بزرگنمايي:

چه خبر - سازمانها هدف حمله

امروزه پست‌هاي الکترونيکي (ايميل) زيادي در بين کاربران اينترنت ردوبدل مي‌شود. اين پست‌هاي الکترونيکي مي‌توانند حاوي فايل‌هاي پيوست نيز باشند. از آن‌جا که تعداد پست‌هاي الکترونيکي زياد است، توجه بدخواهان اينترنتي را به خود جلب کرده‌اند.

متخصصان حوزه امنيت با انجام تحقيقاتي، تعداد زيادي پست‌هاي الکترونيکي حاوي فايل‌هاي پيوست و يا لينک‌هاي مخرب جاسازي شده را شناسايي کرده اند که در اغلب موارد هدفمند و برعليه سازمان‌ها بوده‌اند.

اين گزارش توسط سازمان ASD و به منظور فراهم کردن راهکاري براي کاهش خطرهاي امنيتي که توسط پست‌هاي الکترونيکي مخرب ايجاد شده‌اند، گردآوري شده است.

مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي (مرکز ماهر) با انتشار اين گزارش اعلام کرد: در اين گزارش تعدادي راهکار براي کاهش چنين خطراتي ارائه شده است. قابل توجه است که هر راهکار ارائه‌شده در اين گزارش، لزوما براي تمامي سازمان‌ها مناسب نيست و سازمان‌ها بايد با در نظر گرفتن نيازمندي‌هاي کاري و محيط ريسک خود، راه‌حل کاهشي مناسبي را براي خود انتخاب کنند.

فيلتر کردن پيوست‌ها

پيوست‌ها در پست‌هاي الکترونيکي يکي از ريسک‌هاي امنيتي قابل توجه‌اند. فيلتر کردن پيوست‌ها، احتمال دريافت محتويات مخرب بر روي سيستم کاربر را تا حد خوبي کاهش مي‌دهد. راهکارهاي کاهش در مورد پيوست‌هاي مخرب شامل اثربخشي امنيتي عالي و نيز تبديل قالب پيوستها مي شود که تاثيري زيادي روي امنيت دارند.

تبديل قالب پيوست‌ها به قالبي ديگر تاثير به‌سزايي در حذف محتويات مخرب دارد. براي نمونه يکي از اين تبديلات، تبديل فايل‌هاي آفيس مايکروسافت به قالب پي‌دي‌اف است.

ليست سفيد پيوست‌ها براساس نوع فايل

در اين ليست براي تعيين نوع فايل، به جاي در نظر گرفتن پسوند فايل، محتويات فايل بررسي مي‌شود. انواعي از فايل که اهداف کسب‌وکار مجاز و مشخصات خطر قابل قبولي براي سازمان دارند، مي‌توانند در ليست سفيد قرار گيرند. توصيه به ليست سفيد بيشتر از ليست سياه است، زيرا در اين ليست همه‌ انواع قابل قبول که مي‌توانند از طريق پست الکترونيکي دريافت شوند، مشخص مي‌شوند.

در صورتي که نوع فايل تشخيص داده شده براساس محتويات آن، با پسوند آن مغايرت داشته باشد، اين مورد به عنوان يک مورد مشکوک بايد مورد توجه قرار گيرد.

مسدود کردن پيوست‌هاي غيرقابل شناسايي و يا رمزگذاري‌شده

پيوست‌هاي غيرقابل شناسايي و يا رمزگذاري‌شده قابل اعتماد نيستند چون که محتويات پست الکترونيکي نمي‌توانند رمزگشايي و بررسي شوند. هر پيوست رمزنگاري‌شده تا زماني که بي‌خطر تلقي نشده است، بايد مسدود شود.

انجام تحليل پوياي خودکار براي پيوست‌ها با اجراي آن‌ها در يک جعبه‌ شني

تحليل پويا، قابليت شناسايي ويژگي‌هاي رفتاري را دارد. بنابراين انجام يک تحليل پوياي خودکار در يک جعبه‌ شني مي‌تواند رفتارهاي مشکوک در ترافيک شبکه، فايل‌هاي جديد يا تغييريافته و يا تغييرات در رجيستري ويندوز را شناسايي کند.

حذف پيوست‌هايي با محتويات فعال يا به طور بالقوه خطرناک

محتويات فعال مانند ماکروها در فايل‌هاي آفيس مايکروسافت و جاوا اسکريپت‌ها بايد قبل از تحويل پيوست‌ها به کاربر، از پست‌هاي الکترونيکي حذف شوند. ابزارهاي حذف محتويات فايل بايد پيوست‌ها را براي پيدا کردن محتويات فعال نامطلوب براساس کلمات کليدي يا به صورت اکتشافي بررسي و با بازنويسي آن‌ها اثر نامطلوبشان را خنثي کنند. هر چند که عمليات بررسي و حذف محتويات فعال در پيوست‌ها، پردازشي دشوار است.

کنترل يا غيرفعال کردن ماکروها در فايل‌هاي آفيس مايکروسافت

استفاده از ماکروها در فايل‌هاي آفيس مايکروسافت به شدت افزايش يافته است. از اين‌رو بهتر است سازمان‌ها برنامه‌هاي خود را براي غيرفعال کردن همه‌ ماکروها به صورت پيش‌فرض پيکربندي کنند و فقط ماکروهاي قابل اعتماد که معمولا توسط افراد با سطح دسترسي بالا نوشته مي‌شوند را بررسي کنند.

بايد توجه داشت که يک فايل مخرب مي‌تواند در کنار فايل‌هاي مجاز ديگر تشکيل يک فايل آرشيو داده و براي مقصدي ارسال شود. براي تشخيص اين فايل مخرب، گيرنده بايد فايل‌هاي آرشيو را از حالت فشرده خارج کرده و تمامي فايل‌هاي درون آن را از نظر مخرب و يا مجاز بودن بررسي کند.

بررسي فايل‌هاي آرشيو بايد به صورت کنترل‌شده انجام شود تا بررسي‌کننده دچار پيمايش‌هاي تو در تو يا حالت منع سرويس نشود. براي نمونه بررسي محتويات پست الکترونيکي که حاوي يک فايل متني يک گيگابايتي آرشيو شده است و اين فايل فقط از فضاي خالي تشکيل شده است، منابع پردازشي قابل توجهي را اشغال مي‌کند.

نمونه‌ ديگر، فايل‌هاي آرشيو تو در تو هستند. اگر فايل آرشيوي از 16 فايل آرشيو ديگر تشکيل شده باشد و هم‌چنين هر کدام از فايل‌هاي آرشيو جديد نيز از 16 فايل آرشيو ديگر تشکيل شده باشند و اين کار تا 6 سطح ادامه داشته باشد، بررسي‌کننده‌ محتويات پست الکترونيکي بايد در حدود يک ميليون فايل را بررسي کند. در اين مواقع تنظيم کردن زمان منقضي شدن براي پردازنده، حافظه و ديسک باعث مي‌شود تا اگر کاري بيشتر از زمان تعيين‌شده ادامه پيدا کرد، آن کار لغو شده و منابع به سيستم بازگردند.

از حالت فشرده درآوردن فايل‌ها از انتهاي فايل آرشيو شروع شده و تا زماني که همه‌ فايل‌ها ايجاد شوند، ادامه پيدا مي‌کند. يک فايل آرشيو مخرب مي‌تواند به‌راحتي به انتهاي يک فايل عکس مجاز اضافه شود و در سمت گيرنده با اسکن فايل مجاز عکس، دريافت شود. بنابراين نياز است تمامي پيوست‌ها از حالت فشرده خارج شده و فايل‌هاي ايجاد شده از آن‌ها با دقت بررسي شود.

منبع : مهر