با وجود سرمایهگذاریهای عظیمی که در حوزه خرید و مدیریت درگاههای ایمیل امن صورت میگیرد، همچنان 9 درصد از ایمیلهای ارسالی به کاربران و سازمانها مخرب هستند.
بر اساس آمار شرکت Verizon فرصت مقابله با حمله فیشینگ پیش از کلیک بر روی لینک مخرب توسط کاربر فقط یک دقیقه و 40 ثانیه است.
در این مطلب از فراست مراحل لازم برای تحلیل یک پیام مخرب و مقابله با تهدیدات تأیید شده را مورد بررسی قرار میدهیم.
پاک، مخرب یا مشکوک
نقطه شروع برای ارزیابی و مقابله با حمله معمولاً زمانی است که کاربر ایمیل مشکوک دریافتی را برای مرکز عملیات امنیتی یا میز کمک(Help Desk) فناوری اطلاعات ارسال میکند ولی چون کارمندان، ابزار مطمئنی برای تشخیص نیستند پس ممکن است اتکا به آنها (و آموزشهای آگاهی امنیتیشان) برای تشخیص ایمیلهای مشکوکی که از درگاه ایمیل عبور کردهاند، منجر به غفلت از تهدیدات و افزایش تشخیصهای مثبت کاذب شود.
توصیه میشود که از یک راهکار تخصصی برای طبقهبندی ایمیلها به دستههای پاک، مخرب یا مشکوک به صورت لحظهای استفاده کنید. سپس میتوانید ایمیلهای پاک را نادیده گرفته و ایمیلهای مشکوک را به صورت مستقیم به بخش رفع تهدیدات تأیید شده در این مطلب (گام چهارم) منتقل کنید. در نهایت نیز هر بخش از پیامهای مخرب باید به صورت موازی با سایر بخشها تجزیه و تحلیل شود تا مشخص گردد که آیا شامل نشانههای مخرب هستند یا خیر.
یکی از روشهای پیشگیرانه برای پیشگیری از هک ایمیل کاری و فیشینگهای هدفمند این است که تصور نکنیم چون یک ایمیل تحویل داده شده، پس حتماً پاک است. همه ایمیلها باید به صورت لحظهای مورد بررسی قرار بگیرند. فریم ورکهای تشخیص مثل هیوریستیکها (یا الگوریتمهای تصادفی فرااکتشافی که جهت تشخیص پاسخ بهینه بکار میروند)، یادگیری ماشینی و پردازش زبان طبیعی به انجام چنین کاری کمک قابل توجهی میکنند. راهکارهای موجود در بازار نیز بسیار مقرون به صرفه هستند.
مرحله اول: استخراج اشیا
برای تعیین سالم، مخرب یا مشکوک بودن یک ایمیل، میتوانید آن را به اشیایی تجزیه کنید که ابتدا توسط ماشینها و سپس در صورت نیاز توسط انسانها قابل تحلیل باشند. این اشیا عبارتند از:
- اطلاعات شبکه مثل آدرس آیپی هر ماشین دخیل در فرایند انتقال پیام؛
- نتایج احراز هویت به دست آمده از بررسیهای SPF، DKIM و غیره؛
- امتیاز هرزنامه مشخص شده توسط درگاه ایمیل امنیتی یا سایر راهکارهای انتقال پیام؛
- نام و آدرس ایمیل فرستنده، مقدار فیلد reply-to، آدرس ایمیل کلیه دریافتکنندگان پیام، موضوع ایمیل و متن آن؛
- فایلهای پیوست؛
- لینکهای تعبیه شده در بدنه پیام و پیوستهای آن.
مرحله دوم: تحلیل اشیا
ابتدا اشیا را با استفاده از روشهای ایمن و قابل اعتماد تحلیل نموده و در صورت لزوم از روشهایی نه چندان سریع یا گران استفاده کنید.
برای مثال میتوانید آیپی یا آدرس فرستنده را در یک پایگاه داده هوش تهدید جستجو کنید تا مشخص شود آیا این پیام توسط یک فرستنده مخرب شناخته شده ارسال شده است یا خیر. در این صورت امکان خروج از مرحله تحلیل و شروع مقابله وجود دارد.
یک فریمورک تحلیل کامل، دارای بخشهای زیر است:
- هوش تهدید برای تأیید سریع تهدیدات شناخته شده مفید است اما به تشخیص سناریوهای روز صفر کمکی نمیکند. پایگاه اطلاعاتی هوش تهدید معمولاً ترکیبی از منابع متن باز، منابع اشتراگگذاری شده در صنعت، فیدهای تجاری و همچنین دادههای به دست آمده توسط خود سازمان از اطلاعات مربوط به حملات پیشین است.
به عبارتی دیگر اگر یک آیپی، ایمیل فرستنده، لینک یا امضای فایل (هش) مخرب در پایگاه داده هوش تهدید شناسایی شود، در این صورت ممکن است پیام مدنظر مخرب باشد ولی اگر هیچ یک از اشیای بالا پیدا نشوند، نمیتوانید بگویید که پیام مدنظر پاک است.
- هیوریستیک، یک اصطلاح فنی برای منطق if-then (اگر — در این صورت) بوده و جزو ابزارهای انعطافپذیر و پرسرعت جهت تشخیص سریع ویژگیهای مخرب محسوب میشود. در ادامه شبه کد یک هیوریستیک ساده برای تشخیص تلاش جهت هک ایمیل کاری را مشاهده میکنید:
if email authentication checks = failed and sender
display name is employee and reply-to address does
not equal sender address and message contains financial keyword
then classify email as business email compromise
امکان اعمال هیوریستیکها به رشتههای URL برای شناسایی لینکهای فیشینگ در حملات روز صفر (که از آسیبپذیریهای ناشناخته سوءاستفاده میکنند) وجود دارد. موتورهای اسکن بدافزار معمولاً برای تشخیص سریع خصوصیات شناخته شده اشیای مخرب، از هیوریستیکها استفاده میکنند. بنابراین امکان اعمال هیوریستیکها به محتوای وب هم وجود دارد. در ادامه این موضوع را هم مورد بررسی قرار میدهیم.
- یادگیری ماشینی میتواند فعالیتهای یک صندوق پیام را در نظر گرفته و از آن برای ایجاد یک خط مبنا از رفتارها و روابط مورد اعتماد استفاده نموده و سپس در صورت بروز هر گونه تخطی از این خط مبنا، یک هشدار صادر کند. چه شخصی برای چه کاربری و در چه زمان از روز ایمیل ارسال میکند؟ حجم این ایمیلهای ارسالی چقدر است؟ ایمیلها چه محتوایی دارند؟ یکی از نکات مهمی که باید مورد توجه قرار بگیرد این است که گاهی اوقات احتمال دارد عملکرد مدلهای یادگیری ماشینی پیچیده به نظر برسد و پیامها را به عنوان پاک، مخرب یا مشکوک طبقهبندی کنند اما دلیل چنین طبقهبندی را مشخص نکنند.
- تحلیل سندباکس بدافزار یکی از روشهای پرهزینه و نسبتاً زمانبر است اما برای طبقهبندی فایلهایی که توسط سایر موتورهای جستجو به عنوان پیامهای مخرب شناسایی شدهاند بسیار مفید میباشد. میتوان فایلهای پیوست و کل فایلهای ایمیل را برای تحلیل پیشرفته به سندباکس ارسال کرد. سندباکس فایل را اجرا نموده و همه رفتارها (از جمله فرمانهای سیستم عامل و فعالیت شبکه) را زیرنظر میگیرد (از جمله فرمانهای سیستم عامل و فعالیت شبکه) تا اشیای مخرب را در محیطی محدود شناسایی و درک کند.
مرحله سوم: واکشی محتوا
در این بخش همه اشیایی که در پیام به آنها رجوع شدهاند را تحلیل میکنیم. برای انجام این کار باید فایلها را دانلود نموده و لینکهای موجود در پیوستها و متن پیام را دنبال کنیم. مجرمان سایبری معمولاً لینکهای فیشینگ را در یک Google Doc قرار میدهند و سپس آن را از طریق گوگل به اشتراک میگذارند. احتمال گریز از تشخیص این تاکتیک در مرحله دوم بسیار زیاد است چون پیامهای ارسالی از سمت گوگل، به عنوان پیام ارسال شده توسط منبعی مخرب در نظر گرفته نمیشوند و خود ایمیل هم حاوی هیچ بدافزار یا محتوای دیگری برای تحلیل نیست. واکشی محتوا از راه دور به صورت بلادرنگ به رفع چالشهای تشخیص مرتبط با انفجار تأخیری و سایر تکنیکهای گریز کمک میکند.
تحلیلگر معمولاً باید فایل به اشتراکگذاری شده از راه دور را به صورت دستی دانلود یا لینکهای موجود در متن ایمیل را دنبال کند تا تأثیر صفحه وب مقصد را به شکل بصری مشاهده نماید. امکان ارسال فایل دانلود شده به سندباکس وجود دارد. امکان تحلیل محتوای صفحه وب با استفاده از هیوریستیکها و یادگیری ماشینی وجود دارد ولی تحلیلگری که به چنین صفحهای مراجعه میکند باید تشخیص دهد که آیا این صفحه سالم است یا مربوط به یک حمله فیشینگ میباشد. راهکارهای ضد فیشینگ تخصصی خاصی وجود دارند که این فرایند را اتوماسیون میکنند و بهترین روش محسوب میشوند. این راهکارها این مرحله را با مرحله دوم ترکیب میکنند.
مرحله چهارم: تجمیع و حذف
در این مرحله، یک شی در پیام به عنوان شی مخرب شناسایی میشود بنابراین باید اقدامات لازم جهت تشخیص همه صندوقهای پیام که تحت تأثیر این حمله قرار دارند تشخیص داده شده و پیش از اینکه کاربران اقدامی ناخواسته انجام دهند، آنها را حذف کنیم. اگر تعداد کاربرانتان چندان زیاد نیست ممکن است ارسال ایمیلی که حاوی دستورالعملهای لازم برای همه کارمندان میباشد راحتترین روش جهت پیدا کردن و حذف همه نمونههای یک شاخص مخرب محسوب شود.
روش پیچیدهتر استفاده از ابزار رهگیری پیام در Microsoft Exchange Online برای پیدا کردن همه نمونههای مشابه بر اساس آدرس/دامنه، آیپی یا شناسه منحصربفرد پیام میباشد که در هدر آن درج شده است.
ممکن است پیدا کردن ایمیلها بر اساس یک لینک یا فایل پیوست مخرب با استفاده از یک ابزار پیگیری کار چندان راحتی نباشد. برای انجام این کار به یک راهکار تخصصی نیاز دارید. این راهکارها معمولاً یک گزارش کلی از همه ایمیلهای دریافت شده در سازمان ثبت نموده و به شما امکان میدهند مقادیر دلخواه را در آنها جستجو کنید.
پس از تشخیص همه نمونههای تهدید، مدیران ایمیل باید آن را از صندوقهایی که تحت تأثیر قرار دارند پاک کنند.
مرحله پنجم: به روزرسانی و مسدود کردن
فیلترهای محتوای وب، فایروالها، کارگزاران نقاط پایانی، درگاههای ایمیل و سایر کنترلهای امنیتی را برای مسدود کردن اشیای مخرب، به روزرسانی کنید. برای مثال سیاست فیلترهای محتوای وب را به روزرسانی نمایید تا دسترسی به لینکهای فیشینگ تأیید شده را مسدود کند. آدرس آیپی یا ایمیل فرستنده پیام مخرب را به فهرست مسدودیها در درگاه ایمیل امنتان اضافه کنید. سیاستها یا فایلهای امضا را به روزرسانی کنید تا کارگزاران نقاط پایانی اجازه نوشته شدن یا اجرای فایلهای مخرب در دستگاههای کاربران را ندهند.
مرحله ششم: بازیابی
فهرست رویدادها را در فیلترهای محتوای وب، ابزار بازنویسی URL و کارگزاران امنیت نقاط پایانی بازبینی کنید تا مشخص شود آیا کاربری بر روی لینکهای مخرب کلیک یا فایل آلودهای را دانلود کرده است یا خیر. کلمه عبور کاربرانی را که بر روی لینکهای فیشینگ کلیک کردهاند، تغییر داده و سابقه ورود آنها به سیستم را بررسی نمایید تا رفتارهای مشکوک احتمالی را شناسایی کنید. دستگاههای آلوده باید یا با اجرای فرایندی که از پیش برای بدافزار مورد نظر تجویز شده یا ایجاد تصویری مجدد از میزبانها و بازیابی دادههای کاربران از روی نسخه پشتیبان، بازیابی گردند.
نکتهای درباره اتوماسیون
زمانی که سازمان شما، واکنشی مؤثر به حمله فیشینگی را ثبت کرد باید همه مراحل کار را اتوماسیون نمایید تا زمان مصرفی در بین دریافت یک تهدید و حذف آن از همه صندوقها را به حداقل برسانید.
سازمانها میتوانند با استفاده از یک پلتفرم هماهنگسازی، تشخیص و واکنش برای امنیت ایمیل، واکنش به حوادث فیشینگ را اتوماسیون کنند. این راهکار تشخیص و واکنش، به صورت اختصاصی برای مقابله با هک ایمیل کاری و فیشینگ طراحی شده است. همچنین میتوانید از یک SOAR (راهکار هماهنگ سازی، اتوماسیون و واکنش امنیتی) سازمانی هم برای اتوماسیون واکنش به حوادث ایمیلی استفاده کنید اما انجام چنین کاری نیاز به دسترسی به ابزارهای امنیتی دیگری مثل فیدهای هوش تهدید و تحلیل بدافزار به روش سندباکس دارد.
نتیجهگیری
به طور میانگین بررسی یک ایمیل به 8 دقیقه و حذف یک ایمیل مخرب به ازای هر کاربر به 15 دقیقه زمان نیاز دارد. برای سازمانی که دارای بیش از 500 صندوق ایمیل است زمان تحقیق و مقابله 1183 ساعت (معادل با 48911 دلار) است.
با استفاده از ابزارهای اتوماسیون میتوانید بار کاری تیم مرکز عملیات امنیتی برای مقابله با تهدیدات فیشینگ را به صورت چشمگیری کاهش دهید.
برای مطالعه سایر مقالات در حوزه امنیت سایبری اینجا کلیک کنید.
منبع: infosecurity-magazine