4/1
شرکت سیسکو راهکار مناسبی جهت پیشگیری از حملات ایمیل ارائه داده است که Cisco Email Security Appliance یا همان Cisco ESA نامیده میشود، که با توجه به یکپارچگیهای موجود در این راهکار، یکی از بهترین و بروزترین راهکارهای افزایش امنیت ایمیل حال حاضر دنیا به حساب می آید.
رایگان
در این مقاله کوشش شده تا در ابتدای امر به صورت خلاصه به بررسی حملات مهم بر روی سرویس ایمیل بپردازیم و سپس با معرفی Cisco Email Security Appliance که به اختصار سیسکو ESA نامیده میشود، یکی از بروزترین راهکارهای حال حاضر دنیای شبکه و فناوری اطلاعات جهت مقابله با این نوع تهدیدات را بررسی کنیم.
امنیت سایبری شاخهای از دانش کامپیوتری است که جهت حفاظت از داراییهای کامپیوتری و الکترونیکی در برابر حملاتی مانند حملهی روز صفرم، مهندسی اجتماعی، باجافزارها، بدافزارها، هرزنامهها و دیگر حملات ایجاد شده است. براساس گزارشهای ارائه شده در حدود 78% این حملات در سال 2018 میلادی بر روی ایمیل و یا از طریق آن صورت گرفته است. این آمار نشان دهندهی آن است که با توجه به آنکه این سرویس بسیار ارزشمند بوده و سبب گسترش کسب و کارها گردیده و همچنین بیشتر تجارت دنیا از آن استفاده مینماید، در صورت عدم ایمنسازی صحیح میتواند خسارات بسیاری را به کسب و کار وارد کند. یکی از بروزترین و بهترین راهکارهای امنیت ایمیل در دنیای امروز شبکه و فناوری اطلاعات، پیادهسازی سیسکو ESA یا همان Cisco Email Security Appliance است. در ادامه ابتدا به بررسی حملاتی که بر روی ایمیلها صورت میپذیرد و خطراتی که این سرویس را تهدید مینماید، خواهیم پرداخت و سپس محصول Cisco Email Security Appliance را برای شما عزیزان شرح خواهیم داد.
حملات پراستفاده بر روی ایمیل را میتوان به این صورت زیر تشریح و تقسیمبندی کرد:
هرزنامهها که از آنها با نام Junk نیز یاد میشود، پیامهای ناخواستهای است که به صورت دستهای و از طریق ایمیل ارسال میگردد. این ارسال دستهای ایمیل از دههی 90 میلادی بسیار محبوب و تبدیل به یک مشکل اساسی برای کاربران پست الکترونیکی شد. کسانی که چنین ایمیلهایی دریافت میکنند اساساً قربانیهایی هستند که آدرس پست الکترونیکی آنها توسط SpamBot ها شناسایی و ذخیره شده است. این Bot ها، نرمافزارهایی هستند که جهت خزش در اینترنت و جمعآوری فهرستی از آدرسهای ایمیل ایجاد شدهاند. این فهرست که از آن با نام Distribution List نیز یاد میشود جهت ارسال میلیونها هرزنامه مورد استفاده قرار میگیرد. هرزنامهها با هدف کلاهبرداری و مضامینی مانند برنامههای کاهش وزن، کسب مدارج آنلاین، فرصتهای شغلی و سایتهای شرطبندی آنلاین برای کاربران ارسال میگردد. این موارد به دلیل جذابیت داشتن برای اکثر افراد باعث جلب توجه کاربر شده و در نهایت فرآیندی را که مهاجم مد نظر دارد توسط کاربر اجرا میگردد.
اصطلاحی است که به مجموعهای از فعالیتهای مخرب که جهت ایجاد حواسپرتی کاربر انجام میگیرد اطلاق میشود. این فعالیتها با استفاده از ساختارها و ترفندهای روانشناسانه و با هدف به اشتباه انداختن کاربر در موارد امنیتی و گرفتن اطلاعات حساس از وی صورت میپذیرد. مهندسی اجتماعی به صورت معمول در چندین قدم صورت میپذیرد. در مرحلهی اول مهاجم تلاش بر آن دارد تا اطلاعاتی را از قربانی بدست آورد و پس از آن مرحلهی جذب اعتماد قربانی صورت میپذیرد. پس از آن مهاجم زیرفعالیتهایی به جهت شکستن قوانین امنیتی توسط کاربر یا بدست آوردن دسترسی به اطلاعات حساس را آغاز مینماید. مهندسی اجتماعی خود از حملات دیگر مانند Phishing یا هرزنامه بهره میبرد.
نوعی از حملات مهندسی اجتماعی بوده که به صورت معمول جهت ربودن دادههای کاربران مانند اطلاعات نام کاربری و رمز عبور یا شمارهی کارت بانکی استفاده میگردد. این حمله معمولاً به اینگونه رخ میدهد که مهاجم، پیام یا ایمیلی را برای قربانی به گونهای ارسال مینماید که ظاهر پیام کاملاً قانونی و زیبا بوده و قربانی را وادار به باز نمودن آن میسازد که معمولاً این پیامها حاوی لینک مخرب هستند. به صورت عمومی قربانی پس از انجام فعالیتهای مورد نظر مهاجم به صفحاتی وارد میشود که در آن صفحات میبایست جهت ورود از نام کاربری و رمز عبور خود استفاده نماید. این صفحات معمولاً شبیه به صفحات پرداخت اینترنتی و شبیه آن هستند که در آنها اطلاعات کاربر گرفته میشود.
بدافزارها نرمافزارهای مخربی هستند که فعالیتهای خرابکارانه را بر روی سیستم قربانی انجام میدهند. عملکرد این بدافزارها دستهبندیهای متفاوتی دارد. باجافزارها که گونهی خطرناکی از بدافزارها را شامل میشود، به محض فعال شدن شروع به رمزنگاری فایلهای موجود بر روی هارد دیسک قربانی نموده و پس از اتمام کار، جهت باز نمودن فایلها از قربانی طلب باج مینماید. براساس آمار بدست آماده، باجافزار Wanna Cry در مرحلهی اول از طریق پست الکترونیکی (ایمیل) گسترش یافته بود. از نمونههای دیگر بدافزارها که بسیار از طریق ایمیل گسترش مییابند، نمونههای CnC و Trojan را میتوان نام برد.
انتقال بدون اجازهی دادهها از داخل سازمان یا کسب و کار به خارج از آن را Data Leakage میگویند. این اصطلاح میتواند برای خروج دادهها به هر دو صورت الکترونیکی یا فیزیکی مورد استفاده قرار گیرد. این حملات به صورت معمول از طریق ایمیل و وب صورت میگیرد، اما میتواند با استفاده از تجهیزات قابل حمل مانند فلش و هارد اکسترنال نیز رخ دهد. این حمله انواع مختلفی دارد، اما نوع مورد بحث خروج دادهها از طریق پست الکترونیکی به صورت ناخواسته یا توسط کاربران مخرب یا ناراضی سازمان است. این موارد بسیار در سازمانها دیده شده که کاربران به اشتباه فایلهای حاوی اطلاعات حیاتی سازمان مانند اطلاعات کاربران سازمانی، اطلاعات حسابهای بانکی و مواردی از این دست را با استفاده از پست الکترونیکی به خارج از سازمان ارسال نمودهاند و این امر خسارات بسیاری را برای سازمان به همراه داشته است. همچنین موارد بسیاری بوده که کاربران ناراضی به عمد اطلاعات کسب و کارها را برای رقبا و یا افراد دیگر ارسال نمودهاند.
در این حمله مهاجم با استفاده از نام صحیح دامنهی یک سازمان یا کسب و کار تلاش میکند تا خود را به عنوان یکی از کارکنان و یا خود کسب و کار معرفی کند. این حمله یکی دیگر از اشکال متداول حملات Phishing است. حملهی Email Spoofing با استفاده از جعل هدر پست الکترونیکی، به گونهای که شباهت بسیاری به آدرس حقیقی داشته و دارای بدنهای کاملاً قانونی میباشد، اتفاق میافتد. با توجه به آنکه کاربران علاقه به باز نمودن هرزنامهها و یا پستهایی که مستقیماً به عنوان Phishing شناخته میشود ندارند، از این نوع حمله استفاده میشود تا کاربر پست الکترونیکی را باز نماید و یا حتی به درخواستهای داخلی آن پاسخ دهد.
هر چند که هیچگاه امنیت کامل به وجود نخواهد آمد، اما جهت امنیت پستهای الکترونیکی مجموعهای از عملیات که در قالب یک Framework، شامل فرآیندهای شناسایی، جلوگیری، پیشبینی و پاسخگویی مشخص شده است، میتواند بسیاری از خطرها را برطرف سازد. این قالب به عواملی همچون دروازهی خروجی ایمیلها، رفتار کاربران، پردازشهای قابل پشتیبانی و معماریهای امنیتی جانبی وابستگی بسیار دارد. به همین دلیل، ایمنسازی ایمیل به دو عامل انتخاب صحیح راهکار و سختافزار مورد استفاده در زیرساخت و اجرای صحیح فرآیندهای امنیتی سازمانی را نیازمند است که این امر نیاز اصلی حال حاضر دنیای فناوری اطلاعات است.
شرکت سیسکو (Cisco) راهکار مناسبی را جهت پیشگیری از حملات ایمیل (پست الکترونیکی) به نام Cisco Email Security Appliance ارائه داده است که به اختصار سیسکو ESA نامیده میشود، که با توجه به یکپارچگیهای موجود در این راهکار، میتوان آن را جزو راهکارهای مطرح و بروز حال حاضر دنیا دانست. راهکار پیشنهادی این شرکت براساس PipeLine زیر عمل مینماید. دلیل استفاده از این ساختار، بررسی چند مرحلهای پستهای ورودی و خروجی است تا بتوان حداکثر ایمنی را برای سازمان و کاربران فراهم ساخت.
براساس ساختار ارائه شده، راهکار پیشنهادی شرکت سیسکو (Cisco Email Security Appliance) در ارسال و دریافت پست الکترونیکی، عناصر مختلفی از پست الکترونیکی را بررسی نموده و پس از تأیید سلامت آنها اجازهی عبور را به پیام میدهد.
از مهمترین امکانات Cisco Email Security Appliance میتوان به موارد زیر اشاره نمود:
این ویژگی با بررسی سرور ارسال کنندهی ایمیل از نظر تعداد دفعات ارسال هرزنامه (Spam) و نمرهدهی به آنها از دریافت اسپم جلوگیری مینماید. همچنین در این امر از پشتیبانی Talos نیز بهرهمند است.
با استفاده از عناصر موجود در اینترنت مانند رکورد SPF ،DKIM و DMARC امکان جلوگیری از Domain Spoofing را فراهم ساخته است.
راهکار پیشنهادی شرکت سیسکو جهت بررسی و جلوگیری از دریافت ویروس از طریق پست الکترونیکی از دو موتور آنتیویروس McAfee و Sophos بهره میبرد. این روش به صورت تقریبی توانسته از ورود تمامی ویروسهای شناخته شده جلوگیری کند.
این دو موتور این امکان را فراهم ساخته تا در صورتی که اطلاعاتی از سالم بودن فایل موجود در ایمیل ارسالی در دیتابیسهای آنتیویروسها وجود نداشته باشد، آن را به صورت جداگانه و در Sandbox مورد بررسی قرار داده و در صورت سالم بودن رفتار فایل اجازهی عبور به آن دهد. در حال حاضر Sandbox شرکت سیسکو بیش از 300 الگوی رفتاری از بدافزارها را در دیتابیس خود ذخیره نموده است. که این امر امکان جلوگیری دربرابر حملات روز صفرم را نیز فراهم آورده است.
در حال حاضر حجم بسیاری از ایمیلها، توسط شبکههای اجتماعی برای کاربران ارسال میگردد. این ایمیلها میتواند شامل محتوای نامتناسب با کسب و کار و یا شامل لینکهای خطرناک باشد. ویژگیهای Content Filtering و Graymail Detection میتواند با بررسی دقیق از عبور چنین ایمیلهایی جلوگیری کند.
این ویژگی امکان بررسی محتویات پیام را پیش از ارسال فراهم میسازد. با بررسی محتویات پیام پیش از ارسال، راهکار ارائه شده میتواند در صورت شناسایی دادههای حساس سازمانی، از خروج پیام جلوگیری نماید. این امر با استفاده از قوانین تعریف شده میتواند به صورت خودکار صورت پذیرد.
در برخی موارد نیاز هست که دادههایی حساس از طریق ایمیل ارسال شود، و همچنین نیاز به گونهای است که تنها دریافتکننده میبایست از محتویات پیام مطلع گردد. با استفاده از ساختار Envelop Encription، پیام ارسال شده به صورت رمزنگاری نامتقارن تبدیل شده و سپس برای مقصد ارسال میگردد؛ مقصد نیز تنها در صورت داشتن کلید، امکان باز نمودن پیام را خواهد داشت.
پیادهسازی راهکار امنیت ایمیل شرکت سیسکو نیاز به تغییر در ساختار پست الکترونیکی (ایمیل) نداشته و تنها با هدایت جریان ترافیکی به سمت آن، امکان بررسی پستهای الکترونیکی را بدست میآورد. همچنین از دیگر تفاوتهای این راهکار با نمونههای مشابه، تمرکز بر روی Advanced Malware Protection این راهکار است. بسیاری از راهکارهای مشابه تمرکز خود را بر روی جلوگیری از ورود اسپم و همچنین جلوگیری از ورود ویروسها با استفاده از موتورهای آنتیویروس قرار دادهاند؛ این در حالی است که حملات حال حاضر دنیای سایبری فراتر از این موارد بوده است.
نظرات کاربران: