکارهای امنیت ایمیل، تیم فناوری اطلاعات یا مرکز عملیات امنیتی، فروشنده راهکار امنیت ایمیل و کاربران نهایی باید با یکدیگر در ارتباط باشند. تیم واکنش به حادثه نیز مسئولیت برقراری ارتباط در بین سه بخش مذکور و در نتیجه کاهش نرخ تشخیص را بر عهده دارد.
با این وجود، وظیفه تیم واکنش به حادثه چالش برانگیز و نیازمند تخصص است. ممکن است شرکتها برای تخصیص منابع و زمان لازم جهت مدیریت حوادث امنیتی که رو به افزایش هم هستند با چالشهای زیادی مواجه شوند. سازمانها برای انجام این کار به یک نقشه راه طولانی مدت نیاز دارند. طراحی و پیادهسازی چنین برنامهای در گرو ادغام و اتوماسیون پیچیده سیستمها است و در طی زمانی طولانی انجام میشود.
حتی یک تیم امنیتی متخصص در سازمانی که قابلیت تنظیم و آمادهسازی فرایندها و سیستمها را دارد، ممکن است در مواجه با حوادث بزرگ امنیتی برای رسیدگی به کارهای زیر دچار مشکل شود:
- نظارت، تحلیل و گزارشدهی حوادث امنیت ایمیل به صورت شبانهروزی؛
- هشداردهی و تحلیل سریع تلاشهای مخرب؛
- بهینهسازی موتورهای سیستم امنیتی برای سناریوهای پیشرفته.
ایمیلهای مخرب معمولاً توسط کارمندان سازمانها گزارش داده میشوند. با توجه به عدم وجود منابع کافی برای بررسی هر گزارش، این پیامها به صورت خودکار از صندوق پیامهای ورودی استخراج و شناسایی میشوند. در صورت استفاده از این روش، سازمان نمیتواند از دانش به دست آمده بر اساس حملات احتمالی گذشته که سیستم را دور زدهاند، برای بهینهسازی پیوسته سیستم استفاده کند.
-
تأثیرات منفی عدم نظارت کامل و شاخصهای کلیدی عملکرد بر روی ارزیابی عملکرد
شاخصهای کلیدی عملکرد که تشخیصهای مثبت و منفی کاذب را شناسایی میکنند، نقش مهمی در ارزیابی کارایی و دقت سیستم امنیت ایمیل دارند. متأسفانه سازمانها نمیتوانند به راحتی این شاخصها را تنظیم و تعریف کنند. برای مثال سازمانها چگونه باید تعداد/درصد تشخیصهای مثبت کاذب راهکارهای مورد استفادهشان را محاسبه کرده و گزارش دهند؟
بعضی از راهکارها چنین شاخصهای کلیدی عملکردی را ارایه نمیدهند یا قابلیتی برای استخراج گزارش مربوط به تشخیصهای مثبت کاذب ندارند. وقتی کاربران از تیمهای مرکز عملیات امنیتی بخواهند که ایمیلها را آزاد کنند یا از تیم فناوری اطلاعات بپرسند که چرا ایمیلی که از ارسالش مطمئن هستند را دریافت نکردند، این تیمها پی به تشخیصهای مثبت کاذب میبرند.
چگونه میتوانید تشخیصهای منفی کاذب را ارزیابی کنید؟
این تشخیصها مربوط به ایمیلهای مخربی هستند که راهکارهای امنیت ایمیل را دور میزنند. یک سازمان معمولاً به صورت غریزی حس میکند که راهکار امنیت ایمیل مورد استفادهاش عملکرد مناسبی ندارد. البته راهی برای اثبات این موضوع وجود ندارد. علت اصلی چنین اتفاقی در اثر عدم مدیریت جریان حوادث و عدم پشتیبانی جهت بازیابی تعداد صحیح حوادث توسط راهکارهای امنیت ایمیل مورد استفاده است.
-
پیچیدگی پروتکلهای ایمیل
پیکربندی پروتکلهای ایمیل از جمله چالشهای تأثیرگذار بر کارایی امنیت ایمیل است.
برای مثال پروتکل DMARC از سازمانها در برابر جعل ایمیل، کلاهبرداریهای فیشینگ و سایر جرایم سایبری حفاظت میکند. البته براساس مطالعات جدید، کمتر از 50 درصد شرکتهای عضو فورچون 1000، پروتکل DMARC را در ایمیلهایشان پیادهسازی میکنند. تصور کنید که شرکتهای کوچک و متوسط برای پیادهسازی این راهکار با چه چالشهایی مواجه هستند.
همچنین توجه کنید که حتی در صورت پیادهسازی DMARC توسط یک سازمان و قابلیت آن برای تقویت امنیت ایمیل سازمان، این راهکار توانایی تشخیص وجود و استفاده از چنین پروتکلی در اکوسیستم شرکتهای همکار را ندارد. بنابراین تعامل کاربران با سایر شرکتها، یک خطر امنیتی جدی برای سازمانها محسوب میشود.
اقدامات قابل انجام برای حذف خلأ امنیت ایمیل
- راهکارهای امنیت ایمیل را پیش از انتخاب و پیادهسازی ارزیابی کنید و براساس یک مدل اثبات مفهوم، نرخ تشخیص آن را نسبت به راهکارهای امنیت ایمیل موجود مقایسه کنید.
- از یک راهکار امنیت ایمیل منعطف که امکان بهروزرسانی منظم قوانین و منطق آن برای شناسایی تهدیدات جدید و فزاینده وجود داشته باشد و از سناریوهای پیشرفته پشتیبانی کند استفاده کنید.
- ارتباط بین تیم فناوری اطلاعات یا تیم مرکز عملیاتی با ارایهدهندگان راهکارهای امنیت ایمیل و کاربران نهایی را به کمک یک تیم واکنش به حادثه حرفهای، ارتقا دهید. کلید موفقیت، تحقق نرخ تشخیص بالا نزدیک به صددرصد است.
- پروتکلهای DMARC، SPF و DKIM را پیادهسازی کرده و از یک راهکار امنیت ایمیل با قابلیت اعتبارسنجی این پروتکلها استفاده کنید. یک ارزیابی ریسک در فرایند انتخاب ارایهدهندگان راهکارها داشته باشید و حتماً تدابیر لازم در راهکار امنیت ایمیل خودتان برای حفاظت در برابر شرکتهای همکار پرخطرتر را در نظر بگیرید.
نگاهی به آینده
حفاظت از امنیت ایمیل نسبت به سایر کانالها سختتر است اما با توجه به ارسال روزانه بیش از 300 میلیارد ایمیل در سطح جهان، باید جامعه جهانی امنیت ایمیل را ارتقا دهیم. با تلاشهای مشترک و پیوسته میتوانیم خلأهای امنیتی در حوزه ایمنسازی ایمیل را برطرف کنیم و آیندهای ایمن برای سازمانها در همه صنایع رقم بزنیم.
منبع: securitymagazine