راهکار امنیت ایمیل سایبرنو؛ چالش‌ها و راهکار‌ها

چرا سازمان‌ها باید توجه‌ ویژه‌ای به امنیت ایمیل داشته باشند و چه راهکارهایی برای افزایش امنیت ایمیل‌‌های سازمانی وجود دارد؟ برای آشنایی با چالش‌ها و راهکارهای امنیت ایمیل، این مقاله را بخوانید.

بر اساس گزارش Verizon 2022، لینک‌ها و ضمیمه‌های ایمیل (پست الکترونیکی یا رایانامه)، یکی از رایج‌ترین روش‌های توزیع ویروس یا بدافزار هستند. اسناد آفیس حاوی بدافزار و اپلیکیشن‌های ویندوز نیز از مهم‌ترین انواع فایل‌های بدافزاری محسوب می‌شوند. در مورد نشت داده، حملات فیشینگ در صدر تهدیدات امنیتی قرار دارند.

از نقطه نظر مالی، حملات مهندسی اجتماعی انگیزشی، مثل حملات به ایمیل‌های سازمانی، به شدت در حال افزایش است. بر اساس گزارش FBI از جرایم اینترنتی در سال ۲۰۲۱، حملات به ایمیل‌های سازمانی، یک‌سوم از خسارات حملات سایبری در آن سال را که به ۲.۴ میلیارد دلار می‌رسد، به خودش اختصاص داده است. شناسایی این حملات می‌تواند بسیار دشوارتر از شناسایی بدافزارها باشد زیرا این حملات متکی به روش‌های زیرکانه‌تری مثل جعل کردن نام دامنه (Domain Name Spoofing) هستند.

یک سامانه امنیت ایمیل باید در عمل بدافزارهای مبتنی بر فایل، حملات روز صفر، URLهای فیشینگ و URLهای بدافزاری و نیز حملاتی که علیه ایمیل‌های سازمانی انجام می‌شوند را خنثی کند. همچنین، SPAM سخت‌گیرانه می‌تواند با به حداقل رساندن بر هم خوردن تمرکز پرسنل، امنیت سازمان شما را تقویت کند.

در این مستند، بهترین روش‌ها برای محافظت در مقابل ایمیل‌های حاوی محتواهای بدافزاری با حفظ امکان استفاده معمول از ایمیل برای ارتباطات سازمانی را به معرفی می‌کنیم. با مطالعه این سند، روش‌های اصلی حملات سایبری از طریق ایمیل را خواهید شناخت، با فناوری‌های نوظهور برای افزایش سطح حفاظت از ایمیل‌ها آشنا خواهید شد، چالش‌هایی که واحد IT سازمان شما، همه روزه با آن دست و پنجه نرم می‌کنند را بهتر خواهید شناخت و به شما می‌گوییم که سایبرنو چطور می‌تواند در حفظ امنیت سرور ایمیل به شما کمک کند. با ما همراه باشید.

چالش تهدیدات ایمیل

فناوری ایمیل در دهه ۱۹۷۰ اختراع شد و اولین حملات فیشینگ، در دهه ۱۹۹۰ به تهدیدی برای فضای سایبری تبدیل شدند. با این حال، حملات بر پایه ایمیل این روزها بیش از هر زمان دیگری انجام می‌شوند و بر اساس گزارش Verizon، حدود ۸۶ درصد از بدافزارها با ایمیل منتشر می‌شوند. افزایش تهدیدات ایمیل تا حدی به دلیل این موضوع است که موانع اندکی برای این نوع حملات، پیش روی هکرها قرار دارد. حساب‌های ایمیل رایگان و وجود لیست ایمیل‌های رایگان در سطح اینترنت، ساخت فهرست‌هایی طولانی از اهداف و ارسال ایمیل انبوه به آن‌ها را بسیار راحت کرده‌اند.

هکرها می‌توانند انگیزه‌های بسیار متنوعی، از مالی گرفته تا سیاسی، داشته باشند. اجرای بعضی از حملات سایبری نیازی به مهارت چندانی ندارد و حتی هکرهای دارای دانش فنی محدود نیز می‌توانند کیت‌های فیشینگ را از دارک وب خریداری کنند. در واقع، اجرای این نوع حملات هکری به ایمیل‌های سازمانی، ضرورتا نیازمند بدافزار نیست. با این حال، هکرهای بسیار حرفه‌ای و وابسته به دولت‌ها نیز از ایمیل برای حمله به اهداف از پیش تعیین‌شده استفاده می‌کنند که از این موارد می‌توان به حمله یک گروه هکری وابسته به دولت روسیه به نام Fancy Bear به «جان پدستا»، سیاست‌مدار آمریکایی اشاره کرد.

تهدیدات مبتنی بر فایل

هکرها برای انتشار بدافزارها از ایمیل، بیش از هر روش دیگری استفاده می‌کنند زیرا امکان ارسال بدافزارها به صورت فایل‌های ضمیمه در ایمیل‌ها وجود دارد. امکان آلوده کردن انواع مختلف فایل‌های کاربردی (مثل فایل‌های مایکروسافت آفیس، فایل‌های PDF، فایل‌های متنی، فایل‌های CSV، فایل‌های HTML و...) به بدافزارها برای اجرای حملات روز صفر، وجود دارد.

ماکروها و URLهای حاوی بدافزار را می‌توان حتی درون عکس‌ها یا اسکریپت‌های مخفی، جاگذاری کرد. در صورتی که این فایل‌ها باز شوند، بدافزارهای درون آن‌ها می‌توانند گذرواژه‌ها را به سرقت ببرند، تروجان‌ها یا باج‌افزارها را روی سیستم قربانی نصب کنند یا سبب دانلود بدافزارهای دیگر شوند. یکی از تاکتیک‌های رایج در بین هکرها، ارسال یک فایل PDF تحت عنوان فاکتور یا رسید ارسال است که کاربر را ترغیب می‌کند تا آن را باز کند.

تهدیدات URL

از URLهای حاوی بدافزار، به فراوانی در ایمیل‌های فیشینگ استفاده می‌شود. در صورتی که کاربر روی این لینک‌ها کلیک کند، یک بدافزار روی سیستم او دانلود می‌شود. همچنین، در حملات «تسخیر حساب کاربری» از ایمیل‌های فیشینگ نام کاربری و گذرواژه استفاده می‌شود که حاوی یک هایپرلینک یا یک صفحه ورود جعلی هستند که با هدف سرقت اطلاعات ورود کاربر مورد استفاده قرار می‌گیرند. نرخ کلیک روی لینک‌ها در حملات فیشینگ، کمتر از پنج درصد است اما با در نظر گرفتن حجم بسیار بالای این حملات، می‌بینید که چنین حملاتی می‌توانند قربانیان بسیار بالایی داشته باشند.

حملات هدفمند

اسپیر-فیشینگ (spear-phishing) و حمله به ایمیل‌های سازمانی (BEC) دو نوع از حملات هدفمند هستند. در اسپیر-فیشینگ می‌توان از عواملی مثل فایل‌ها و URLها، همراه با شخصی‌سازی دقیق‌تر برای تشویق کاربران هدف به باز کردن بدافزار، کلیک کردن روی لینک‌های بدافزاری یا وارد کردن اطلاعات ورود در یک صفحه ورود جعلی، استفاده کرد. در مقابل، در حملات BEC خبری از بدافزارها یا صفحات ورود جعلی نیست، بلکه در این نوع حملات، تیم‌های مالی با فاکتورهای قلابی و تراکنش‌های مالی جعلی، که معمولا برای ایجاد حس اضطراب، تحت نام مدیر کل یا مدیر بخش مالی ارسال می‌شوند، هدف قرار می‌گیرند.

تکنیک‌های مهندسی اجتماعی

معمولا، در حملات بر پایه ایمیل از جعل نام فرستنده (Display Name Spoofing)، جعل نام دامنه یا هایجک کردن نام دامنه، استفاده می‌شود. منظور از جعل نام فرستنده، تغییر نام در تنظیمات ایمیل به نام یک فرد معتمد برای فریب دادن کاربر است. در جعل نام دامنه، مهاجم یک نام دامنه را ثبت می‌کند که بسیار شبیه به دامنه‌ای مشروع و مورد اعتماد کاربر است اما یک یا چندین کاراکتر بیشتر یا کمتر دارد. در هایجک کردن نام دامنه، هکر بدون داشتن مجوز، از طرف یک دامنه مشروع، ایمیلی را برای قربانی ارسال می‌کند که با توجه به مورد اعتماد و مشروع بودن منبع، احتمال کلیک کردن کاربر روی محتوایات آن مثل لینک‌های بدافزاری، فایل‌های بدافزاری ضمیمه یا حتی انتقال پول به یک حساب بانکی ناشناس وجود دارد.

هرزنامه (SPAM)

ایمیل‌های SPAM، فضای inbox ایمیل را با پیام‌های بی‌ارزش پر می‌کنند. با استفاده از بعضی فیلترها، می‌توان جلوی دریافت هرزنامه‌ها را گرفت اما این فیلترها بدون خطا نیستند و امکان رخداد «مثبت‌های کاذب» و شناسایی بعضی از ایمیل‌های مشروع تحت عنوان SPAM وجود دارد که مانع از رسیدن این ایمیل‌ها به دست کاربر می‌شود.

انطباق با قوانین

در هر صنعت یا حوزه‌ای، مجموعه‌ای از قوانین برای تنظیم‌گیری وجود دارد. برای مثال، تقریبا در همه کشورها، قوانینی برای حفاظت از داده‌های شخصی مشتریان وجود دارد که کسب و کارهای الکترونیکی باید از آن‌ها تبعیت کنند. در حالی که بسیاری از شرکت‌ها از ایمیل برای تبادل داده‌های محرمانه استفاده می‌کنند، به دلیل ناامن بودن ایمیل، این کار اصلا توصیه نمی‌شود.

بهترین اقدامات برای امنیت ایمیل

امنیت ایمیل می‌تواند شامل رمزنگاری، امنیت شبکه و مدیریت ایمیل سرور باشد. این اقدامات روی حفاظت از کاربران نهایی و جلوگیری از آلوده شدن سیستم‌های نهایی به بدافزارها، متمرکز هستند. بسیاری از چهارچوب‌ها و قوانین امنیتی نیازمند «آموزش آگاهی امنیتی» هستند اما با کنترل‌های فنی نیز همراه باشند. اتخاذ رویکردی همه‌جانبه برای به حداقل رساندن آسیب‌های حملات مبتنی بر فایل و حملات مبتنی بر URL به ایمیل‌های سازمانی، ضروری است.

امنیت مبتنی بر ضمیمه

سازمان‌ها باید فرض را بر این بگیرند که همگی ضمیمه‌ها، بدافزار هستند زیرا هر کسی می‌تواند هر نوع فایلی را با ایمیل ارسال کند. استفاده از فایل‌های کاربردی متداول (مثل فایل‌های مایکروسافت آفیس، PDF و...) در این حملات، بسیار شایع است اما هیچ سازمانی نمی‌تواند این فایل‌ها را بلاک کند زیرا تبادل چنین فایل‌هایی برای بسیاری از کارهای سازمانی، ضرورت دارد.

اسکن فیلتر کردن محتواها، می‌تواند جلوی دریافت فایل‌های حاوی بدافزار را بگیرد اما این روش‌ها در مقابل حملات روز صفر، کارایی ندارند. قوی‌ترین رویکرد سازمانی برای حذف کردن محتواهای بدافزاری، غربا‌لسازی فایل‌ها و ایمیل‌های مشکوک است. برای این کار می‌توان از ابزار Sanitizer یا CDR سایبرنو استفاده کرد.
همچنین، سازمان‌های حساس‌تر می‌توانند از یک جعبه شن و شبیه‌سازی انواع ضمیمه‌ها، برای شناسایی فایل‌های مشکوک ناشناخته استفاده کنند. چنین تحلیل پویایی به متخصصان امنیتی این امکان را می‌دهد تا اطلاعات لازم برای پیشگیری از تهدیدات مشابه در آینده، به دست آوردند.

امنیت مبتنی بر URL

URLها نیز می‌توانند سازمان‌ها را با دو راهی دشواری مشابه با مشکل امنیت ضمیمه رو به رو کنند زیرا با اینکه می‌توان از URLها برای مخفی کردن بدافزارها استفاده کرد اما بلاک کردن آن‌ها نیز راه چاره نیست زیرا سازمان‌ها را با مشکل کاهش بازدهی عملکردی مواجه می‌سازد. بنابراین، راه حل‌های امنیت ایمیل باید بتوانند URLها را تحلیل و تعیین کنند که آیا دامنه موجود در URL، بدافزاری است یا خیر. URLهای مشکوک باید به صورت بلادرنگ بازرسی شوند تا از سلامت آن‌ها، اطمینان حاصل شود. در این فرایند می‌توان از یادگیری ماشین برای مدل‌سازی رفتار مشروع و شناسایی ناهنجاری‌ها استفاده کرد. این تکنیک، برای شناسایی هرزنامه‌ها نیز کاربرد دارد و به کاهش نرخ مثبت‌های کاذب، کمک می‌کند.

جلوگیری از نشت داده

تقریبا هر سازمانی باید از قوانین مرتبط با حوزه فعالیت خود، مثل قانون محافظت از داده‌های محرمانه مشتریان، پیروی کند. همواره ممکن است که عوامل خرابکار نفوذی و پرسنل بی‌تفاوت، اطلاعات محرمانه را با ایمیل ارسال کنند و بنابراین، سازمان‌ها باید کنترل‌هایی برای محافظت از اطلاعات داشته باشند و جلوی تخطی از قوانین را بگیرند.

حملات فیشینگ

سازمان‌ها باید از کاربران در مقابل هرزنامه و حملات فیشینگ محافظت کنند. بررسی تمامی ایمیل‌ها با استفاده از موتورهای ضدهرزنامه مبتنی بر هوش مصنوعی با نرخ شناسایی بالا و نرخ مثبت کاذب پایین، توصیه می‌شود. سازمان‌ها باید با خنثی‌سازی تمامی لینک‌های حاوی بدافزار، از کاربران در مقابل حملات فیشینگ محافظت و لینک‌های ناامن موجود در ایمیل‌های دریافتی را با لینک‌هایی که مشروع بودن آن‌ها به صورت بلادرنگ بررسی می‌شود، جایگزین کنند.

حملات روز صفر

سازمان‌ها باید از فناوری‌های CDR برای مقابله با حملات روز صفر و تهدیدات ناشناخته استفاده کنند. به کارگیری CDR با سرعت ۳۰ برابر سریع‌تر برای جایگزینی با فناوری‌های جعبه شن توصیه می‌شود. ضمیمه‌های ایمیل‌ها باید با حذف کردن تمامی تهدیدات احتمالی جاسازی‌شده در آن‌ها، پاکسازی شوند. پس از پاکسازی فایل‌ها ضمیمه از نظر وجود هرگونه محتوای بدافزاری احتمالی، این فایل‌ها باید بازسازی شوند تا یک فایل قابل استفاده به دست کاربر برسد. تمامی فایل‌های ضمیمه دارای رمز عبور نیز باید کدگشایی شوند و مراحل فوق روی آن‌ها انجام شود. یا اینکه ایمیل‌های حاوی فایل‌های ضمیمه دارای رمز عبور به کلی مسدود گردند.

پویشگر چندموتوره یا MultiScanner

تمامی ایمیل‌های دریافتی باید با یک پویشگر چند موتوره مثل «پویشگر چند موتوره سایبرنو» تا نرخ تشخیص بدافزار ۹۸ درصدی اسکن شوند و زمان تشخیص حمله به طور قابل توجهی کاهش پیدا کند. ایمیل‌ها باید با فناوری‌های مبتنی بر امضا و هوش مصنوعی مورد تحلیل قرار بگیرند. سازمان‌ها باید از چندین موتور ضدبدافزار برای افزایش قابل توجه شناسایی و پاکسازی سریع تهدیدات جدید، استفاده کنند.

انطباق با قوانین

سازمان‌ها نباید اجازه ورود و خروج اطلاعات حساس و محرمانه را بدهند و باید از فناوری Redaction استفاده کنند تا جلوی درز اطلاعات حساس را بگیرند. همچنین، سازمان‌ها باید از قوانین مربوط به حوزه فعالیت خود در رابطه با نشت اطلاعات، پیروی کنند.

امنیت ایمیل با سایبرنو

راه‌حل‌های سایبرنو برای افزایش امنیت ایمیل به شرح زیر هستند:

1. اسکن محتوای ایمیل و ضمیمه‌های آن جهت شناسایی بدافزار
2. کاهش خطر حملات روز صفر
3. بررسی اعتبار دامنه
4.  فناوری جعبه شن

سایبرنو تمامی تهدیدات امنیتی ایمیل را برطرف و نوعی فناوری پیشرفته پیشگیری از تهدید را ارائه می‌کند که زمان تشخیص آلودگی بدافزاری را به طور قابل توجهی، تا حتی نزدیک به صفر، کاهش می‌دهد. راه حل امنیت ایمیل سایبرنو، فایل‌های ضمیمه ایمیل را پیش از دریافت شدن، خنثی‌سازی می‌کند تا جلوی حملات روز صفر را بگیرد و همچنین، از بهترین موتورهای ضد فیشینگ و ضد هرزنامه برای پیشگیری از حملات هرزنامه و فیشینگ استفاده می‌کند.

نرخ شناسایی بسیار بالا بدافزارها با پویشگر چند موتوره سایبرنو

راه حل امنیت ایمیل سایبرنو شامل فناوری پیشرفته پیشگیری از تهدید و محافظت مقابل آلودگی‌های بدافزاری با منشاء ایمیل است. پویشگر چند موتوره سایبرنو هر ایمیل را با ۱۰ تا 30 موتور ضدبدافزار که مجهز به فناوری‌های یادگیری ماشین، امضاء و هیوریستیک هستند، پویش می‌کند که نتیجه آن، نرخ تشخیص ۹۸ درصدی است. اکثر دروازه‌های امن ایمیل، تنها یک موتور ضد بدافزار دارند و هر چقدر هم که امضاهای بدافزار در این موتورها بروز باشد، احتمال فرار بعضی از تهدیدات وجود دارد. در صورت استفاده از پویشگر چند موتوره سایبرنو، احتمال شناسایی و حذف سریع تهدیدات، به طور قابل توجهی افزایش پیدا می‌کند.

پاکسازی ضمیمه‌های مشکوک بر حسب فرمت جهت پیشگیری از حملات روز صفر

راه حل امنیت ایمیل سایبرنو، حملات روز صفر و محتواهای بدافزاری را که از شناسایی و جعبه شن فرار می‌کنند، خنثی می‌کند. همچنین، فناوری خلع سلاح عمیق و بازسازی محتوا (Deep CDR) بیش از 50 نوع مختلف فایل را از وجود هرگونه تهدیدات پاکسازی می‌کند و هر فایلی که احتمال آلودگی آن وجود داشته باشد به طور کامل پاک و قابل بازسازی می‌کند تا امنیت با حفظ بازدهی عملکردی، تأمین شود.

همچنین این سامانه قابلیت تعیین و مسدودسازی فایل‌های ضمیمه پست الکترونیکی بر حسب فرمت آن‌ها را نیز ارائه می‌دهد. لیست فرمت‌هایی که باید مسدود گردند، توسط مدیر سامانه قابل تغییر و شخصی‌سازی می‌باشد.

بررسی اعتبار دامنه‌های URL برای پیشگیری از حملات فیشینگ

فناوری امنیت ایمیل سایبرنو، ایمیل‌های دارای لینک‌های فیشینگ و دامنه‌های هرزنامه شناخته‌شده را بلاک می‌کند. این فناوری، ایمیل‌ها را پیش از ورود به inbox کاربر، از نظر اعتبار دامنه‌ها در عنوان ایمیل‌ها و URLهای موجود در متن ایمیل، بررسی می‌کند. فیلترهای مبتنی بر یادگیری ماشین نیز حفاظت پیشرفته‌ای در برابر اسپیر-فیشینگ و حملات به ایمیل‌های سازمانی (BEC) فراهم می‌آورند.

مسدودسازی هرزنامه‌ها با بالاترین نرخ تشخیص

در راهکار امنیت ایمیل سایبرنو، یکی از قوی‌ترین فیلترهای هرزنامه موجود در صنعت امنیت سایبری مورد استفاده قرار می‌گیرد. این فیلتر با عملکردی فراتر از میانگین فیلترهای دیگر موجود در بازار، نرخ تشخیص ۹۹ درصدی دارد و در عین حال، مثبت‌های کاذب آن نزدیک به صفر درصد هستند. این فیلتر، محتواهای ایمیل‌ها را بررسی و لینک‌های بدافزاری را خنثی می‌کند. از دیگر قابلیت‌های ضدهرزنامه سایبرنو می‌توان به تحلیل ایمیل‌ها به صورت چند نخی بر روی طیف گسترده‌ای از لیست‌های سیاه اشاره کرد.

انجام تحلیل ایستا و پویا با سامانه جعبه شن

راه حل امنیت ایمیل سایبرنو با قابلیت «پویش فایل» می‌تواند بدافزارها را به سرعت و با کارایی بالا شناسایی و شاخص‌های حمله (IOC) را با استفاده از فناوری تحلیل تطبیقی منحصر به فردی، استخراج کند. سامانه جعبه‌ شن سایبرنو می‌تواند فایل‌های اجرایی، مایکروسافت آفیس، PDF، پاورشل و... را پویش کند و در نتیجه می‌تواند جلوی تهدیدات ایمیل پیشرفته را بگیرد.