بزرگنمايي:
چه خبر - سازمانها هدف حمله
امروزه پستهاي الکترونيکي (ايميل) زيادي در بين کاربران اينترنت ردوبدل ميشود. اين پستهاي الکترونيکي ميتوانند حاوي فايلهاي پيوست نيز باشند. از آنجا که تعداد پستهاي الکترونيکي زياد است، توجه بدخواهان اينترنتي را به خود جلب کردهاند.
متخصصان حوزه امنيت با انجام تحقيقاتي، تعداد زيادي پستهاي الکترونيکي حاوي فايلهاي پيوست و يا لينکهاي مخرب جاسازي شده را شناسايي کرده اند که در اغلب موارد هدفمند و برعليه سازمانها بودهاند.
اين گزارش توسط سازمان ASD و به منظور فراهم کردن راهکاري براي کاهش خطرهاي امنيتي که توسط پستهاي الکترونيکي مخرب ايجاد شدهاند، گردآوري شده است.
مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي (مرکز ماهر) با انتشار اين گزارش اعلام کرد: در اين گزارش تعدادي راهکار براي کاهش چنين خطراتي ارائه شده است. قابل توجه است که هر راهکار ارائهشده در اين گزارش، لزوما براي تمامي سازمانها مناسب نيست و سازمانها بايد با در نظر گرفتن نيازمنديهاي کاري و محيط ريسک خود، راهحل کاهشي مناسبي را براي خود انتخاب کنند.
فيلتر کردن پيوستها
پيوستها در پستهاي الکترونيکي يکي از ريسکهاي امنيتي قابل توجهاند. فيلتر کردن پيوستها، احتمال دريافت محتويات مخرب بر روي سيستم کاربر را تا حد خوبي کاهش ميدهد. راهکارهاي کاهش در مورد پيوستهاي مخرب شامل اثربخشي امنيتي عالي و نيز تبديل قالب پيوستها مي شود که تاثيري زيادي روي امنيت دارند.
تبديل قالب پيوستها به قالبي ديگر تاثير بهسزايي در حذف محتويات مخرب دارد. براي نمونه يکي از اين تبديلات، تبديل فايلهاي آفيس مايکروسافت به قالب پيدياف است.
ليست سفيد پيوستها براساس نوع فايل
در اين ليست براي تعيين نوع فايل، به جاي در نظر گرفتن پسوند فايل، محتويات فايل بررسي ميشود. انواعي از فايل که اهداف کسبوکار مجاز و مشخصات خطر قابل قبولي براي سازمان دارند، ميتوانند در ليست سفيد قرار گيرند. توصيه به ليست سفيد بيشتر از ليست سياه است، زيرا در اين ليست همه انواع قابل قبول که ميتوانند از طريق پست الکترونيکي دريافت شوند، مشخص ميشوند.
در صورتي که نوع فايل تشخيص داده شده براساس محتويات آن، با پسوند آن مغايرت داشته باشد، اين مورد به عنوان يک مورد مشکوک بايد مورد توجه قرار گيرد.
مسدود کردن پيوستهاي غيرقابل شناسايي و يا رمزگذاريشده
پيوستهاي غيرقابل شناسايي و يا رمزگذاريشده قابل اعتماد نيستند چون که محتويات پست الکترونيکي نميتوانند رمزگشايي و بررسي شوند. هر پيوست رمزنگاريشده تا زماني که بيخطر تلقي نشده است، بايد مسدود شود.
انجام تحليل پوياي خودکار براي پيوستها با اجراي آنها در يک جعبه شني
تحليل پويا، قابليت شناسايي ويژگيهاي رفتاري را دارد. بنابراين انجام يک تحليل پوياي خودکار در يک جعبه شني ميتواند رفتارهاي مشکوک در ترافيک شبکه، فايلهاي جديد يا تغييريافته و يا تغييرات در رجيستري ويندوز را شناسايي کند.
حذف پيوستهايي با محتويات فعال يا به طور بالقوه خطرناک
محتويات فعال مانند ماکروها در فايلهاي آفيس مايکروسافت و جاوا اسکريپتها بايد قبل از تحويل پيوستها به کاربر، از پستهاي الکترونيکي حذف شوند. ابزارهاي حذف محتويات فايل بايد پيوستها را براي پيدا کردن محتويات فعال نامطلوب براساس کلمات کليدي يا به صورت اکتشافي بررسي و با بازنويسي آنها اثر نامطلوبشان را خنثي کنند. هر چند که عمليات بررسي و حذف محتويات فعال در پيوستها، پردازشي دشوار است.
کنترل يا غيرفعال کردن ماکروها در فايلهاي آفيس مايکروسافت
استفاده از ماکروها در فايلهاي آفيس مايکروسافت به شدت افزايش يافته است. از اينرو بهتر است سازمانها برنامههاي خود را براي غيرفعال کردن همه ماکروها به صورت پيشفرض پيکربندي کنند و فقط ماکروهاي قابل اعتماد که معمولا توسط افراد با سطح دسترسي بالا نوشته ميشوند را بررسي کنند.
بايد توجه داشت که يک فايل مخرب ميتواند در کنار فايلهاي مجاز ديگر تشکيل يک فايل آرشيو داده و براي مقصدي ارسال شود. براي تشخيص اين فايل مخرب، گيرنده بايد فايلهاي آرشيو را از حالت فشرده خارج کرده و تمامي فايلهاي درون آن را از نظر مخرب و يا مجاز بودن بررسي کند.
بررسي فايلهاي آرشيو بايد به صورت کنترلشده انجام شود تا بررسيکننده دچار پيمايشهاي تو در تو يا حالت منع سرويس نشود. براي نمونه بررسي محتويات پست الکترونيکي که حاوي يک فايل متني يک گيگابايتي آرشيو شده است و اين فايل فقط از فضاي خالي تشکيل شده است، منابع پردازشي قابل توجهي را اشغال ميکند.
نمونه ديگر، فايلهاي آرشيو تو در تو هستند. اگر فايل آرشيوي از 16 فايل آرشيو ديگر تشکيل شده باشد و همچنين هر کدام از فايلهاي آرشيو جديد نيز از 16 فايل آرشيو ديگر تشکيل شده باشند و اين کار تا 6 سطح ادامه داشته باشد، بررسيکننده محتويات پست الکترونيکي بايد در حدود يک ميليون فايل را بررسي کند. در اين مواقع تنظيم کردن زمان منقضي شدن براي پردازنده، حافظه و ديسک باعث ميشود تا اگر کاري بيشتر از زمان تعيينشده ادامه پيدا کرد، آن کار لغو شده و منابع به سيستم بازگردند.
از حالت فشرده درآوردن فايلها از انتهاي فايل آرشيو شروع شده و تا زماني که همه فايلها ايجاد شوند، ادامه پيدا ميکند. يک فايل آرشيو مخرب ميتواند بهراحتي به انتهاي يک فايل عکس مجاز اضافه شود و در سمت گيرنده با اسکن فايل مجاز عکس، دريافت شود. بنابراين نياز است تمامي پيوستها از حالت فشرده خارج شده و فايلهاي ايجاد شده از آنها با دقت بررسي شود.
منبع : مهر