کمیته رکن چهارم – اگرچه تعداد مسیرها و روشهای اجرای حملات سایبری رو به افزایش است ولی فریب کاربران از طریق ارسال ایمیلهای فیشینگ و لینکهای جعلی برای اجرای حملات هدفمند و فرصتطلبانه همچنان از محبوبیت بسیار زیادی در بین هکرها برخوردار میباشد. از طرفی دیگر فناوریهای امنیت ایمیل عمومی، قدرت و کارایی لازم برای مقابله با حملات سایبری پیچیده امروزی را ندارند. بنابراین بسیاری از سازمانها به شدت در معرض حملات سایبری هستند و تا پیش از وقوع یک نفوذ امنیتی هیچگونه اطلاعی درباره عدم ناکارآمدی راهکارهای حفاظتیشان ندارند.
کاهش نرخ تشخیص ایمیلهای مخرب و تأثیر تشخیصهای مثبت کاذب بر فرایندهای کاری
امروزه راهکارهای امنیت ایمیل آنگونه که انتظار میرود قابلیت حفاظت از سازمانها در برابر انواع تهدیدات پیشرفته (از جمله حملات فیشینگ هدفمند) را ندارند زیرا هکرها در حملاتشان از انواع راهکارهای پیچیده و پیشگیری از تشخیص، جعل، تصاحب حساب کاربری، آسیبپذیری روز صفر و غیره استفاده میکنند.
افزایش پیچیدگی تهدیدات سایبری همزمان با تداوم استفاده از فناوریهای قدیمی تشخیص مثل محیطهای سندباکس سنتی منجر به کاهش حدود ۷۰ درصد نرخ تشخیص شده است. در نتیجه تهدیدات امنیتی به راحتی سازوکارهای حفاظتی را دور زده و به سیستمهای سازمانها نفوذ میکنند.
امروزه، سازمانها پذیرفتهاند که ممکن است ملزم به پرداخت باج به مهاجمان شوند اما این مسئله نباید به یک امر عادی و متداول تبدیل گردد. در صورت تداوم باجگیری و عدم مقابله با مجرمان سایبری، واضح است که مبالغ درخواستی آنها افزایش مییابد. در حال حاضر مبلغ باج برای حملات باجافزاری به میلیونها دلار و برای کلاهبرداریهای بیتکوینی به صدها هزار دلار هم میرسد.
از طرفی ممکن است یک راهکار امنیت ایمیل ناکارآمد ایمیلهای سالم و بی خطر را هم به عنوان موارد مخرب شناسایی کند. این اقدام اشتباه، تأثیرات بسیار مخرب و منفی بر عملکرد سازمانها خواهد داشت. برای مثال ایمیلهای مهم مسدود شده و به مقصد مدنظر نخواهند رسید. از طرفی دیگر در صورت تکرار چنین اشتباهاتی، به مرور زمان کاربران توجه چندانی به هشدارهای سیستم امنیت ایمیل نداشته و آنها را نادیده خواهند گرفت. در نتیجه سازمانها در معرض مخاطرات جدیتری قرار میگیرند.
در ادامه یکسری نکات و چالشهای مربوط به ایمنسازی سیستمهای ایمیل سازمانی را مورد بررسی قرار میدهیم.
-
تأثیر خلأهای فناوری بر نرخ تشخیص
بسیاری از سیستمهای امنیت ایمیلی مجهز به فناوریهای لازم برای تشخیص تهدیدات پیشرفتهای که همواره پیچیدهتر میشوند، نیستند.
-
مخفی شدن بدافزارها در بستههای نرمافزاری
مهاجمان در این روش بدافزارها را در نرمافزارها تعبیه میکنند. در چنین حالتی معمولاً امکان شناسایی بدافزارها توسط ابزارهای تشخیص و تحلیل امکانپذیر نیست.
-
عدم کارایی راهکارهای تشخیص مبتنی بر امضا
راهکارهای امنیتی معمولاً شامل استفاده از آنتیویروسها برای شناسایی بدافزارها هستند. این راهکارها از پایگاه داده حاوی کدهای مخرب (موسوم به امضاهای بدافزاری) برای تشخیص و شناسایی بدافزارها استفاده میکنند. مجرمان سایبری به راحتی و با تغییر کدهای شناخته شده در بدافزارهای خودشان این راهکارها را دور میزنند. در صورتی که پایگاههای داده این آنتیویروسها شامل کدهای جدید و کمیاب نباشند، قابلیت تشخیص بدافزارها را نخواهند داشت.
-
عدم کارایی محیطهای سندباکس
یکسری از بدافزارها بهگونهای تنظیم میشوند که پیش از اجرای فرمانها باید در حالت استراحت و سکون قرار بگیرند یا اینکه جهت اجرا به خط فرمان نیاز دارند. در محیطهای سندباکس معمولاً گزینهای برای خط فرمان در نظر گرفته نشده است. همچنین این محیطها قابلیت انتظار طولانی مدت برای اجرای بدافزارها را ندارند. بنابراین تشخیص همه بدافزارها در محیطهای مجازی امکانپذیر نیست.
-
محدودیت چابکی سیستم، عاملی برای کاهش قدرت شناسایی تهدیدات جدید و پیشرفته
عدم انعطافپذیری و چابکی در یادگیری انواع جدید بدافزارها، تنظیم رویکردها و اصلاح الگوریتمهای تشخیص تهدید براساس پیشرفت حملات سایبری از جمله دلایل کاهش نرخ تشخیص تهدیدات سایبری هستند.
تهدیدات سایبری با سرعت چشمگیری در حال تغییر و تحول میباشند. بنابراین ممکن است راهکارهای امنیت ایمیلی امروزی کارایی لازم را در آینده برای شناسایی و خنثیسازی حملات سایبری نداشته باشند. رویکردهای امنیتی که از فناوری انعطافپذیر برخوردار هستند امکان شناسایی تهدیدات سایبری را در همه زمانها خواهند داشت. چنین راهکارهایی قابلیت انطباق با قوانین و سیاستهای امنیتی جدید که توسط تیمهای مرکز عملیات امنیتی، مدیران بخش فناوری اطلاعات یا فروشندگان راهکارها ارایه میشوند را دارند.
بعضی از محققین امنیتی از یادگیری ماشینی به عنوان راهکاری برای مقابله با ایمیلهای مخرب یاد میکنند. در حالی که بنابر نتایج تحقیقات صورت گرفته ابزارهای پیشرفته شناسایی و واکنش سریع حرفهای به حوادث و همچنین تنظیمات اولیه سیستم امنیت ایمیل بر اساس سیاستها و قوانین، به دستیابی به بالاترین نرخ تشخیص و کمترین نرخ تشخیص مثبت کاذب کمک میکند.
مهاجمان با استفاده از ابزارهای طراحی وبسایت مثل Weebly یا Wix و الگوهایی رایگان، سریع و ساده وبسایتهای جعلی را که دارای صفحه ورود جعلی نیز هستند طراحی میکنند. آنها معمولاً از این وبسایتها برای سرقت اطلاعاتی مثل نام کاربری، کلمه عبور و اطلاعات پرداخت کاربران استفاده میکنند. همچنین ممکن است مهاجمان از این وبسایتها (که مشابه وبسایتهایی مثل WeTransfer هستند) برای توزیع فایلهای مخرب استفاده کنند. کاربران نیز محتوای آلوده مستقر در این وبسایتها را دانلود و نصب نموده و به این ترتیب امکان دسترسی مهاجمان به شبکهها و سیستمهایشان را فراهم میکنند.
بنابراین تیمهای امنیتی سازمانها باید دانش لازم برای تشخیص مهاجمانی که راهکارهای امنیتی را دور میزنند داشته و در کوتاهترین زمان ممکن سیاستهای جدید را وضع کنند. سیستمهای امنیت ایمیل هم باید قابلیت شناسایی با استفاده از رویکردهایی مثل تشخیص تصویر و همچنین بررسی و پیگیری لینکهای فعال در وبسایت را داشته باشند. توانایی اضافه کردن منطق جدید، تنظیم قابلیتهای تشخیص تصویر و اضافه کردن لینک وبسایتهای فیشینگ جدید به سازوکارهای تشخیص، امکان تفسیر کارزارهای حملات جدید را فراهم نموده و مانع از وقوعشان میشود.
سیستمها و راهکارهای امنیتی انعطافپذیر که دارای تنظیمات پیچیده نیستند به راحتی الگوهای حمله جدید را شناسایی میکنند. برای مثال در صورت ارسال ایمیلهای جعلی از سوی فرستندگان جدید، امکان اضافه نمودن سیاستها و قوانین جدید و همچنین آدرس ایمیل این فرستندگان در این راهکارها وجود دارد.
منبع: فراست