چرا بسیاری از حملات سایبری از طریق ایمیل اجرا می‌شوند؟

کمیته رکن چهارم – اگرچه تعداد مسیرها و روش‌های اجرای حملات سایبری رو به افزایش است ولی فریب کاربران از طریق ارسال ایمیل‌های فیشینگ و لینک‌های جعلی برای اجرای حملات هدفمند و فرصت‌طلبانه همچنان از محبوبیت بسیار زیادی در بین هکرها برخوردار می‌باشد. از طرفی دیگر فناوری‌های امنیت ایمیل عمومی، قدرت و کارایی لازم برای مقابله با حملات سایبری پیچیده امروزی را ندارند. بنابراین بسیاری از سازمان‌ها به شدت در معرض حملات سایبری هستند و تا پیش از وقوع یک نفوذ امنیتی هیچ‌گونه اطلاعی درباره عدم ناکارآمدی راهکارهای‌ حفاظتی‌شان ندارند.

کاهش نرخ تشخیص ایمیل‌های مخرب و تأثیر تشخیص‌های مثبت کاذب بر فرایندهای کاری

امروزه راهکارهای امنیت ایمیل آنگونه که انتظار می‌رود قابلیت حفاظت از سازمان‌ها در برابر انواع تهدیدات پیشرفته (از جمله حملات فیشینگ هدفمند) را ندارند زیرا هکرها در حملات‌شان از انواع راهکارهای پیچیده و پیشگیری از تشخیص، جعل، تصاحب حساب کاربری، آسیب‌پذیری روز صفر و غیره استفاده می‌کنند.

افزایش پیچیدگی تهدیدات سایبری همزمان با تداوم استفاده از فناوری‌های قدیمی تشخیص مثل محیط‌های سندباکس سنتی منجر به کاهش حدود ۷۰ درصد نرخ تشخیص شده است. در نتیجه تهدیدات امنیتی به راحتی سازوکارهای حفاظتی را دور زده و به سیستم‌های سازمان‌ها نفوذ می‌کنند.

امروزه، سازمان‌ها پذیرفته‌اند که ممکن است ملزم به پرداخت باج به مهاجمان شوند اما این مسئله نباید به یک امر عادی و متداول تبدیل گردد. در صورت تداوم باج‌گیری و عدم مقابله با مجرمان سایبری، واضح است که مبالغ درخواستی آنها افزایش می‌یابد. در حال حاضر مبلغ باج برای حملات باج‌افزاری به میلیون‌ها دلار و برای کلاهبرداری‌های بیت‌کوینی به صدها هزار دلار هم می‌رسد.

از طرفی ممکن است یک راهکار امنیت ایمیل ناکارآمد ایمیل‌های سالم و بی خطر را هم به عنوان موارد مخرب شناسایی کند. این اقدام اشتباه، تأثیرات بسیار مخرب و منفی بر عملکرد سازمان‌ها خواهد داشت. برای مثال ایمیل‌های مهم مسدود شده و به مقصد مدنظر نخواهند رسید. از طرفی دیگر در صورت تکرار چنین اشتباهاتی، به مرور زمان کاربران توجه چندانی به هشدارهای سیستم امنیت ایمیل نداشته و آنها را نادیده خواهند گرفت. در نتیجه سازمان‌ها در معرض مخاطرات جدی‌تری قرار می‌گیرند.

در ادامه یکسری نکات و چالش‌های مربوط به ایمن‌سازی سیستم‌های ایمیل سازمانی را مورد بررسی قرار می‌دهیم.

  • تأثیر خلأهای فناوری بر نرخ تشخیص

بسیاری از سیستم‌های امنیت ایمیلی مجهز به فناوری‌های لازم برای تشخیص تهدیدات پیشرفته‌ای که همواره پیچیده‌تر می‌شوند، نیستند.

  • مخفی شدن بدافزارها در بسته‌های نرم‌افزاری

مهاجمان در این روش بدافزارها را در نرم‌افزارها تعبیه می‌کنند. در چنین حالتی معمولاً امکان شناسایی بدافزارها توسط ابزارهای تشخیص و تحلیل امکان‌پذیر نیست.

  • عدم کارایی راهکارهای تشخیص مبتنی بر امضا

راهکارهای امنیتی معمولاً شامل استفاده از آنتی‌ویروس‌ها برای شناسایی بدافزارها هستند. این راهکارها از پایگاه داده حاوی کدهای مخرب (موسوم به امضاهای بدافزاری) برای تشخیص و شناسایی بدافزارها استفاده می‌کنند. مجرمان سایبری به راحتی و با تغییر کدهای شناخته شده در بدافزارهای خودشان این راهکارها را دور می‌زنند. در صورتی که پایگاه‌های داده این آنتی‌ویروس‌ها شامل کدهای جدید و کمیاب نباشند، قابلیت تشخیص بدافزارها را نخواهند داشت.

  • عدم کارایی محیط‌های سندباکس

یکسری از بدافزارها به‌گونه‌ای تنظیم می‌شوند که پیش از اجرای فرمان‌ها باید در حالت استراحت و سکون قرار بگیرند یا اینکه جهت اجرا به خط فرمان نیاز دارند. در محیط‌های سندباکس معمولاً گزینه‌ای برای خط فرمان در نظر گرفته نشده است. همچنین این محیط‌ها قابلیت انتظار طولانی مدت برای اجرای بدافزارها را ندارند. بنابراین تشخیص همه بدافزارها در محیط‌های مجازی امکان‌پذیر نیست.

  • محدودیت چابکی سیستم، عاملی برای کاهش قدرت شناسایی تهدیدات جدید و پیشرفته

عدم انعطاف‌پذیری و چابکی در یادگیری انواع جدید بدافزارها، تنظیم رویکردها و اصلاح الگوریتم‌های تشخیص تهدید براساس پیشرفت حملات سایبری از جمله دلایل کاهش نرخ تشخیص تهدیدات سایبری هستند.

تهدیدات سایبری با سرعت چشمگیری در حال تغییر و تحول می‌باشند. بنابراین ممکن است راهکارهای امنیت ایمیلی امروزی کارایی لازم را در آینده برای شناسایی و خنثی‌سازی حملات سایبری نداشته باشند. رویکردهای امنیتی که از فناوری انعطاف‌پذیر برخوردار هستند امکان شناسایی تهدیدات سایبری را در همه زمان‌ها خواهند داشت. چنین راهکارهایی قابلیت انطباق با قوانین و سیاست‌های امنیتی جدید که توسط تیم‌های مرکز عملیات امنیتی، مدیران بخش فناوری اطلاعات یا فروشندگان راهکارها ارایه می‌شوند را دارند.

بعضی از محققین امنیتی از یادگیری ماشینی به عنوان راهکاری برای مقابله با ایمیل‌های مخرب یاد می‌کنند. در حالی که بنابر نتایج تحقیقات صورت گرفته ابزارهای پیشرفته شناسایی و واکنش سریع حرفه‌ای به حوادث و همچنین تنظیمات اولیه سیستم امنیت ایمیل بر اساس سیاست‌ها و قوانین، به دستیابی به بالاترین نرخ تشخیص و کمترین نرخ تشخیص مثبت کاذب کمک می‌کند.

مهاجمان با استفاده از ابزارهای طراحی وب‌سایت مثل Weebly یا Wix  و الگوهایی رایگان، سریع و ساده وب‌سایت‌های جعلی را که دارای صفحه ورود جعلی نیز هستند طراحی میکنند. آنها معمولاً از این وبسایت‌ها برای سرقت اطلاعاتی مثل نام کاربری، کلمه عبور و اطلاعات پرداخت کاربران استفاده می‌کنند. همچنین ممکن است مهاجمان از این وب‌سایت‌ها (که مشابه وب‌سایت‌هایی مثل WeTransfer هستند) برای توزیع فایل‌های مخرب استفاده ‌کنند. کاربران نیز محتوای آلوده‌ مستقر در این وب‌سایت‌ها را دانلود و نصب نموده و به این ترتیب امکان دسترسی مهاجمان به شبکه‌ها و سیستم‌های‌شان را فراهم می‌کنند.

بنابراین تیم‌های امنیتی سازمان‌ها باید دانش لازم برای تشخیص مهاجمانی که راهکارهای امنیتی را دور می‌زنند داشته و در کوتاه‌ترین زمان ممکن سیاست‌های جدید را وضع کنند. سیستم‌های امنیت ایمیل هم باید قابلیت شناسایی با استفاده از رویکردهایی مثل تشخیص تصویر و همچنین بررسی و پیگیری لینک‌های فعال در وب‌سایت را داشته باشند. توانایی اضافه کردن منطق جدید، تنظیم قابلیت‌های تشخیص تصویر و اضافه کردن لینک وب‌سایت‌های فیشینگ جدید به سازوکارهای تشخیص، امکان تفسیر کارزارهای حملات جدید را فراهم نموده و مانع از وقوع‌شان می‌شود.

سیستم‌ها و راهکارهای امنیتی انعطاف‌پذیر که دارای تنظیمات پیچیده نیستند به راحتی الگوهای حمله جدید را شناسایی می‌کنند. برای مثال در صورت ارسال ایمیل‌های جعلی از سوی فرستندگان جدید، امکان اضافه نمودن سیاست‌ها و قوانین جدید و همچنین آدرس ایمیل این فرستندگان در این راهکارها وجود دارد.

منبع: فراست

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.