به گزارش جام جم آنلاین از ماهر، امروزه پستهای الکترونیکی (ایمیل) زیادی در بین کاربران اینترنت ردوبدل میشود. این پستهای الکترونیکی میتوانند حاوی فایلهای پیوست نیز باشند. از آنجا که تعداد پستهای الکترونیکی زیاد است، توجه بدخواهان اینترنتی را به خود جلب کردهاند.
متخصصان حوزه امنیت با انجام تحقیقاتی، تعداد زیادی پستهای الکترونیکی حاوی فایلهای پیوست و یا لینکهای مخرب جاسازی شده را شناسایی کرده اند که در اغلب موارد هدفمند و برعلیه سازمانها بودهاند.
این گزارش توسط سازمان ASD و به منظور فراهم کردن راهکاری برای کاهش خطرهای امنیتی که توسط پستهای الکترونیکی مخرب ایجاد شدهاند، گردآوری شده است.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (مرکز ماهر) با انتشار این گزارش اعلام کرد: در این گزارش تعدادی راهکار برای کاهش چنین خطراتی ارائه شده است. قابل توجه است که هر راهکار ارائهشده در این گزارش، لزوما برای تمامی سازمانها مناسب نیست و سازمانها باید با در نظر گرفتن نیازمندیهای کاری و محیط ریسک خود، راهحل کاهشی مناسبی را برای خود انتخاب کنند.
فیلتر کردن پیوستها
پیوستها در پستهای الکترونیکی یکی از ریسکهای امنیتی قابل توجهاند. فیلتر کردن پیوستها، احتمال دریافت محتویات مخرب بر روی سیستم کاربر را تا حد خوبی کاهش میدهد. راهکارهای کاهش در مورد پیوستهای مخرب شامل اثربخشی امنیتی عالی و نیز تبدیل قالب پیوستها می شود که تاثیری زیادی روی امنیت دارند.
تبدیل قالب پیوستها به قالبی دیگر تاثیر بهسزایی در حذف محتویات مخرب دارد. برای نمونه یکی از این تبدیلات، تبدیل فایلهای آفیس مایکروسافت به قالب پیدیاف است.
لیست سفید پیوستها براساس نوع فایل
در این لیست برای تعیین نوع فایل، به جای در نظر گرفتن پسوند فایل، محتویات فایل بررسی میشود. انواعی از فایل که اهداف کسبوکار مجاز و مشخصات خطر قابل قبولی برای سازمان دارند، میتوانند در لیست سفید قرار گیرند. توصیه به لیست سفید بیشتر از لیست سیاه است، زیرا در این لیست همه انواع قابل قبول که میتوانند از طریق پست الکترونیکی دریافت شوند، مشخص میشوند.
در صورتی که نوع فایل تشخیص داده شده براساس محتویات آن، با پسوند آن مغایرت داشته باشد، این مورد به عنوان یک مورد مشکوک باید مورد توجه قرار گیرد.
مسدود کردن پیوستهای غیرقابل شناسایی و یا رمزگذاریشده
پیوستهای غیرقابل شناسایی و یا رمزگذاریشده قابل اعتماد نیستند چون که محتویات پست الکترونیکی نمیتوانند رمزگشایی و بررسی شوند. هر پیوست رمزنگاریشده تا زمانی که بیخطر تلقی نشده است، باید مسدود شود.
انجام تحلیل پویای خودکار برای پیوستها با اجرای آنها در یک جعبه شنی
تحلیل پویا، قابلیت شناسایی ویژگیهای رفتاری را دارد. بنابراین انجام یک تحلیل پویای خودکار در یک جعبه شنی میتواند رفتارهای مشکوک در ترافیک شبکه، فایلهای جدید یا تغییریافته و یا تغییرات در رجیستری ویندوز را شناسایی کند.
حذف پیوستهایی با محتویات فعال یا به طور بالقوه خطرناک
محتویات فعال مانند ماکروها در فایلهای آفیس مایکروسافت و جاوا اسکریپتها باید قبل از تحویل پیوستها به کاربر، از پستهای الکترونیکی حذف شوند. ابزارهای حذف محتویات فایل باید پیوستها را برای پیدا کردن محتویات فعال نامطلوب براساس کلمات کلیدی یا به صورت اکتشافی بررسی و با بازنویسی آنها اثر نامطلوبشان را خنثی کنند. هر چند که عملیات بررسی و حذف محتویات فعال در پیوستها، پردازشی دشوار است.
کنترل یا غیرفعال کردن ماکروها در فایلهای آفیس مایکروسافت
استفاده از ماکروها در فایلهای آفیس مایکروسافت به شدت افزایش یافته است. از اینرو بهتر است سازمانها برنامههای خود را برای غیرفعال کردن همه ماکروها به صورت پیشفرض پیکربندی کنند و فقط ماکروهای قابل اعتماد که معمولا توسط افراد با سطح دسترسی بالا نوشته میشوند را بررسی کنند.
باید توجه داشت که یک فایل مخرب میتواند در کنار فایلهای مجاز دیگر تشکیل یک فایل آرشیو داده و برای مقصدی ارسال شود. برای تشخیص این فایل مخرب، گیرنده باید فایلهای آرشیو را از حالت فشرده خارج کرده و تمامی فایلهای درون آن را از نظر مخرب و یا مجاز بودن بررسی کند.
بررسی فایلهای آرشیو باید به صورت کنترلشده انجام شود تا بررسیکننده دچار پیمایشهای تو در تو یا حالت منع سرویس نشود. برای نمونه بررسی محتویات پست الکترونیکی که حاوی یک فایل متنی یک گیگابایتی آرشیو شده است و این فایل فقط از فضای خالی تشکیل شده است، منابع پردازشی قابل توجهی را اشغال میکند.
نمونه دیگر، فایلهای آرشیو تو در تو هستند. اگر فایل آرشیوی از ۱۶ فایل آرشیو دیگر تشکیل شده باشد و همچنین هر کدام از فایلهای آرشیو جدید نیز از ۱۶ فایل آرشیو دیگر تشکیل شده باشند و این کار تا ۶ سطح ادامه داشته باشد، بررسیکننده محتویات پست الکترونیکی باید در حدود یک میلیون فایل را بررسی کند. در این مواقع تنظیم کردن زمان منقضی شدن برای پردازنده، حافظه و دیسک باعث میشود تا اگر کاری بیشتر از زمان تعیینشده ادامه پیدا کرد، آن کار لغو شده و منابع به سیستم بازگردند.
از حالت فشرده درآوردن فایلها از انتهای فایل آرشیو شروع شده و تا زمانی که همه فایلها ایجاد شوند، ادامه پیدا میکند. یک فایل آرشیو مخرب میتواند بهراحتی به انتهای یک فایل عکس مجاز اضافه شود و در سمت گیرنده با اسکن فایل مجاز عکس، دریافت شود بنابراین نیاز است تمامی پیوستها از حالت فشرده خارج شده و فایلهای ایجاد شده از آنها با دقت بررسی شود.
سید رضا صدرالحسینی در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد
در گفتگو با جام جم آنلاین مطرح شد
سید رضا صدرالحسینی در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد