چرا حملات سایبری معمولاً از طریق ایمیل شروع می‌شوند؟

چرا حملات سایبری معمولاً از طریق ایمیل شروع می‌شوند؟

اگرچه تعداد مسیرهای اجرای حملات سایبری رو به افزایش است اما همچنان ایمیل از جمله مسیرهای پرکاربرد برای اجرای حملات هدفمند و فرصت‌طلبانه محسوب می‌شود. از طرفی با افزایش تعداد و پیچیدگی حملات سایبری، کارایی فناوری‌های امنیت ایمیل سنتی کاهش یافته و حفاظت کافی را برای سازمان‌ها فراهم نمی‌کنند. کسب‌وکارها نیز معمولاً تا پیش از وقوع نفوذهای امنیتی، اطلاعات چندان زیادی نسبت به نوع و میزان عملکرد راهکارهای امنیتی‌شان ندارند.

 

تأثیر کاهش و افزایش نرخ تشخیص ایمیل‌های مخرب و مثبت کاذب بر روی فرایندهای کاری

امروزه مجرمان سایبری از انواع تکنیک‌های پیشگیری از تشخیص، جعل، حملات باج‌افزاری پیچیده، تصاحب حساب کاربری، آسیب‌پذیری روز صفر و غیره برای اجرای انواع تهدیدات پیشرفته مثل حملات فیشینگ هدفمند استفاده می‌کنند. راهکارهای امنیت ایمیل نیز قابلیت محافظت از سازمان‌ها در برابر چنین تهدیداتی را ندارند.

این پیچیدگی چشم‌انداز تهدیدات در ترکیب با تداوم استفاده از فناوری‌های قدیمی مثل محیط‌های سندباکس سنتی منجر به کاهش نرخ تشخیص شده است. در نتیجه بسیاری از این تهدیدات امنیتی، سازوکارهای حفاظتی را به‌راحتی دور زده و افراد را مورد هدف قرار می‌دهند.

مبالغ پرداختی باج به مهاجمان نیز رو به افزایش است و سازمان‌ها میلیون‌ها دلار و برای کلاهبرداری‌های بیت‌کوینی حتی صدها هزار دلار هم به مجرمان باج می‌دهند در حالی که پرداخت باج نباید به امری عادی تبدیل شود.

از طرفی شناسایی ایمیل‌های سالم و بی‌خطر به عنوان موارد مخرب توسط راهکارهای امنیت ایمیل، تأثیرات منفی بر عملکرد سازمان دارد. برای مثال در چنین شرایطی ایمیل‌های مهم به دست کاربران مدنظر نمی‌رسند و کاربران نیز به تدریج از سیستم امنیت ایمیل سرخورده می‌شوند و توجه چندانی به هشدارهای آن نخواهند داشت. در نتیجه سازمان‌ها نیز در معرض مخاطرات امنیتی جدی قرار می‌گیرند.

در ادامه یکسری نکات و چالش‌های تأثیرگذار بر روی ایمن‌سازی سیستم‌های ایمیل سازمانی را مورد توجه قرار می‌دهیم.

 

  • تأثیر خلأهای فناوری بر نرخ تشخیص

سیستم‌های امنیت ایمیلی معمولاً مجهز به فناوری‌های لازم برای تشخیص تهدیدات پیچیده و در حال پیشرفت نیستند.

 

  • مخفی شدن بدافزارها در بسته‌های نرم‌افزاری

مهاجمان از تکنیک‌های بسته‌بندی بدافزار برای پیشگیری از شناسایی بدافزارها توسط ابزارهای تحلیل بدافزار استفاده می‌کنند.

 

  • عدم کارایی تکنیک‌های تشخیص مبتنی بر امضا

در بسیاری از راهکارهای امنیتی از آنتی‌ویروس‌های معمولی برای شناسایی بدافزار استفاده می‌شود. این برنامه‌ها از پایگاه داده حاوی کدهای مخرب (به اسم فایل امضا) برای تشخیص بدافزارها استفاده می‌کنند. در حالی که مهاجمان پیشرفته می‌توانند با تغییر کد بدافزارهای خودشان این تکنیک را به راحتی دور بزنند. همچنین در صورت عدم وجود کدهای جدید و کمیاب در پایگاه داده این آنتی‌ویروس‌ها، امکان تشخیص و شناسایی این تهدیدات وجود ندارد. بنابراین استفاده از آنتی‌ویروس‌های رایج و معمولی ممکن است با موفقیت همراه نباشد.

 

  • کندی و بی‌تأثیر بودن محیط‌های سندباکس

کندی و بی‌تأثیر بودن محیط‌های سندباکس

اگرچه معمولاً از محیط سندباکس برای اسکن پویا استفاده می‌شود اما یک ماشین مجازی نمی‌تواند بر چالش‌هایی که توسط بدافزارهای پیشرفته ایجاد می‌شوند، غلبه کند. برای مثال بعضی بدافزارها برای اجرا به خط فرمان نیاز دارند یا به نحوی تنظیم شدند که پیش از شروع اجرای فرمان‌ها، مدتی در حال استراحت و سکون باشند. محیط‌های سندباکس قادر به اجرای چنین بدافزارهایی نیستند چون گزینه‌ای برای خط فرمان ندارند و معمولاً به اندازه لازم منتظر باقی نمی‌مانند تا امکان تشخیص استفاده‌های مخرب از خط فرمان را پیدا کنند. چنین مواردی ممکن است مانع از شناسایی بدافزار در یک محیط مجازی شوند.

 

  • محدودیت چابکی سیستم، عاملی برای کاهش قدرت شناسایی تهدیدات جدید و پیشرفته

عدم انعطاف‌پذیری برای یادگیری و تنظیم تکنیک‌ها و الگوریتم‌های تشخیص تهدید براساس تغییرات موجود در حملات از جمله دلایل کاهش نرخ تشخیص راهکارهای امنیتی و تنزل آن به مرور زمان است.

با توجه به سرعت بالای تغییر و تحولات تهدیدات سایبری، راهکارهای امنیت ایمیلی امروزی که قابلیت حفاظت در برابر تهدیدات را دارند، ممکن است در آینده کارایی چندان زیادی نداشته باشند مگر اینکه فناوری به کار رفته در آنها چابک و انعطاف‌پذیر باشد و از قوانین و منطق جدید اضافه شده توسط تیم‌های مرکز عملیات امنیتی، مدیران بخش فناوری اطلاعات یا فروشندگان راهکار پشتیبانی کند.

بسیاری از کارشناسان امنیتی معتقدند که یادگیری ماشینی، راهکاری کارآمد برای مقابله با همه کارزارهای ایمیل مخرب است. در حالی که ترکیب فناوری شناسایی و واکنش حرفه‌ای به حوادث، چابکی و راحتی تنظیم سیستم امنیت ایمیل بر اساس سیاست‌ها و قوانین، نقش مؤثرتری در دستیابی به بالاترین نرخ تشخیص مثبت و کمترین نرخ تشخیص مثبت کاذب دارد.

آگاهی از تعداد مهاجمانی که راهکارهای امنیت ایمیل را دور می‌زنند و توانایی ایجاد فوری منطق جدیدی که به شناسایی چنین مواردی در آینده کمک می‌کنند، به بهترین نتایج منجر خواهد شد.

سیستم‌های چابک می‌توانند با استفاده از روش‌های زیر به تشخیص الگوهای جدید کمک کنند و منطق جدیدی جهت افزایش نرخ تشخیص مثبت اضافه کنند:

  1. راهکار امنیتی قادر به استفاده از فهرست سیاه برای مقابله با بعضی ایمیل‌ها است. البته احتمال ارسال ایمیل مخرب‌ از سوی فرستنده جدید یا فرستنده مجاز و سالم در حملات فیشینگ جدید هم وجود دارد. با پیاده‌سازی یک راهکار امنیت ایمیل منعطف جهت واکنش سریع با این حملات، می‌توانید تصمیمات و منطق جدید را به صورت پویا مستقر کنید.
  2. مهاجمان از وبسایت‌های جعلی که مشابه وب‌سایت‌هایی مثل WeTransfer طراحی شده‌اند برای توزیع فایل‌های مخرب استفاده می‌کنند. شبکه و سیستم‌های شخصی یا سازمانی کاربرانی که چنین محتواهای مخربی را دانلود می‌کنند نیز آلوده می‌شود.

مهاجمان معمولاً از وبسایت‌هایی با صفحه ورود جعلی برای سرقت اطلاعاتی مثل نام کاربری، رمز عبور و اطلاعات پرداخت کاربران استفاده می‌کنند. آنها در حملات فیشینگ، محصولات برندهای محبوب و پرکاربرد در محیط‌های اداری (مثل آفیس 365) را جعل می‌کنند.

ابزارهایی مثل Weebly یا Wix، الگوهایی رایگان، سریع و ساده برای طراحی وب‌سایت در اختیار مهاجمان قرار می‌دهند. سیستم امنیت ایمیل باید با استفاده از تکنیک‌هایی مثل تشخیص تصویر و همچنین پیگیری و بررسی لینک‌های فعال در وب‌سایت، چنین وب‌سایت‌های آلوده پیچیده‌ای را شناسایی کند. توانایی اضافه کردن منطق جدید، تنظیم قابلیت‌های تشخیص تصویر و افزودن لینک وب‌سایت‌های فیشینگ جدید به سازوکارهای تشخیص، امکان تفسیر کارزارهای حمله جدید را پیش از اجرا و نفوذ به سیستم قربانیان فراهم می‌کند.

 

  • فقدان منابع و زیرساخت‌های واکنش به حادثه

در راستای افزایش نرخ تشخیص مثبت و کاهش تشخیص‌های مثبت کاذب با راهکارهای امنیت ایمیل، تیم فناوری اطلاعات یا مرکز عملیات امنیتی، فروشنده راهکار امنیت ایمیل و کاربران نهایی باید با یکدیگر در ارتباط باشند. تیم واکنش به حادثه نیز مسئولیت برقراری ارتباط در بین سه بخش مذکور و در نتیجه کاهش نرخ تشخیص را بر عهده دارد.

با این وجود، وظیفه تیم واکنش به حادثه چالش برانگیز و نیازمند تخصص است. ممکن است شرکت‌ها برای تخصیص منابع و زمان لازم جهت مدیریت حوادث امنیتی که رو به افزایش هم هستند با چالش‌های زیادی مواجه شوند. سازمان‌ها برای انجام این کار به یک نقشه راه طولانی مدت نیاز دارند. طراحی و پیاده‌سازی چنین برنامه‌ای در گرو ادغام و اتوماسیون پیچیده سیستم‌ها است و در طی زمانی طولانی انجام می‌شود.

حتی یک تیم امنیتی متخصص در سازمانی که قابلیت تنظیم و آماده‌سازی فرایندها و سیستم‌ها را دارد، ممکن است در مواجه با حوادث بزرگ امنیتی برای رسیدگی به کارهای زیر دچار مشکل شود:

  1. نظارت، تحلیل و گزارش‌دهی حوادث امنیت ایمیل به صورت شبانه‌روزی؛
  2. هشداردهی و تحلیل سریع تلاش‌های مخرب؛
  3. بهینه‌سازی موتورهای سیستم امنیتی برای سناریوهای پیشرفته.

ایمیل‌های مخرب معمولاً توسط کارمندان سازمان‌ها گزارش داده می‌شوند. با توجه به عدم وجود منابع کافی برای بررسی هر گزارش، این پیام‌ها به صورت خودکار از صندوق پیام‌های ورودی استخراج و شناسایی می‌شوند. در صورت استفاده از این روش، سازمان نمی‌تواند از دانش به دست آمده بر اساس حملات احتمالی گذشته که سیستم را دور زده‌اند، برای بهینه‌سازی پیوسته سیستم استفاده کند.

 

  • تأثیرات منفی عدم نظارت کامل و شاخص‌های کلیدی عملکرد بر روی ارزیابی عملکرد

تأثیرات منفی عدم نظارت کامل و شاخص‌های کلیدی عملکرد بر روی ارزیابی عملکرد

شاخص‌های کلیدی عملکرد که تشخیص‌های مثبت و منفی کاذب را شناسایی می‌کنند، نقش مهمی در ارزیابی کارایی و دقت سیستم امنیت ایمیل دارند. متأسفانه سازمان‌ها نمی‌توانند به راحتی این شاخص‌ها را تنظیم و تعریف کنند. برای مثال سازمان‌ها چگونه باید تعداد/درصد تشخیص‌های مثبت کاذب راهکارهای مورد استفاده‌شان را محاسبه کرده و گزارش دهند؟

بعضی از راهکارها چنین شاخص‌های کلیدی عملکردی را ارایه نمی‌دهند یا قابلیتی برای استخراج گزارش مربوط به تشخیص‌های مثبت کاذب ندارند. وقتی کاربران از تیم‌های مرکز عملیات امنیتی بخواهند که ایمیل‌ها را آزاد کنند یا از تیم فناوری اطلاعات بپرسند که چرا ایمیلی که از ارسالش مطمئن هستند را دریافت نکردند، این تیم‌ها پی به تشخیص‌های مثبت کاذب می‌برند.

 

چگونه می‌توانید تشخیص‌های منفی کاذب را ارزیابی کنید؟

این تشخیص‌ها مربوط به ایمیل‌های مخربی هستند که راهکارهای امنیت ایمیل را دور می‌زنند. یک سازمان معمولاً به صورت غریزی حس می‌کند که راهکار امنیت ایمیل مورد استفاده‌اش عملکرد مناسبی ندارد. البته راهی برای اثبات این موضوع وجود ندارد. علت اصلی چنین اتفاقی در اثر عدم مدیریت جریان حوادث و عدم پشتیبانی جهت بازیابی تعداد صحیح حوادث توسط راهکارهای امنیت ایمیل مورد استفاده است.

 

  • پیچیدگی پروتکل‌های ایمیل

پیکربندی پروتکل‌های ایمیل از جمله چالش‌های تأثیرگذار بر کارایی امنیت ایمیل است.

برای مثال پروتکل DMARC از سازمان‌ها در برابر جعل ایمیل، کلاهبرداری‌های فیشینگ و سایر جرایم سایبری حفاظت می‌کند. البته براساس مطالعات جدید، کمتر از 50 درصد شرکت‌های عضو فورچون 1000، پروتکل DMARC را در ایمیل‌های‌شان پیاده‌سازی می‌کنند. تصور کنید که شرکت‌های کوچک و متوسط برای پیاده‌سازی این راهکار با چه چالش‌هایی مواجه هستند.

همچنین توجه کنید که حتی در صورت پیاده‌سازی DMARC توسط یک سازمان و قابلیت آن برای تقویت امنیت ایمیل سازمان، این راهکار توانایی تشخیص وجود و استفاده از چنین پروتکلی در اکوسیستم شرکت‌های همکار را ندارد. بنابراین تعامل کاربران با سایر شرکت‌ها، یک خطر امنیتی جدی برای سازمان‌ها محسوب می‌شود.

بیشتر بخوانید

 

اقدامات قابل انجام برای حذف خلأ امنیت ایمیل

  1. راهکارهای امنیت ایمیل را پیش از انتخاب و پیاده‌سازی ارزیابی کنید و براساس یک مدل اثبات مفهوم، نرخ تشخیص آن را نسبت به راهکارهای امنیت ایمیل موجود مقایسه کنید.
  2. از یک راهکار امنیت ایمیل منعطف که امکان به‌روزرسانی منظم قوانین و منطق آن برای شناسایی تهدیدات جدید و فزاینده وجود داشته باشد و از سناریوهای پیشرفته پشتیبانی کند استفاده کنید.
  3. ارتباط بین تیم فناوری اطلاعات یا تیم مرکز عملیاتی با ارایه‌دهندگان راهکارهای امنیت ایمیل و کاربران نهایی را به کمک یک تیم واکنش به حادثه حرفه‌ای، ارتقا دهید. کلید موفقیت، تحقق نرخ تشخیص بالا نزدیک به صددرصد است.
  4. پروتکل‌های DMARC، SPF و DKIM را پیاده‌سازی کرده و از یک راهکار امنیت ایمیل با قابلیت اعتبارسنجی این پروتکل‌ها استفاده کنید. یک ارزیابی ریسک در فرایند انتخاب ارایه‌دهندگان راهکارها داشته باشید و حتماً تدابیر لازم در راهکار امنیت ایمیل خودتان برای حفاظت در برابر شرکت‌های همکار پرخطرتر را در نظر بگیرید.

 

نگاهی به آینده

حفاظت از امنیت ایمیل نسبت به سایر کانال‌ها سخت‌تر است اما با توجه به ارسال روزانه بیش از 300 میلیارد ایمیل در سطح جهان، باید جامعه جهانی امنیت ایمیل را ارتقا دهیم. با تلاش‌های مشترک و پیوسته می‌توانیم خلأهای امنیتی در حوزه ایمن‌سازی ایمیل را برطرف کنیم و آینده‌ای ایمن برای سازمان‌ها در همه صنایع رقم بزنیم.

 

منبع: securitymagazine

 

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *

11 − 4 =