1. مقدمه
امروزه پستهای الکترونیکی زیادی در بین کاربران اینترنت ردوبدل میشود. این پستهای الکترونیکی میتوانند حاوی فایلهای پیوست نیز باشند. از آنجا که تعداد پستهای الکترونیکی زیاد است، توجه بدخواهان اینترنتی را به خود جلب کردهاند. در طی تحقیقاتی که توسط متخصصین حوزهی امنیت انجام شده است، تعداد زیادی پستهای الکترونیکی حاوی فایلهای پیوست و یا لینکهای مخرب جاسازیشده را شناسایی کرده است که در اغلب موارد هدفمند و برعلیه سازمانها بودهاند.
این گزارش توسط سازمان ASD و به منظور فراهم کردن راهکاری برای کاهش خطرهای امنیتی که توسط پستهای الکترونیکی مخرب ایجاد شدهاند، گردآوری شده است. در این گزارش تعدادی راهکار برای کاهش چنین خطراتی ارایه شده است. قابل توجه است که هر راهکار ارایهشده در این گزارش، لزوما برای تمامی سازمانها مناسب نیست و سازمانها باید با در نظر گرفتن نیازمندیهای کاری و محیط ریسک خود، راهحل کاهشی مناسبی را برای خود انتخاب کنند.
2. فیلتر کردن پیوستها
پیوستها در پستهای الکترونیکی یکی از ریسکهای امنیتی قابل توجهاند. فیلتر کردن پیوستها، احتمال دریافت محتویات مخرب بر روی سیستم کاربر را تا حد خوبی کاهش میدهد. راهکارهای کاهش در مورد پیوستهای مخرب در ادامه آورده شدهاند. این راهکارها براساس تاثیری که بر روی امنیت دارند، دستهبندی میشوند.
2-1 اثربخشی امنیتی عالی
- تبدیل قالب پیوستها
تبدیل قالب پیوستها به قالبی دیگر تاثیر بهسزایی در حذف محتویات مخرب دارد. برای نمونه یکی از این تبدیلات، تبدیل فایلهای آفیس مایکروسافت به قالب پیدیاف است. - لیست سفید پیوستها براساس نوع فایل
در این لیست برای تعیین نوع فایل، به جای در نظر گرفتن پسوند فایل، محتویات فایل بررسی میشود. انواعی از فایل که اهداف کسبوکار مجاز و مشخصات خطر قابل قبولی برای سازمان دارند، میتوانند در لیست سفید قرار گیرند. توصیه به لیست سفید بیشتر از لیست سیاه است، زیرا در این لیست همهی انواع قابل قبول که میتوانند از طریق پست الکترونیکی دریافت شوند، مشخص میشوند.
در صورتی که نوع فایل تشخیص داده شده براساس محتویات آن، با پسوند آن مغایرت داشته باشد، این مورد به عنوان یک مورد مشکوک باید مورد توجه قرار گیرد. - مسدود کردن پیوستهای غیرقابل شناسایی و یا رمزگذاریشده
پیوستهای غیرقابل شناسایی و یا رمزگذاریشده قابل اعتماد نیستند چون که محتویات پست الکترونیکی نمیتوانند رمزگشایی و بررسی شوند. هر پیوست رمزنگاریشده تا زمانی که بیخطر تلقی نشده است، باید مسدود شود. - انجام تحلیل پویای خودکار برای پیوستها با اجرای آنها در یک جعبهی شنی
تحلیل پویا، قابلیت شناسایی ویژگیهای رفتاری را دارد. بنابراین انجام یک تحلیل پویای خودکار در یک جعبهی شنی میتواند رفتارهای مشکوک در ترافیک شبکه، فایلهای جدید یا تغییریافته و یا تغییرات در رجیستری ویندوز را شناسایی کند. - حذف پیوستهایی با محتویات فعال یا به طور بالقوه خطرناک
محتویات فعال مانند ماکروها در فایلهای آفیس مایکروسافت و جاوا اسکریپتها باید قبل از تحویل پیوستها به کاربر، از پستهای الکترونیکی حذف شوند. ابزارهای حذف محتویات فایل باید پیوستها را برای پیدا کردن محتویات فعال نامطلوب براساس کلمات کلیدی یا به صورت اکتشافی بررسی و با بازنویسی آنها اثر نامطلوبشان را خنثی کنند. هر چند که عملیات بررسی و حذف محتویات فعال در پیوستها، پردازشی دشوار است. - کنترل یا غیرفعال کردن ماکروها در فایلهای آفیس مایکروسافت
استفاده از ماکروها در فایلهای آفیس مایکروسافت به شدت افزایش یافته است. از اینرو بهتر است سازمانها برنامههای خود را برای غیرفعال کردن همهی ماکروها به صورت پیشفرض پیکربندی کنند و فقط ماکروهای قابل اعتماد که معمولا توسط افراد با سطح دسترسی بالا نوشته میشوند را بررسی کنند.
2-2 اثربخشی امنیتی خوب
بررسی کنترلشده فایلهای آرشیو
یک فایل مخرب میتواند در کنار فایلهای مجاز دیگر تشکیل یک فایل آرشیو داده و برای مقصدی ارسال شود. برای تشخیص این فایل مخرب، گیرنده باید فایلهای آرشیو را از حالت فشرده خارج کرده و تمامی فایلهای درون آن را از نظر مخرب و یا مجاز بودن بررسی کند.
بررسی فایلهای آرشیو باید به صورت کنترلشده انجام شود تا بررسیکننده دچار پیمایشهای تو در تو یا حالت منع سرویس نشود. برای نمونه بررسی محتویات پست الکترونیکی که حاوی یک فایل متنی یک گیگابایتی آرشیوشده است و این فایل فقط از فضای خالی تشکیل شده است، منابع پردازشی قابل توجهی را اشغال میکند. نمونهی دیگر، فایلهای آرشیو تو در تو هستند. اگر فایل آرشیوی از 16 فایل آرشیو دیگر تشکیل شده باشد و همچنین هر کدام از فایلهای آرشیو جدید نیز از 16 فایل آرشیو دیگر تشکیل شده باشند و این کار تا 6 سطح ادامه داشته باشد، بررسیکنندهی محتویات پست الکترونیکی باید در حدود یک میلیون فایل را بررسی کند. در این مواقع تنظیم کردن زمان منقضی شدن برای پردازنده، حافظه و دیسک باعث میشود تا اگر کاری بیشتر از زمان تعیینشده ادامه پیدا کرد، آن کار لغو شده و منابع به سیستم بازگردند.
از حالت فشرده درآوردن فایلها از انتهای فایل آرشیو شروع شده و تا زمانی که همهی فایلها ایجاد شوند، ادامه پیدا میکند. یک فایل آرشیو مخرب میتواند بهراحتی به انتهای یک فایل عکس مجاز اضافه شود و در سمت گیرنده با اسکن فایل مجاز عکس، دریافت شود. بنابراین نیاز است تمامی پیوستها از حالت فشرده خارج شده و فایلهای ایجاد شده از آنها با دقت بررسی شود...
- 9